Origine : bjCSIRT
Numéro : 2026/ALERTE/040
APERÇU :
Une vulnérabilité affectant Nginx permettrait à un acteur malveillant non authentifié de provoquer un déni de service ou d’exécuter du code à distance sur les systèmes affectés.
DESCRIPTION
Nginx est un serveur web haute performance, un proxy inverse et un load balancer largement utilisé pour le déploiement et la sécurité des applications web, disponible en version communautaire (Nginx Open Source), ainsi qu’en édition commerciale (Nginx Plus).
Cette solution est affectée par une vulnérabilité libellée CVE-2026-9256 résultant de la gestion inadéquate des captures d’expressions régulières compatibles Perl (PCRE) superposées au sein de la directive de réécriture du module ngx_http_rewrite_module. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié, de provoquer un dépassement de tampon sur le tas dans le processus worker NGINX entraînant le redémarrage de ce dernier. Dans le cas où l’ASLR est désactivé ou contournable, cette faille permet également une exécution de code arbitraire.
Elle est classée élevée avec un score de sévérité de 8.1 selon le CVSS V3.1.
IMPACT
- Déni de service (DoS) ;
- Exécution de code arbitraire à distance ;
- Compromission de l’intégrité du système ;
- Atteinte à la confidentialité des données.
SYSTEMES AFFECTÉS
- Les versions 1.31.0, de 1.0.0 à 1.30.1 et de 0.1.17 à 0.9.7 de Nginx Open Source ;
- Les versions 37.0.0 et de R32 à R36 de Nginx Plus ;
MESURES À PRENDRE :
- Mettre à jour Nginx (Open Source et Plus) vers sa dernière version stable en fonction de la branche utilisée ;
- Mettre à jour les autres produits basés sur les composants Nginx vulnérables dès la publication de leurs correctifs respectifs par F5 ;
- En cas d’incapacité de mise à jour immédiate, appliquer la mesure d’atténuation temporaire (présente au sein de la première référence).
RÉFÉRENCES :