Автономный ИИ-агент стартапа depthfirst проанализировал исходный код NGINX и за 6 часов нашёл критическую уязвимость CVE-2026-42945 с рейтингом 9.2 по CVSS. Баг живёт в коде с 2008 года — то есть прошёл через сотни ревью, публичных аудитов и контрибьюторов. Уязвимость позволяет удалённо выполнить произвольный код без аутентификации. Затронуты версии от 0.6.27 до 1.30.0, а также весь экосистемный стек F5: NGINX Plus R32–R36, F5 WAF, NGINX App Protect, Gateway Fabric и Ingress Controller для Kubernetes. 13 мая F5 выпустил официальный advisory с патчами.
Контекст
NGINX — один из двух веб-серверов, на которых держится интернет. По открытым данным, на нём работает около трети всех активных сайтов в мире. Любая критическая уязвимость здесь — это не «проблема одного вендора», а потенциальная атака на миллионы инфраструктур одновременно: API-шлюзы, reverse proxy, Kubernetes Ingress, CDN-ноды.
depthfirst — стартап, специализирующийся на автономном аудите низкоуровневого кода. Их агент не требует настройки под конкретный проект: один клик, система сама загружает репозиторий и начинает анализ. За 6 часов работы над NGINX агент нашёл 5 проблем с памятью, из которых NGINX подтвердил четыре. Помимо критической CVE-2026-42945, зафиксированы: CVE-2026-42946 (высокая, 8.3) — чрезмерное выделение памяти порядка 1 ТБ за раз, крашит рабочий процесс; CVE-2026-40701 и CVE-2026-42934 (средние, 6.3) — use-after-free в TLS-модуле и out-of-bounds read при обработке UTF-8.
Технический корень CVE-2026-42945 — в обработке директив rewrite и set. NGINX делает два прохода: сначала считает нужный объём памяти, потом копирует данные. Если в строке замены есть знак вопроса, движок выставляет внутренний флаг «это query string» — но не сбрасывает его перед вторым проходом. Первый проход считает длину для обычной строки, второй копирует туда экранированную версию, где каждый спецсимвол вырастает с одного байта до трёх. Атакующий загоняет URI плюсами — и переполняет буфер ровно на нужную ему величину. Рабочий proof-of-concept уже лежит на GitHub; в текущем виде он требует выключенного ASLR, но авторы указывают, что обход теоретически реализуем.
Аналитика
Сам факт находки технически впечатляет, но куда важнее другое: баг прожил 18 лет. Не в мутном legacy-коде закрытого энтерпрайза — в одном из самых читаемых open-source проектов в истории. За это время через NGINX прошли тысячи глаз: профессиональные аудиторы, academic researchers, bounty-хантеры. Никто. За 6 часов машина сделала то, что не сделала индустрия за почти два десятилетия.
Это переключает дискуссию об AI в security из режима «хайп или нет» в режим «когда и как». Автономные агенты уже сейчас умеют делать то, что человеку требует недель погружения в незнакомую кодовую базу — и они не устают, не пропускают скучные участки, не отвлекаются. Паттерн depthfirst — один клик, шесть часов, четыре подтверждённых CVE — это не демо. Это операционная модель.
Второй важный сигнал: под угрозой весь написанный на C стек. NGINX — C. OpenSSL — C. SQLite — C. Redis — C. Огромная часть инфраструктурного слоя, на которой держится современный интернет, написана на языке без автоматического управления памятью. Машины, которые умеют искать memory corruption системно и быстро, скоро пройдутся по этому слою методично. Готовиться к волне старых CVE из C-кода — разумная позиция уже сегодня.
Кейсы применения в бизнесе
B2B-SaaS стартап на Kubernetes: если вы используете NGINX Ingress Controller, патч — это не опциональная задача на следующий спринт. Обновите до пропатченной версии немедленно, проверьте конфиги на наличие директив rewrite + set в связке. Параллельно — внесите в roadmap интеграцию автоматического статического анализа зависимостей (SAST) в CI/CD: инструменты класса depthfirst уже появляются как SaaS-сервисы, их цена на порядок ниже стоимости одного инцидента.
Корпорация с legacy-инфраструктурой: у вас, вероятно, десятки сервисов за NGINX-прокси, часть из которых обновляется раз в год. Это именно тот сценарий, для которого CVE-2026-42945 наиболее опасна — старые версии, сложные конфиги, директивы rewrite везде. Срочный аудит конфигурационных файлов всего парка + план обновления NGINX до актуальной версии — приоритет этой недели.
SMB и локальный бизнес в КР/СНГ: если ваш сайт или API стоит за NGINX на VPS — проверьте версию командой nginx -v и сравните с пропатченным релизом. Хостинг-провайдеры не обновляют серверное ПО автоматически. Это занимает 20 минут и закрывает уязвимость с рейтингом 9.2.
Кейсы в личной жизни
Разработчик: если вы поддерживаете любой публичный сервис за NGINX — обновление сегодня, проверка конфигов завтра. Но интереснее другое: посмотрите на depthfirst как на индикатор того, что скоро появится в open-source тулинге. Следите за проектами типа Semgrep, CodeQL, и новыми AI-powered SAST-инструментами — через год-два это будет стандартом пайплайна.
Контент-мейкер и технический журналист: история depthfirst — готовый нарратив о том, как AI меняет security. Сделайте разбор: что такое buffer overflow, почему C опасен, как работает ASLR. Технический контент с реальными CVE-номерами собирает аудиторию, которая ценит точность.
Студент в кибербезе: proof-of-concept на GitHub — живой учебный материал. Разобрать, как работает переполнение буфера через двухпроходный парсер, понять механику обхода ASLR брутфорсом — это лучше любого учебника. И смотрите на depthfirst как на направление карьеры: AI-assisted vulnerability research — одна из самых быстрорастущих ниш в security прямо сейчас.
Как применить сегодня
- Проверьте версию NGINX:
nginx -v. Если версия попадает в диапазон от 0.6.27 до 1.30.0 — обновитесь до пропатченной версии по официальному advisory F5 от 13 мая 2026. - Найдите в своих конфигах все связки директив
rewrite+set— именно там живёт CVE-2026-42945. Команда:grep -rn 'rewrite\|set $' /etc/nginx/ - Если используете NGINX Plus R32–R36, F5 WAF или NGINX Ingress Controller для Kubernetes — проверьте advisory F5 на наличие конкретных патч-версий для вашего продукта.
- Добавьте в CI/CD статический анализ зависимостей. Даже базовые инструменты вроде Trivy или Grype ловят известные CVE в образах до деплоя.
- Подпишитесь на NVD или CVE-рассылки по ключевым зависимостям вашего стека — NGINX, OpenSSL, curl. Это занимает 5 минут и даёт раннее предупреждение по следующей волне.
«Один клик — шесть часов — четыре подтверждённых CVE в одном из самых аудируемых open-source проектов мира. Это не эксперимент. Это новая норма security-аудита.»