Avaldatud on Nginx 1.31.1 ja 1.30.2 parandused, mis parandavad kriitilise haavatavuse (CVE-2026-9256), mis lubab koodi kaugkäivitamist Nginx töötaja protsessi õigustega, saates spetsiaalselt loodud HTTP-päringu. Probleemi avastanud teadlased on demonstreerinud toimivat ärakasutamist, mis avaldatakse koos täieliku kirjeldusega 30 päeva pärast paranduse avaldamist. Haavatavuse koodnimi on nginx-poolslip. Probleem ilmneb alates Nginx versioonist 0.1.17. Kirjutamise ajal pole Angie ja Freenginxi jaoks ühtegi parandust avaldatud.
Nagu eelmisel nädalal parandatud sarnane probleem, on ka see uus haavatavus põhjustatud puhvri ületäitumisest moodulis ngx_http_rewrite_module ja avaldub konfiguratsioonides, kus "rewrite" direktiivis on teatud regulaaravaldised. Sellisel juhul mõjutab haavatavus süsteeme, mille ümberkirjutusavaldises on kattuvad asendusmustrid (sulud sulgudes), näiteks "^/((.*))$" või "^/(test([123]))$", kombineerituna mitme nimetu asenduse kasutamisega asendusstringis (nt "$1$2").
Samuti väärib märkimist njs 0.9.9 väljaandmine, mis on moodul JavaScripti interpretaatorite integreerimiseks nginx HTTP serverisse. Uus versioon parandab haavatavuse (CVE-2026-8711), mis on olnud olemas alates njs 0.9.4 versioonist. Probleemi põhjustab puhvri ületäitumine ja see avaldub konfiguratsioonides js_fetch_proxy direktiiviga, mis sisaldab nginx muutujaid kliendi päringu andmetega (näiteks $http_*, $arg_* ja $cookie_*) koos asukohakäitleja kasutamisega, mis kutsub esile funktsiooni ngx.fetch(). Haavatavust saab ära kasutada koodi käivitamiseks nginx tööprotsessi õigustega, saates spetsiaalselt loodud HTTP päringu.
Allikas: opennet.ru
