Tampalan Nginx 1.31.1 dan 1.30.2 telah dikeluarkan, membetulkan kelemahan kritikal (CVE-2026-9256) yang membolehkan pelaksanaan kod jarak jauh dengan keistimewaan proses pekerja Nginx dengan menghantar permintaan HTTP yang direka khas. Penyelidik yang menemui isu tersebut telah menunjukkan eksploit yang berfungsi, yang akan diterbitkan bersama penerangan penuh 30 hari selepas tampalan dikeluarkan. Kelemahan tersebut telah diberi nama kod nginx-poolslip. Isu ini muncul bermula dengan Nginx versi 0.1.17. Pada masa penulisan, tiada tampalan telah diterbitkan untuk Angie dan Freenginx.
Seperti isu serupa yang telah dibaiki minggu lepas, kerentanan baharu ini disebabkan oleh limpahan penimbal dalam modul ngx_http_rewrite_module dan menjelma dalam konfigurasi dengan ungkapan biasa tertentu dalam arahan "rewrite". Dalam kes ini, kerentanan tersebut menjejaskan sistem dengan corak penggantian bertindih (kurungan dalam kurungan) dalam ungkapan penulisan semula, seperti "^/((.*))$" atau "^/(test([123]))$", digabungkan dengan penggunaan berbilang penggantian tanpa nama dalam rentetan penggantian (cth., "$1$2").
Turut perlu diberi perhatian ialah pelancaran njs 0.9.9, modul untuk mengintegrasikan penterjemah JavaScript ke dalam pelayan HTTP nginx. Versi baharu ini membetulkan kelemahan (CVE-2026-8711) yang telah wujud sejak njs 0.9.4. Isu ini disebabkan oleh limpahan penimbal dan menjelma dalam konfigurasi dengan arahan js_fetch_proxy, yang mengandungi pembolehubah nginx dengan data daripada permintaan klien (seperti $http_*, $arg_* dan $cookie_*), digabungkan dengan penggunaan pengendali lokasi yang memanggil fungsi ngx.fetch(). Kelemahan ini boleh dieksploitasi untuk melaksanakan kod dengan keistimewaan proses pekerja nginx dengan menghantar permintaan HTTP yang direka khas.
Sumber: opennet.ru
