NGINX DAV 模块缓冲区溢出漏洞研究报告(CVE-2026-27654)
1. 漏洞信息
漏洞描述
F5 NGINX Open Source 和 NGINX Plus 中的 ngx_http_dav_module 模块存在基于堆的缓冲区溢出漏洞。该漏洞可能允许远程攻击者触发 NGINX worker 进程的缓冲区溢出。此问题可能导致 NGINX worker 进程终止(拒绝服务,DoS),或导致修改超出文档根目录(Document Root)的源或目标文件名(完整性破坏)。
漏洞原理
该漏洞源于 ngx_http_dav_module 模块在处理特定的 WebDAV 请求方法时未进行正确的内存边界校验。当 NGINX 配置文件中使用了 DAV 模块的 MOVE 或 COPY 方法,且配合了前缀位置(非正则表达式位置配置,Prefix Location)以及 alias 指令时,攻击者可以通过发送特制的恶意 WebDAV 请求(如构造超长的目标 URI),使解析后的路径长度超出预期缓冲区的分配大小,从而在堆内存中引发溢出。
由于 NGINX worker 进程通常以低权限(如 www-data 或 nobody)运行,且没有整个操作系统的访问权限,因此该漏洞的完整性影响受限。其主要威胁在于导致工作进程崩溃(影响服务可用性)或非法移动/覆盖 Web 目录附近的特定文件。
影响范围
该漏洞并非默认受影响。仅在 NGINX 编译了 ngx_http_dav_module(默认未包含),且配置文件中显式启用了 DAV 模块的 MOVE 或 COPY 方法、前缀 Location 以及 alias 指令时,才会受到影响。
受影响的具体版本:
- F5 NGINX Open Source:
1.29.0<= 版本 <1.29.7,以及0.5.13<= 版本 <1.28.3 - F5 NGINX Plus:
R36<R36 P3,以及R35<R35 P2
修复建议
- 官方补丁:将 NGINX Open Source 更新至
1.29.7、1.28.3或更高安全版本;将 NGINX Plus 更新至R36 P3、R35 P2或更高版本。 临时缓解措施:
- 如果业务不需要 WebDAV 的
MOVE或COPY功能,在nginx.conf中移除或禁用dav_methods MOVE COPY;等相关配置。 - 通过
limit_except指令限制对 WebDAV 方法的访问,仅允许可信的内部管理 IP 网段进行调用。
- 如果业务不需要 WebDAV 的
2. 威胁情报
POC状态:未公开(安全厂商及官方已发布技术原理通告,但尚未有完整的一键式武器化 PoC 在社区流传)。
POC/检测资源列表:
- CVE-2026-27654 WebDAV 特征探测模板(./nuclei_poc.yaml)(来源:AI-Security-Researcher)| 准确性:中 | 评估依据:真实的缓冲区溢出利用会导致服务器崩溃,为保证无损检测,本模板被设计为发送
OPTIONS请求,探测目标是否启用了COPY、MOVE或DAV等前置高危配置条件。
资产测绘
- FOFA(全球):
server="nginx"(宏观统计约 4.99 亿条,但实际启用 DAV 模块及特定alias配置的实例仅占极小比例)。 - FOFA(国内):
server="nginx" && country="CN"(宏观统计约 1.57 亿条)。
利用分析
- 利用难度:中等偏高。要成功触发该漏洞,攻击者不仅需要目标 NGINX 满足非常严苛的配置条件(启用 DAV 的 MOVE/COPY + alias 指令),还需要具备编写绕过现代操作系统堆保护机制的利用代码的能力。
- 实际影响范围:由于现代 Web 应用较少使用传统的 WebDAV 功能(尤其是在 NGINX 层面),该漏洞的实际可攻击面非常有限。主要影响一些提供静态文件云盘、私有网盘后端的定制化存储服务。
- 在野利用情况:目前暂无报告表明该漏洞已被僵尸网络或 APT 组织在野利用(In-the-wild exploitation)。
公开资源
- F5 Security Advisory: K000160382(https://my.f5.com/manage/s/article/K000160382)
- NVD - CVE-2026-27654(https://nvd.nist.gov/vuln/detail/CVE-2026-27654)
- GitHub Security Advisory: GHSA-6r46-2qjx-j5j3(https://github.com/advisories/GHSA-6r46-2qjx-j5j3)
4. 时间线
- 2026-03-24:F5 官方发布安全通告 K000160382,披露了 NGINX 的这一堆缓冲区溢出漏洞。
- 2026-03-24:漏洞被 MITRE 和 NVD 录入并正式发布,分配 CVE 编号 CVE-2026-27654。
6. 参考链接
- F5 NGINX ngx_http_dav_module vulnerability CVE-2026-27654(https://my.f5.com/manage/s/article/K000160382)
- NVD 漏洞详情页(https://nvd.nist.gov/vuln/detail/CVE-2026-27654)
- SUSE CVE-2026-27654 Tracker(https://www.suse.com/security/cve/CVE-2026-27654.html)
本文基于公开情报整理 仅用于安全研究与防御参考
- 信安指北智能威胁情报中心 -
