인증 없이 원격 코드 실행(RCE)과 서버 권한 탈취 가능성 제기
F5 “최신 버전 즉시 업데이트 필요” 추가 취약점 3종도 함께 패치

[보안뉴스 김형근 기자] 전 세계 웹 서버 시장에서 널리 사용되는 엔진엑스 플러스(NGINX Plus) 및 엔진엑스 오픈소스(NGINX Open Source)에서 18년 간 발견되지 않았던 심각한 보안 취약점이 공개됐다.


‘엔진엑스 리프트’(NGINX Rift)로 명명된 이 결함(CVE-2026-42945)은 리라이트 모듈(ngx_http_rewrite_module)에서 발생하는 힙 버퍼 오버플로우 취약점이다. 공격자는 특수하게 조작된 HTTP 요청만으로 별도 인증 절차 없이 원격코드실행(RCE)이나 서비스 거부(DoS) 공격을 수행할 수 있다.

특히 주소 공간 레이아웃 임의화(ASLR) 기능이 비활성화된 환경에선 공격자가 서버 권한을 탈취해 시스템 제어권을 장악할 가능성도 제기된다.

보안업체 F5와 취약점을 최초로 발견한 연구팀 뎁스퍼스트(depthfirst)에 따르면, 이 취약점은 특정 리라이트 설정과 정규 표현식 캡처 기능이 결합될 때 발생한다. 이 취약점은 4월 21일(현지시간) 책임 있는 공개 절차를 거쳐 공개됐으며, NGINX Open Source 1.30.1 및 NGINX Plus R32 P6 이상 버전에서 수정됐다.

이와 함께 SCGI 및 uwsgi 모듈에서 과도한 메모리 할당 또는 메모리 읽기를 유발할 수 있는 취약점(CVE-2026-42946) 등 추가 보안 결함 3종도 함께 패치됐다. SSL 및 Charset 모듈에서도 메모리 정보 노출과 프로세스 재시작을 유발할 수 있는 취약점이 발견돼 관리자의 주의가 요구된다.

즉각 패치가 어려운 경우에는 리라이트 설정 내 명명되지 않은 캡처(unnamed capture)를 명명된 캡처(named capture)로 변경하는 등 임시 대응이 권고된다.

각국 보안 당국은 NGINX 기반 웹 서버와 인프라 전반에 대한 버전 점검과 최신 보안 업데이트 적용을 강력히 권고하고 있다.

[김형근 기자(editor@boannews.com)]

<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>