NGINX arrastra un desbordamiento de heap presente desde 2008 y pone en jaque a buena parte de la web
El bug bautizado "NGINX Rift" se cuela en builds activos durante casi dos décadas y obliga a revisar millones de despliegues.
El equipo de seguridad de Cloudflare ha publicado CVE-2026-42945, bautizada "NGINX Rift", un desbordamiento de buffer en heap que afecta a builds de nginx que datan de 2008. La vulnerabilidad permite, en condiciones específicas, ejecución remota de código en servidores que utilicen módulos legacy todavía habilitados por defecto.
NGINX está desplegado en cerca del 35 % de los sitios web del mundo y forma parte de la mayoría de stacks de balanceo, proxy inverso y servidor de aplicaciones modernos. Un fallo con casi dos décadas de antigüedad significa que muchas instalaciones lo han heredado sin saber siquiera que la ruta de código afectada estaba activa.
La explotación práctica requiere condiciones específicas de configuración, pero esas condiciones se cumplen con frecuencia en despliegues reales. El parche ya está disponible y la mayoría de distribuciones lo han incorporado, pero el problema de los servidores no gestionados —que se cuentan por millones— va a tardar trimestres en resolverse.
El caso ilustra una dinámica que la industria ha ido aceptando con resignación: el software de infraestructura crítica acumula deuda técnica durante años y los fallos heredados se descubren cuando la base instalada es tan amplia que parchear es lento por definición. La conversación sobre auditoría sistemática de código legacy lleva años sobre la mesa sin convertirse en política.
