Patch Nginx 1.31.1 dan 1.30.2 telah dirilis, memperbaiki kerentanan kritis (CVE-2026-9256) yang memungkinkan eksekusi kode jarak jauh dengan hak akses proses pekerja Nginx dengan mengirimkan permintaan HTTP yang dibuat khusus. Para peneliti yang menemukan masalah ini telah mendemonstrasikan eksploitasi yang berfungsi, yang akan dipublikasikan bersama dengan deskripsi lengkap 30 hari setelah patch dirilis. Kerentanan tersebut diberi kode nama nginx-poolslip. Masalah ini muncul mulai dari versi Nginx 0.1.17. Pada saat penulisan, belum ada patch yang dipublikasikan untuk Angie dan Freenginx.
Seperti masalah serupa yang diperbaiki minggu lalu, kerentanan baru ini disebabkan oleh buffer overflow di modul ngx_http_rewrite_module dan muncul dalam konfigurasi dengan ekspresi reguler tertentu dalam direktif "rewrite". Dalam hal ini, kerentanan memengaruhi sistem dengan pola substitusi yang tumpang tindih (tanda kurung di dalam tanda kurung) dalam ekspresi penulisan ulang, seperti "^/((.*))$" atau "^/(test([123]))$", dikombinasikan dengan penggunaan beberapa substitusi tanpa nama dalam string pengganti (misalnya, "$1$2").
Hal penting lainnya adalah perilisan njs 0.9.9, sebuah modul untuk mengintegrasikan interpreter JavaScript ke dalam server HTTP nginx. Versi baru ini memperbaiki kerentanan (CVE-2026-8711) yang telah ada sejak njs 0.9.4. Masalah ini disebabkan oleh buffer overflow dan muncul dalam konfigurasi dengan direktif js_fetch_proxy, yang berisi variabel nginx dengan data dari permintaan klien (seperti $http_*, $arg_*, dan $cookie_*), dikombinasikan dengan penggunaan handler lokasi yang memanggil fungsi ngx.fetch(). Kerentanan ini dapat dieksploitasi untuk mengeksekusi kode dengan hak akses proses worker nginx dengan mengirimkan permintaan HTTP yang dibuat khusus.
Sumber: opennet.ru
