Claude + Humanos vs nginx: CVE-2026-27654

A CVE-2026-27654 é um heap buffer overflow no módulo WebDAV do nginx, acionado quando o cabeçalho Destination é mais curto que o prefixo de localização, resultando em um underflow não assinado. A vulnerabilidade exige uma configuração não padrão, incluindo ngx_http_dav_module, alias e os métodos DAV COPY ou MOVE. O Claude identificou o bug e criou o PoC inicial de crash. Subsequentemente, três pesquisadores desenvolveram duas variantes adicionais: uma permitindo escrita arbitrária de arquivos e outra capaz de ler /etc/passwd com uma única requisição COPY. No dia 24 de março, quando a correção do nginx foi tornada pública, um commit-watcher de IA gerou um PoC de crash no mesmo dia.