Origine : bjCSIRT
Numéro : 2026/ALERTE/034
APERÇU :
Une vulnérabilité affectant Nginx Open Source et Nginx Plus permettrait à un acteur malveillant non authentifié de provoquer un déni de service (DoS) et une exécution de code arbitraire à distance sur les systèmes affectés.
DESCRIPTION
Nginx est un serveur web haute performance, un proxy inverse et un load balancer largement utilisé pour la diffusion et la sécurité des applications web, disponible en version communautaire (Nginx Open Source), ainsi qu’en édition commerciale (Nginx Plus).
Ce système est affecté par une vulnérabilité libellée CVE-2026-42945 résultant d’un dépassement de tampon dans la mémoire tas (heap buffer overflow) au sein du composant ngx_http_rewrite_module lors du traitement de certaines directives de réécriture. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié d’une part de transmettre des requêtes HTTP spécialement conçues pour provoquer le plantage du processus de travail, et d’autre part d’exécuter du code arbitraire à distance sur les systèmes où la randomisation de l’espace d’adressage (ASLR) est désactivée.
Elle est classée élevée avec un score de sévérité de 8.1 selon le CVSS V3.1.
IMPACT
- Déni de service (DoS) ;
- Exécution de code arbitraire à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données.
SYSTÈMES AFFECTÉS :
- Les versions 1.0.0 à 1.30.0 de NGINX Open Source ;
- Les versions 0.6.27 à 0.9.7 de NGINX Open Source ;
- Les versions R32 à R36 de NGINX Plus ;
- Les versions 2.16.0 à 2.21.1 de NGINX Instance Manager.
MESURES À PRENDRE :
- Mettre à jour NGINX Open Source vers sa dernière version stable ;
- Mettre à jour NGINX Plus vers sa dernière version stable en fonction de la branche utilisée ;
- En cas d’incapacité de mise à jour immédiate, appliquer la mesure d’atténuation temporaire (présente au sein des deux premières références) et s’assurer que l’ASLR est activé sur tous les hôtes exécutant nginx.
RÉFÉRENCES :