Claude + Humanos vs. Nginx: CVE-2026-27654

CVE-2026-27654 é um heap buffer overflow no módulo WebDAV do nginx, acionado quando o cabeçalho Destination é mais curto que o prefixo de localização, causando um underflow não assinado. Esta vulnerabilidade requer uma configuração não padrão, que inclua ngx_http_dav_module, alias e os métodos dav_methods COPY ou MOVE. A IA Claude foi responsável por identificar o bug e desenvolver o PoC de crash inicial.

Posteriormente, três pesquisadores criaram mais duas variantes da exploração: uma permitindo a escrita arbitrária de arquivos e outra capaz de ler o arquivo /etc/passwd com uma única requisição COPY. No dia 24 de março, data em que a correção para o nginx foi tornada pública, um AI commit-watcher gerou um PoC de crash para a vulnerabilidade no mesmo dia.