Banda Aceh-CSIRT mengimbau seluruh Perangkat Daerah di lingkungan Pemerintah Kota Banda Aceh untuk mewaspadai kerentanan kritis pada perangkat lunak NGINX yang teridentifikasi dengan nomor CVE-2026-42945. Kerentanan ini memperoleh skor CVSS v4.0 sebesar 9.2 (Critical) dan telah dikonfirmasi dapat dieksploitasi tanpa memerlukan otentikasi.
Mengingat NGINX banyak dipakai sebagai web server maupun reverse proxy pada berbagai aplikasi layanan publik, kerentanan ini berpotensi menimbulkan dampak yang luas apabila tidak segera ditangani.
Ikhtisar
CVE-2026-42945 ditemukan pada NGINX Plus versi R32 hingga R36 serta NGINX Open Source versi 0.6.27 hingga 1.30.0. Kerentanan disebabkan oleh heap buffer overflow pada modul ngx_http_rewrite_module, yang dapat dipicu melalui permintaan HTTP yang disusun secara khusus oleh penyerang.
Karena pemicunya berupa permintaan HTTP biasa, penyerang dari jarak jauh dapat memanfaatkan celah ini tanpa kredensial apa pun. Pada kondisi tertentu, eksploitasi yang berhasil dapat berujung pada eksekusi kode arbitrer (Remote Code Execution) di server yang terdampak.
Dampak
Eksploitasi yang berhasil memberi penyerang kendali atas proses NGINX, bahkan berpotensi mengambil alih server secara penuh. Konsekuensi yang mungkin terjadi antara lain:
- Akses tidak sah terhadap data sensitif yang diproses atau dilewatkan oleh server (aspek kerahasiaan).
- Modifikasi maupun penghapusan berkas pada sistem (aspek integritas).
- Gangguan layanan yang parah hingga server tidak dapat diakses (aspek ketersediaan).
- Pemanfaatan server yang telah dikuasai sebagai titik pijak untuk menyerang sistem lain di dalam jaringan internal.
Sistem yang Terdampak
| Produk | Versi Terdampak | Versi Perbaikan |
|---|---|---|
| NGINX Open Source | 0.6.27 – 1.30.0 | 1.30.1 (stable) atau 1.31.0 (mainline) |
| NGINX Plus | R32 – R36 | R36 P4, R35 P2, atau R32 P6 sesuai versi |
| NGINX Instance Manager | 2.16.0 – 2.21.1 | 2.21.2 |
| NGINX App Protect WAF | 4.9.0 – 4.16.0 | 4.16.1 |
| NGINX App Protect WAF | 5.1.0 – 5.8.0 | 5.8.1 |
| F5 WAF for NGINX | 5.9.0 – 5.12.1 | Ikuti F5 Advisory K000161019 |
Detail Teknis
Akar masalah berada pada proses dua tahap (two-pass) mesin skrip NGINX yang menghitung ukuran buffer sekaligus menyalin data di dalam modul ngx_http_rewrite_module.
Ketika sebuah aturan rewrite memuat karakter tanda tanya, flag is_args diaktifkan pada mesin utama. Namun, tahap penghitungan panjang buffer dijalankan pada sub-mesin yang baru diinisialisasi sehingga keliru menganggap is_args bernilai nol, dan mengembalikan ukuran buffer yang tidak memadai.
Sebaliknya, tahap penyalinan data membaca is_args bernilai satu sehingga memanggil ngx_escape_uri dengan opsi NGX_ESCAPE_ARGS. Pemanggilan ini memperluas setiap byte yang perlu di-escape menjadi tiga byte. Selisih ukuran inilah yang menyebabkan data URI buatan penyerang meluap dari buffer yang terlalu kecil.
Pada tahap eksploitasi lanjutan, penyerang menggunakan teknik heap feng shui antar-permintaan untuk merusak pointer cleanup pada struktur ngx_pool_t yang berdekatan. Pointer tersebut diarahkan ke fungsi yang dikendalikan penyerang, lalu dieksekusi saat pool memori dihancurkan, sehingga eksekusi kode jarak jauh dapat tercapai tanpa otentikasi.
Rekomendasi
- Lakukan pembaruan. Tingkatkan NGINX Open Source ke versi 1.30.1+ atau 1.31.0+, dan NGINX Plus ke R36 P4, R35 P2, atau R32 P6 sesuai versi yang digunakan.
- Mitigasi sementara. Apabila pembaruan belum dapat dilakukan, ganti unnamed PCRE capture (
$1,$2) dengan named capture pada seluruh direktif rewrite yang terdampak. Langkah ini bersifat sementara dan tidak menggantikan pembaruan versi. - Audit konfigurasi. Periksa penggunaan direktif
rewrite,if, dansetuntuk memastikan tidak ada pola konfigurasi yang rentan. - Aktifkan pemantauan. Konfigurasikan pemantauan dan pencatatan log untuk mendeteksi pola permintaan yang tidak wajar.
- Terapkan hak akses minimal. Pastikan proses NGINX berjalan dengan privilese seminimal mungkin untuk membatasi dampak apabila eksploitasi terjadi.
- Lakukan asesmen berkala. Jalankan pemindaian kerentanan dan pengujian penetrasi secara rutin pada infrastruktur.
Perangkat Daerah yang menemukan indikasi eksploitasi atau membutuhkan pendampingan teknis dapat menghubungi Banda Aceh-CSIRT melalui kanal pelaporan resmi.
Referensi
- nginx.org — Security Advisories
- NVD — CVE-2026-42945
- F5 — Advisory K000161019