Según VulnCheck, una falla de seguridad recientemente revelada que afecta a NGINX Plus y NGINX Open ha sido objeto de explotación activa en la naturaleza, días después de su divulgación pública.

La vulnerabilidad, rastreada como CVE-2026-42945 (puntaje CVSS: 9.2), es un desbordamiento del búfer de montón en ngx_http_rewrite_module que afecta las versiones de NGINX 0.6.27 a 1.30.0. Según Depthfirst, la empresa de seguridad nativa de IA, la vulnerabilidad se introdujo en 2008.

La explotación exitosa de la falla puede permitir que un atacante no autenticado bloquee los procesos de trabajo o ejecute código remoto con solicitudes HTTP manipuladas. Sin embargo, cabe señalar que la ejecución de código solo es posible en dispositivos donde la aleatorización del diseño del espacio de direcciones (ASLR), una protección contra ataques basados ​​en memoria, está desactivada.

«Se basa en que una configuración NGINX específica sea vulnerable y que un atacante conozca o descubra la configuración para explotarla», dijo el investigador de seguridad Kevin Beaumont. «Para alcanzar RCE (ejecución remota de código), también es necesario haber desactivado ASLR en la casilla».

En una evaluación similar, los mantenedores de AlmaLinux dijeron: «Convertir el desbordamiento del montón en una ejecución confiable de código no es trivial en la configuración predeterminada, y en sistemas con ASLR habilitado (que es el valor predeterminado en todas las versiones compatibles de AlmaLinux), no esperamos que un exploit genérico y confiable sea fácil de producir».

«Dicho esto, ‘no es fácil’ no es ‘imposible’, y el DoS por accidente de trabajo es lo suficientemente explotable por sí solo como para recomendar tratar esto como urgente», agregaron los mantenedores.

Los últimos hallazgos de VulnCheck muestran que los actores de amenazas han comenzado a convertir la falla en un arma, y ​​se detectaron intentos de explotación contra sus redes honeypot. Actualmente se desconocen la naturaleza de la actividad de ataque y los objetivos finales. Se recomienda a los usuarios que apliquen las últimas correcciones de F5 para proteger sus redes contra amenazas activas.

También se explotan fallos en openDCIM

El desarrollo se produce cuando VulnCheck también reveló esfuerzos de explotación dirigidos a dos fallas críticas en openDCIM, una aplicación de código abierto utilizada para la gestión de infraestructura de centros de datos. Las vulnerabilidades, ambas con una calificación de 9,3 en el sistema de puntuación CVSS, se enumeran a continuación:

• CVE-2026-28515 – Una vulnerabilidad de autorización faltante que podría permitir a un usuario autenticado acceder a la funcionalidad de configuración LDAP independientemente de sus privilegios asignados. En implementaciones de Docker donde REMOTE_USER está configurado sin aplicación de autenticación, se puede acceder al punto final sin credenciales, lo que permite modificaciones no autorizadas de la configuración de la aplicación.
• CVE-2026-28517 – Una vulnerabilidad de inyección de comandos del sistema operativo que afecta al componente «report_network_map.php» que procesa un parámetro llamado «punto» sin desinfección y lo pasa directamente a un comando de shell, lo que resulta en la ejecución de código arbitrario.

Las dos vulnerabilidades fueron descubiertas junto con CVE-2026-28516 (puntuación CVSS: 9,3), una vulnerabilidad de inyección SQL en openDCIM, por el investigador de seguridad de VulnCheck Valentin Lobstein en febrero de 2026. Según Lobstein, las tres fallas se pueden encadenar para lograr la ejecución remota de código en cinco solicitudes HTTP y generar un shell inverso.

«El grupo de actividad de atacantes que estamos observando hasta ahora se origina en una única IP china y utiliza lo que parece ser una implementación personalizada de la herramienta de descubrimiento de vulnerabilidades de IA Vulnhuntr para verificar automáticamente si hay instalaciones vulnerables antes de soltar un shell web PHP», dijo Caitlin Condon, vicepresidenta de investigación de seguridad de VulnCheck.