ИИ-агент нашел в NGINX критическую уязвимость, которой 18 лет

Исследователи компании depthfirst запустили свой автономный ИИ-агент на исходный код NGINX — и за 6 часов он нашел критическую уязвимость, которая жила с 2008 года. CVE-2026-42945 с рейтингом 9.2 по шкале CVSS позволяет удаленно выполнять произвольный код через комбинацию директив rewrite и set в конфигурации сервера. На NGINX работает почти треть всех сайтов мира, и под угрозой оказались версии от 0.6.27 до 1.30.0 — то есть почти весь жизненный цикл продукта.

depthfirst — стартап, разрабатывающий автономные системы для аудита низкоуровневого кода. По словам исследователей, запуск сканирования NGINX потребовал одного клика — система сама загрузила репозиторий и проанализировала его. За 6 часов агент нашел 5 проблем с памятью, 4 из которых NGINX подтвердил:

CVE-2026-42945 (критическая, 9.2) — переполнение буфера в модуле ngx_http_rewrite_module, ведет к удаленному выполнению кода

CVE-2026-42946 (высокая, 8.3) — чрезмерное выделение памяти (около 1 ТБ за раз), которое крашит рабочий процесс

CVE-2026-40701 (средняя, 6.3) — обращение к уже освобожденной памяти в TLS-модуле

CVE-2026-42934 (средняя, 6.3) — чтение за пределами выделенного буфера при обработке UTF-8

Главный баг сидит в самой основе работы NGINX со скриптами в конфигурации. Директивы rewrite и set — обычные строительные блоки любого API-шлюза: первая перезаписывает путь запроса по регулярному выражению, вторая сохраняет исходный путь в переменную, чтобы бэкенд знал, куда клиент изначально шел. Под капотом NGINX обрабатывает их в два прохода: сначала считает, сколько памяти нужно выделить под результат, потом копирует туда данные. Если в строке замены есть знак вопроса, движок ставит внутренний флаг "это аргументы запроса" — но забывает сбросить его перед следующим