Er zijn patches uitgebracht voor Nginx 1.31.1 en 1.30.2, waarmee een kritieke kwetsbaarheid (CVE-2026-9256) is verholpen. Deze kwetsbaarheid maakte het mogelijk om op afstand code uit te voeren met de privileges van een Nginx worker-proces door een speciaal geconstrueerde HTTP-request te versturen. De onderzoekers die het probleem ontdekten, hebben een werkende exploit gedemonstreerd. Deze exploit zal samen met een volledige beschrijving 30 dagen na de release van de patch worden gepubliceerd. De kwetsbaarheid heeft de codenaam nginx-poolslip. Het probleem manifesteert zich vanaf Nginx versie 0.1.17. Op het moment van schrijven zijn er nog geen patches uitgebracht voor Angie en Freenginx.
Net als een soortgelijk probleem dat vorige week is opgelost, wordt deze nieuwe kwetsbaarheid veroorzaakt door een bufferoverloop in de ngx_http_rewrite_module en manifesteert zich in configuraties met bepaalde reguliere expressies in de "rewrite"-richtlijn. In dit geval treft de kwetsbaarheid systemen met overlappende substitutiepatronen (haakjes binnen haakjes) in de rewrite-expressie, zoals "^/((.*))$" of "^/(test([123]))$", in combinatie met het gebruik van meerdere naamloze substituties in de vervangingsreeks (bijv. "$1$2").
Ook noemenswaardig is de release van njs 0.9.9, een module voor het integreren van JavaScript-interpreters in de nginx HTTP-server. De nieuwe versie verhelpt een kwetsbaarheid (CVE-2026-8711) die al sinds njs 0.9.4 aanwezig was. Het probleem wordt veroorzaakt door een bufferoverloop en manifesteert zich in configuraties met de js_fetch_proxy-richtlijn, die nginx-variabelen met gegevens uit het clientverzoek bevat (zoals $http_*, $arg_* en $cookie_*), in combinatie met het gebruik van een location handler die de ngx.fetch()-functie aanroept. De kwetsbaarheid kan worden misbruikt om code uit te voeren met de privileges van het nginx worker-proces door een speciaal geconstrueerd HTTP-verzoek te verzenden.
Bron: opennet.ru
