Emendationes Nginx 1.31.1 et 1.30.2 divulgatae sunt, vulnerabilitatem criticam (CVE-2026-9256) emendantes, quae exsecutionem codicis remotam cum privilegiis processus operarii Nginx permittit, petitione HTTP specialiter fabricata missa. Investigatores qui hanc difficultatem invenerunt, vulnerabilitatem functionalem demonstraverunt, quae una cum descriptione plena post triginta dies a divulgatione emendationis publicabitur. Haec vulnerabilitas nomine occulto "nginx-poolslip" appellatur. Quaestio se manifestat incipiens a versione 0.1.17 Nginx. Tempore scribendi, nullae emendationes pro Angie et Freenginx divulgatae sunt.
Similiter ac similis quaestio hebdomade proxima correcta, haec nova vulnerabilitas a redundantia memoriae intermediae (buffer overflow) in modulo ngx_http_rewrite_module causatur et se manifestat in configurationibus cum certis expressionibus regularibus in mandato "rewrite". Hoc in casu, vulnerabilitas systemata afficit cum exemplaribus substitutionis inter se imbricatis (parenthesibus intra parenthesibus) in expressione rewrite, ut "^/((.*))$" vel "^/(test([123]))$", cum usu plurium substitutionum sine nomine in serie substitutionis coniuncta (e.g., "$1$2").
Notandum etiam est emissio njs 0.9.9, moduli ad interpretes JavaScript in servum HTTP nginx integrandos. Nova versio vulnerabilitatem (CVE-2026-8711) quae ab njs 0.9.4 adfuit, emendat. Quaestio a redundantia memoriae intermediae (buffer overflow) causatur et se manifestat in configurationibus cum directiva js_fetch_proxy, quae variabiles nginx cum datis ex petitione clientis (velut $http_*, $arg_*, et $cookie_*) continet, una cum usu tractatoris loci qui functionem ngx.fetch() invocat. Vulnerabilitas ad codicem cum privilegiis processus operarii nginx exsequendum per petitionem HTTP specialiter fabricatam mittendam expugnari potest.
Source: opennet.ru
