E wepụtala mkpọchi Nginx 1.31.1 na 1.30.2, na-edozi adịghị ike dị oke njọ (CVE-2026-9256) nke na-enye ohere ka e mejuputa koodu dịpụrụ adịpụ site na ikike nke usoro ọrụ Nginx site na izipu arịrịọ HTTP pụrụ iche. Ndị nchọpụta chọpụtara nsogbu a egosila na ọ na-arụ ọrụ nke ọma, nke a ga-ebipụta yana nkọwa zuru oke ụbọchị 30 ka ahapụchara mkpọchi ahụ. A kpọkwara adịghị ike ahụ nginx-poolslip koodu. Nsogbu a na-apụta ìhè site na ụdị Nginx 0.1.17. N'oge a na-ede ihe a, ebipụtabeghị mkpọchi ọ bụla maka Angie na Freenginx.
Dịka nsogbu yiri nke ahụ e doziri n'izu gara aga, adịghị ike ọhụrụ a na-akpata site na oke nchekwa na modulu ngx_http_rewrite_module ma na-egosipụta onwe ya na nhazi yana ụfọdụ okwu nkịtị na ntuziaka "edegharị". N'okwu a, adịghị ike ahụ na-emetụta sistemụ nwere ụkpụrụ nnọchi anya na-ekpuchi (akara n'ime akara) na ngosipụta ederede, dị ka "^/((.*))$" ma ọ bụ "^/(ule([123]))$", yana ojiji nke ọtụtụ nnọchi ahaghị aha na eriri nnọchi (dịka ọmụmaatụ, "$1$2").
Ihe ọzọ dị mkpa bụ mwepụta nke njs 0.9.9, modulu maka itinye ndị ntụgharị JavaScript na sava nginx HTTP. Ụdị ọhụrụ a na-edozi adịghị ike (CVE-2026-8711) nke dị kemgbe njs 0.9.4. Nsogbu a bụ n'ihi oke mmiri na-ebufe ma na-egosipụta onwe ya na nhazi ya na ntuziaka js_fetch_proxy, nke nwere mgbanwe nginx yana data sitere na arịrịọ onye ahịa (dịka $http_*, $arg_*, na $cookie_*), yana iji onye na-ahụ maka ọnọdụ nke na-akpọ ọrụ ngx.fetch(). Enwere ike iji adịghị ike ahụ mee ihe iji mezuo koodu yana ikike nke usoro ọrụ nginx site na izipu arịrịọ HTTP pụrụ iche.
isi: opennet.ru
