安全通报:厂商F5近日发布公告,揭露影响NGINX网页伺服器的六项安全漏洞,并同步释出修补程式。最为关键的是CVE-2026-32647(CVSS 7.8),源自ngx_http_mp4_module存在的记忆体越界读取缺陷;攻击者可通过特制的MP4档案触发该缺陷,导致服务中断(DoS),在特定情境下甚至可能被利用以执行任意程式码。受影响范围包含NGINX Plus R32至R36版本,以及开源版1.1.19至1.29.6。厂商建议立刻安装对应修补:将NGINX Plus升级至R32 P5、R35 P2或R36 P3,开源版则更新到1.28.3或1.29.7。作为补强措施,营运团队应立即:一,扫描并确认环境中NGINX版本;二,若短期内无法更新,考虑停用或隔离mp4模块、加强上傳檔案的检验与沙箱解析、封锁可疑上传来源;三,查看日志是否有异常MP4解析请求并部署入侵防护签名。务必把补丁部署和风险缓减列为当务之急,避免被特制媒体档案触发漏洞造成大规模影響。安托特报员
紧急警告!千万别再拖:恶意MP4能秒杀NGINX,F5放出重磅补丁速升级
