В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость

22.05.2026 21:58 (MSK)

Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2, в которых устранена критическая уязвимость (CVE-2026-9256), позволяющая удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса. Выявившие проблему исследователи продемонстрировали рабочий эксплоит, который будет опубликован вместе с полным описанием спустя 30 дней после исправления. Уязвимость получила кодовое имя nginx-poolslip. Проблема проявляется начиная с версии nginx 0.1.17. Для angie и freenginx на момент написания новости исправления не опубликованы.

Как и устранённая на прошлой неделе похожая проблема, новая уязвимость вызвана переполнением буфера в модуле ngx_http_rewrite_module и проявляется в конфигурациях с определёнными регулярными выражениями в директиве "rewrite". В данном случае уязвимость затрагивает системы с перекрывающимися шаблонами для подстановки (скобки в скобках) в rewrite-выражении, например, "^/((.*))$" или "^/(test([123]))$", в сочетании с использованием нескольких неименованных подстановок в заменяющей строке (например, "$1$2").

Дополнительно можно отметить выпуск njs 0.9.9, модуля для интеграции интерпретаторов языка JavaScript в http-сервер nginx. В новой версии устранена уязвимость (CVE-2026-8711), проявляющаяся начиная с версии njs 0.9.4. Проблема вызвана переполнением буфера и проявляется в конфигурациях с директивой js_fetch_proxy, содержащей переменные nginx с данными из клиентского запроса (например, $http_*, $arg_* и $cookie_*), в сочетании с использованием location-обработчика, вызывающего функцию ngx.fetch(). Уязвимость можно эксплуатировать для выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса.

исправить +4 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65505-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (18)

1.1, Аноним (1), 22:58, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2 А сколько тех кто не обновляется... https://w3techs.com/technologies/overview/web_server

2.15, Аноним (15), 00:27, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
То самое чувство, когда мне раньше говорили, что я за AWS просто так плачу и проще "свое".

3.18, Аноним (1), 01:00, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Да, но теперь их блокируют у нас изнутри: https://aws.amazon.com/ru/ https://www.cloudflare.com Что головняка добавляет ещё больше...

1.2, Аноним (2), 23:03, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Наружу надо выставлять HAProxy, даже без балансировки. Имеем разгрузку SSL и Zlib, плюс фильтрация WAF.

2.7, Аноним (7), 23:11, 22/05/2026 [^] [^^] [^^^] [ответить]	–3 +/–
Забавно как все сервера в мире имели уязвимость наружу, которая при некоторых задач и использовании данного модуля делала из серверов по факту большой источник данных для некоторых организаций. А ещё больше смешны люди которые думали что полностью в безопасности использую nginx от российского разработчика.

3.10, Аноним (10), 23:21, 22/05/2026 [^] [^^] [^^^] [ответить]	–3 +/–
Во-первых, nginx давно уже не от российского разработчика. Во-вторых, nginx используется везде, и будь в дырках виновата контора из 3 букв, она делала "из серверов по факту большой источник данных для некоторых организаций" и на своей территории. А я что-то ни в одной конторе КИИ с которыми работал не видел инструкций об ограничении использования nginx.

4.13, Аноним (13), 00:18, 23/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
Версия 0.1.17 вышла в 2005 году. Разработчик, ты не поверишь, тогда был ещё очень даже российский. Ты наверно пока тебе по телевизору не скажут ни во что не поверишь.

3.17, Аноним (17), 00:41, 23/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.3, Аноним (7), 23:09, 22/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	+3 +/–

2.6, Аноним (1), 23:11, 22/05/2026 Скрыто ботом-модератором [к модератору]	+/–

2.8, Аноним (10), 23:14, 22/05/2026 Скрыто ботом-модератором [к модератору]	+2 +/–

3.14, Аноним (13), 00:20, 23/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.4, Аноним (10), 23:09, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Тем временем в прошлом месяце уже вторая контора с которой мы работаем (занимаемся бэкенд разработкой) заменила nginx на pingora. Они что-то знают (С).

2.5, Аноним (1), 23:10, 22/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну они хорошо прибавляют: https://github.com/cloudflare/pingora/releases

2.16, Soltek (?), 00:37, 23/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.9, Аноним (9), 23:15, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
>уязвимость затрагивает системы с перекрывающимися шаблонами вопрос в каких популярных цмсочках такое идет по дефолту

2.11, Аноним (10), 23:22, 22/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Какое отношение цмсочки имеют к реврайту на nginx?

3.12, Аноним (9), 23:38, 22/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Для того чтобы уязвимость, которая "проявляется в конфигурациях с определёнными регулярными выражениями" заработала, именно такие правила должны в конфиге быть.

1.19, Аноним (19), 01:11, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Кучно долбят... На этот раз большой пласт задели: "начиная с версии nginx 0.1.17".

игнорирование участников | лог модерирования

Добавить комментарий

Текст: