د Nginx 1.31.1 او 1.30.2 پیچونه خپاره شوي، چې د یوې مهمې زیانمننې (CVE-2026-9256) حل کوي چې د ځانګړي جوړ شوي HTTP غوښتنې لیږلو سره د Nginx کارګر پروسې د امتیازاتو سره د لرې کوډ اجرا کولو ته اجازه ورکوي. هغه څیړونکي چې دا مسله یې کشف کړې د کار کولو استحصال ښودلی، کوم چې به د پیچ له خپریدو څخه 30 ورځې وروسته د بشپړ توضیحاتو سره خپور شي. زیانمننې ته nginx-poolslip کوډ نوم ورکړل شوی. دا مسله د Nginx نسخه 0.1.17 سره پیل کیږي. د لیکلو په وخت کې، د انګي او فرینګینکس لپاره هیڅ پیچ نه دی خپور شوی.
د تیرې اونۍ حل شوې ورته ستونزې په څیر، دا نوې زیانمنتیا د ngx_http_rewrite_module ماډل کې د بفر اوور فلو له امله رامینځته کیږي او د "بیا لیکلو" لارښود کې د ځینې منظم څرګندونو سره په ترتیباتو کې ځان څرګندوي. پدې حالت کې، زیانمنتیا هغه سیسټمونه اغیزمن کوي چې د بیا لیکلو څرګندونې کې د بدیل نمونو (قوسونو دننه قوسونه) سره یوځای کیږي، لکه "^/((.*))$" یا "^/(test([123]))$"، د بدیل تار کې د ډیری بې نومه بدیلونو کارولو سره یوځای کیږي (د مثال په توګه، "$1$2").
د njs 0.9.9 خپرول هم د پام وړ دي، د nginx HTTP سرور ته د جاواسکریپټ ترجمانانو مدغم کولو لپاره یو ماډل. نوې نسخه یو زیان منونکی (CVE-2026-8711) حل کوي چې د njs 0.9.4 راهیسې شتون لري. دا ستونزه د بفر اوور فلو له امله رامینځته کیږي او د js_fetch_proxy لارښود سره په ترتیبونو کې څرګندیږي، کوم چې د مراجعینو غوښتنې څخه د معلوماتو سره د nginx متغیرات لري (لکه $http_*، $arg_*، او $cookie_*)، د موقعیت هینډلر کارولو سره چې د ngx.fetch() فعالیت غږوي. زیان منونکی د ځانګړي جوړ شوي HTTP غوښتنې لیږلو سره د nginx کارګر پروسې امتیازاتو سره د کوډ اجرا کولو لپاره کارول کیدی شي.
سرچینه: opennet.ru
