Критична вразливість у модулі ngx_http_rewrite_module в NGINX Open Source

Вразливість CVE-2026-9256 у NGINX може призвести до переповнення буфера та виконання коду. Рекомендується оновлення та моніторинг безпеки сервера.
CVE-2026-9256CVSS 9.2Web

Критична вразливість у модулі ngx_http_rewrite_module в NGINX Open Source

Вразливість CVE-2026-9256 у NGINX може призвести до переповнення буфера та виконання коду. Рекомендується оновлення та моніторинг безпеки сервера.

CVSS
9.2 CRITICAL
EPSS
89.86%
Активно використовується
немає в KEV
Продукт
nginx open source

Що відомо

Виявлено критичну вразливість у модулі ngx_http_rewrite_module NGINX Plus та Open Source, що може призвести до переповнення буфера в пам'яті та аварійного перезапуску процесу. Зловмисники можуть експлуатувати цю проблему, відправляючи спеціально сформовані HTTP-запити, що також може дозволити виконання коду за певних умов.

Бізнес-вплив

Вразливість з високим рівнем критичності (CVSS 9.2) може спричинити нестабільність роботи веб-сервера, включно з аварійними перезапусками, що впливає на доступність сервісів. У випадках, коли Address Space Layout Randomization (ASLR) вимкнено або обхідний, існує ризик виконання довільного коду, що ставить під загрозу безпеку інфраструктури.

Рекомендовані дії адміністратора

Адміністраторам рекомендується перевірити наявність оновлень від виробника для NGINX та оперативно застосувати їх. Якщо оновлення недоступні, слід обмежити доступ до вразливих функцій, ретельно моніторити журнали на предмет підозрілої активності та мінімізувати експозицію сервера в мережі. Пріоритезуйте виправлення відповідно до ризиків бізнесу.

Джерела