Nginx 1.31.1 og 1.30.2-patches er blevet udgivet, og de retter en kritisk sårbarhed (CVE-2026-9256), der tillader fjernudførelse af kode med privilegier fra en Nginx-arbejdsproces ved at sende en specielt udformet HTTP-anmodning. Forskerne, der opdagede problemet, har demonstreret en fungerende exploit, som vil blive offentliggjort sammen med en fuld beskrivelse 30 dage efter, at patchen er udgivet. Sårbarheden har fået kodenavnet nginx-poolslip. Problemet manifesterer sig startende med Nginx version 0.1.17. I skrivende stund er der ikke udgivet nogen patches til Angie og Freenginx.
Ligesom et lignende problem, der blev rettet i sidste uge, er denne nye sårbarhed forårsaget af et bufferoverløb i ngx_http_rewrite_module-modulet og manifesterer sig i konfigurationer med bestemte regulære udtryk i "rewrite"-direktivet. I dette tilfælde påvirker sårbarheden systemer med overlappende substitutionsmønstre (parenteser inden for parenteser) i omskrivningsudtrykket, såsom "^/((.*))$" eller "^/(test([123]))$", kombineret med brugen af flere unavngivne substitutioner i erstatningsstrengen (f.eks. "$1$2").
Det er også værd at bemærke udgivelsen af njs 0.9.9, et modul til integration af JavaScript-fortolkere i nginx HTTP-serveren. Den nye version retter en sårbarhed (CVE-2026-8711), der har været til stede siden njs 0.9.4. Problemet skyldes et bufferoverløb og manifesterer sig i konfigurationer med js_fetch_proxy-direktivet, som indeholder nginx-variabler med data fra klientanmodningen (såsom $http_*, $arg_* og $cookie_*) i kombination med brugen af en lokationshandler, der kalder funktionen ngx.fetch(). Sårbarheden kan udnyttes til at udføre kode med privilegierne fra nginx-arbejdsprocessen ved at sende en specielt udformet HTTP-anmodning.
Kilde: opennet.ru
