Sono state rilasciate le patch per Nginx 1.31.1 e 1.30.2, che risolvono una vulnerabilità critica (CVE-2026-9256) che consente l'esecuzione di codice remoto con i privilegi di un processo worker di Nginx tramite l'invio di una richiesta HTTP appositamente creata. I ricercatori che hanno scoperto il problema hanno dimostrato un exploit funzionante, che verrà pubblicato insieme a una descrizione completa 30 giorni dopo il rilascio della patch. La vulnerabilità è stata denominata in codice nginx-poolslip. Il problema si manifesta a partire dalla versione 0.1.17 di Nginx. Al momento della stesura di questo articolo, non sono state pubblicate patch per Angie e Freenginx.
Analogamente a un problema simile risolto la settimana scorsa, questa nuova vulnerabilità è causata da un buffer overflow nel modulo ngx_http_rewrite_module e si manifesta in configurazioni con determinate espressioni regolari nella direttiva "rewrite". In questo caso, la vulnerabilità interessa i sistemi con pattern di sostituzione sovrapposti (parentesi all'interno di parentesi) nell'espressione di riscrittura, come "^/((.*))$" o "^/(test([123]))$", combinati con l'uso di più sostituzioni senza nome nella stringa di sostituzione (ad esempio, "$1$2").
Da segnalare anche il rilascio di njs 0.9.9, un modulo per l'integrazione di interpreti JavaScript nel server HTTP nginx. La nuova versione corregge una vulnerabilità (CVE-2026-8711) presente dalla versione 0.9.4 di njs. Il problema è causato da un buffer overflow e si manifesta nelle configurazioni con la direttiva js_fetch_proxy, che contiene variabili nginx con dati provenienti dalla richiesta del client (come $http_*, $arg_* e $cookie_*), in combinazione con l'utilizzo di un gestore di location che richiama la funzione ngx.fetch(). La vulnerabilità può essere sfruttata per eseguire codice con i privilegi del processo worker di nginx inviando una richiesta HTTP appositamente predisposta.
Fonte: opennet.ru
