Krytyczna luka w nginx open source w module ngx_http_rewrite_module

Krytyczna luka w module ngx_http_rewrite_module nginx open source umożliwia przepełnienie bufora i wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie.
CVE-2026-9256CVSS 9.2Web

Krytyczna luka w nginx open source w module ngx_http_rewrite_module

Krytyczna luka w module ngx_http_rewrite_module nginx open source umożliwia przepełnienie bufora i wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie.

CVSS
9.2 CRITICAL
EPSS
89.86%
Aktywnie wykorzystywana
brak w KEV
Produkt
nginx open source

Co wiadomo

W nginx Plus i nginx Open Source wykryto krytyczną lukę w module ngx_http_rewrite_module, umożliwiającą atakującemu wywołanie przepełnienia bufora sterty poprzez specjalnie spreparowane żądania HTTP. Luka ta może prowadzić do restartu procesu roboczego lub wykonania złośliwego kodu na systemach bez ASLR lub z możliwością obejścia ASLR.

Wpływ biznesowy

Luka o wysokim poziomie krytyczności (CVSS 9.2) może powodować niestabilność serwera WWW oraz potencjalne przejęcie kontroli nad systemem, co stanowi poważne zagrożenie dla dostępności i bezpieczeństwa usług internetowych. Operatorzy infrastruktury powinni traktować tę podatność priorytetowo, szczególnie w środowiskach bez włączonej ochrony ASLR.

Rekomendowane działania administratora

Zaleca się niezwłoczne przejrzenie dostępnych aktualizacji i łatek od dostawcy nginx oraz ich wdrożenie. W przypadku braku dostępnych poprawek należy ograniczyć ekspozycję serwera na nieznane żądania, monitorować logi pod kątem podejrzanej aktywności oraz priorytetyzować działania zabezpieczające w oparciu o ryzyko i środowisko produkcyjne.

Źródła