一、组件介绍

nginx〔engine x〕是一个HTTP和反向代理服务器、邮件代理服务器和通用TCP/UDP代理服务器，最初由Igor Sysoev编写‌。

二、漏洞描述

2026年4月11日，深瞳漏洞实验室监测到一则nginx组件存在缓冲区溢出漏洞的信息，漏洞编号：CVE-2026-27654，漏洞威胁等级：高危。

NGINX开源版和NGINX Plus的ngx_http_dav_module模块存在缓冲区溢出漏洞，此漏洞可能导致NGINX工作进程终止，或修改文档根目录之外的源或目标文件名。当配置文件使用了DAV模块的MOVE或COPY方法、前缀位置（非正则表达式位置配置）以及alias指令时，此问题会影响NGINX开源版和NGINX Plus。由于NGINX工作进程用户权限较低且无法访问整个系统，因此完整性影响受到限制。

三、影响范围

目前受影响的nginx版本：

0.5.13 ≤ NGINX Open Source ≤ 1.28.3

1.29.0 ≤ NGINX Open Source ≤ 1.29.7

R32 ≤ NGINX Plus ≤ R32 P5

NGINX Plus R33所有版本

NGINX Plus R34所有版本

R35 ≤ NGINX Plus ≤ R35 P2

R36 ≤ NGINX Plus ≤ R36 P3

四、解决方案

1)官方修复建议

官方已发布补丁修复该漏洞，建议受影响用户更新到最新版本。

参考链接：https://my.f5.com/manage/s/article/K000160382

2)临时修复建议

关闭未使用的功能模块，减少潜在攻击入口。

遵循最小权限原则，严控各类敏感操作权限范围。

非必要不暴露服务到公网，限制访问源为可信范围。

定期更新系统及各类组件至安全版本，及时修补已知隐患。