nginx堆缓冲区溢出漏洞

发布时间:2026-05-14 14:07

漏洞名称

Nginx ngx_http_dav_module 堆缓冲区溢出漏洞

 

漏洞编号

QVD-2026-15634，CVE-2026-27654

 

公开时间

2026-03-24

 

影响量级

万级

 

奇安信评级

高危

 

CVSS 3.1分数

8.2

 

威胁类型

代码执行、拒绝服务

 

利用可能性

高

 

POC状态

已公开

 

在野利用状态

未发现

 

EXP状态

已公开

 

技术细节状态

已公开

 

危害描述：攻击者可利用该漏洞，通过构造特殊 HTTP 请求实现任意文件读写、部署 Webshell 并最终达成远程代码执行（RCE），或造成 NGINX worker 进程崩溃导致拒绝服务。

 

修复缓解措施：

1.若业务无需 WebDAV，立即移除 dav_methods 指令或完全禁用 ngx_http_dav_module 模块（推荐 dav_methods PUT DELETE MKCOL;）。

 

2.临时将 alias 指令替换为 root 指令，或避免 alias 与 DAV 方法组合使用。

 

 

如需彻底修复 请尽快更新至最新版本 nginx


原始报告