18-year-old NGINX vulnerability allows DoS, potential RCE
Mis à jour :
Vulnérabilité critique vieille de 18 ans dans NGINX
Une faille de sécurité majeure, présente depuis 18 ans dans le serveur web NGINX, a été découverte par DepthFirst AI. Cette vulnérabilité permet de provoquer des dénis de service (DoS) et, dans des conditions spécifiques, une exécution de code à distance (RCE).
Points clés :
- Nature de la faille : Un dépassement de tampon (heap buffer overflow) dans le module
ngx_http_rewrite_module, causé par une gestion incohérente de l’état du moteur de script lors du traitement des directivesrewriteetset. - Exploitabilité : Bien que le déni de service soit trivial à reproduire, l’exécution de code à distance est complexe sur des systèmes protégés par ASLR (Address Space Layout Randomization). L’architecture multi-processus de NGINX facilite toutefois les tentatives répétées d’exploitation sans modification de la disposition mémoire.
- Autres vulnérabilités découvertes : Trois failles supplémentaires (CVE-2026-42946, CVE-2026-40701, CVE-2026-42934) impactant la gestion de la mémoire et l’analyse UTF-8 ont également été identifiées.
Vulnérabilités identifiées :
- CVE-2026-42945 (Critique, score 9.2) : Heap buffer overflow (principale faille RCE/DoS).
- CVE-2026-42946 (Haute) : Allocation de mémoire excessive (SCGI/UWSGI).
- CVE-2026-40701 (Moyenne) : Use-after-free (OCSP DNS).
- CVE-2026-42934 (Moyenne) : Off-by-one (parsing UTF-8).
Recommandations :
- Mise à jour : Appliquer immédiatement les correctifs fournis par F5. Les versions corrigées incluent NGINX Open Source 1.31.0, 1.30.1, et les versions correspondantes de NGINX Plus et des modules associés.
- Atténuation temporaire : Pour les déploiements ne pouvant être mis à jour, il est recommandé de remplacer les groupes de capture PCRE non nommés (
$1,$2…) dans les règlesrewritepar des captures nommées afin d’éliminer le prérequis d’exploitation.