Un sistema basato su modelli linguistici di grandi dimensioni (LLM) ha identificato quattro vulnerabilità nel web server open source Nginx, tra cui una critica presente nel codice da 18 anni. La scoperta, attribuita ai ricercatori della startup di sicurezza informatica DepthFirst AI, riguarda un difetto classificato come heap buffer overflow nel modulo di riscrittura URL, potenzialmente sfruttabile per l'esecuzione remota di codice arbitrario su sistemi con specifiche configurazioni.
La portata del problema è considerevole: Nginx alimenta quasi un terzo di tutti i siti web attivi a livello globale ed è integrato in numerosi prodotti commerciali come proxy inverso, bilanciatore di carico e sistema di cache. Una vulnerabilità critica in un componente così diffuso rappresenta un rischio sistemico per l'infrastruttura web mondiale, con implicazioni dirette per operatori di piattaforme digitali, provider cloud e aziende che gestiscono API gateway.
La falla principale, tracciata come CVE-2026-42945, ha ricevuto un punteggio CVSS (Common Vulnerability Scoring System) di 9.2 su 10, collocandola nella fascia critica. Il difetto interessa tutte le versioni di Nginx dalla 0.6.27 alla 1.30.0 ed è stato corretto nelle release 1.31.0 e 1.30.1. Anche Nginx Plus, la versione commerciale sviluppata da F5 — multinazionale specializzata in sicurezza applicativa e di rete — è risultata vulnerabile, con patch rilasciate nelle versioni R36 P4, R32 P6 e 37.0.0.
Secondo l'advisory ufficiale di F5, lo sfruttamento del bug provoca in prima istanza un crash del server, configurabile come attacco di tipo denial of service (interruzione del servizio). Su sistemi privi di Address Space Layout Randomization (ASLR) — tecnologia di mitigazione presente e abilitata per default nei moderni sistemi operativi — è possibile arrivare all'esecuzione di codice remoto. Il ricercatore Zhenpeng Lin di DepthFirst AI ha spiegato in un post tecnico come l'architettura multi-processo di Nginx renda teoricamente possibile aggirare l'ASLR mediante tentativi progressivi, sfruttando il fatto che il processo master ricrea i worker con layout di memoria identici dopo ogni crash.
Un elemento che amplifica il rischio operativo è la diffusione delle configurazioni vulnerabili: le direttive di riscrittura URL (`rewrite` e `set`) sono componenti standard nella costruzione di API gateway, spesso impiegati durante migrazioni di endpoint o per il routing dinamico delle richieste. Questo significa che un'ampia quota delle installazioni attive potrebbe essere esposta senza che gli amministratori ne siano consapevoli.
Oltre alla vulnerabilità critica, DepthFirst AI ha divulgato altri tre difetti, tutti corretti nelle nuove release: CVE-2026-42946 (CVSS 8.3, severità alta, con rischi di memory leak e modifica dati), CVE-2026-42934 e CVE-2026-40701 (entrambi CVSS 6.3, severità media, con possibili interruzioni di servizio). Rimangono tuttavia privi di aggiornamenti diversi prodotti F5 basati su Nginx, tra cui Nginx Instance Manager, Nginx App Protect WAF, Nginx Gateway Fabric e Nginx Ingress Controller.
Il proof-of-concept sviluppato da DepthFirst è stato pubblicato su GitHub, accelerando di fatto il rischio di sfruttamento attivo prima che le patch vengano applicate su larga scala. Storicamente, le vulnerabilità di Nginx hanno già attirato l'attenzione di attori malevoli.
La vicenda solleva interrogativi più ampi sul modello di sicurezza dell'open source: se un difetto critico può restare nascosto per 18 anni in un progetto tra i più esaminati al mondo, quale livello di fiducia è lecito riporre nei processi di revisione umana del codice? E quanto cambierà l'equilibrio tra vulnerabilità scoperte e non scoperte con l'accelerazione degli strumenti di analisi basati su intelligenza artificiale a disposizione sia dei difensori che degli attaccanti?