В nginx выявлена вторая за 10 дней удалённо эксплуатируемая уязвимость

22.05.2026 21:58 (MSK)

Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2, в которых устранена критическая уязвимость (CVE-2026-9256), позволяющая удалённо добиться выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса. Выявившие проблему исследователи продемонстрировали рабочий эксплоит с обходом ASLR, который будет опубликован вместе с полным описанием спустя 30 дней после исправления. Уязвимость получила кодовое имя nginx-poolslip. Проблема проявляется начиная с версии nginx 0.1.17, выпущенной в феврале 2005 года. Для angie и freenginx на момент написания новости исправления не опубликованы.

Как и устранённая на прошлой неделе похожая проблема, новая уязвимость вызвана переполнением буфера в модуле ngx_http_rewrite_module и проявляется в конфигурациях с определёнными регулярными выражениями в директиве "rewrite". В данном случае уязвимость затрагивает системы с перекрывающимися шаблонами для подстановки (скобки в скобках) в rewrite-выражении, например, "^/((.*))$" или "^/(test([123]))$", в сочетании с использованием нескольких неименованных подстановок в заменяющей строке (например, "$1$2").

Дополнительно можно отметить выпуск njs 0.9.9, модуля для интеграции интерпретаторов языка JavaScript в http-сервер nginx. В новой версии устранена уязвимость (CVE-2026-8711), проявляющаяся начиная с версии njs 0.9.4. Проблема вызвана переполнением буфера и проявляется в конфигурациях с директивой js_fetch_proxy, содержащей переменные nginx с данными из клиентского запроса (например, $http_*, $arg_* и $cookie_*), в сочетании с использованием location-обработчика, вызывающего функцию ngx.fetch(). Уязвимость можно эксплуатировать для выполнения кода с правами рабочего процесса nginx через отправку специально оформленного HTTP-запроса.

исправить +16 +/–

Лицензия: CC BY 3.0

Короткая ссылка: https://opennet.ru/65505-nginx

Ключевые слова: nginx

При перепечатке указание ссылки на opennet.ru обязательно

Обсуждение (58)

1.1, Аноним (1), 22:58, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+2 +/–
>Сформированы корректирующие выпуски nginx 1.31.1 и 1.30.2 А сколько тех кто не обновляется... https://w3techs.com/technologies/overview/web_server

2.15, Аноним (15), 00:27, 23/05/2026 [^] [^^] [^^^] [ответить]	–7 +/–
То самое чувство, когда мне раньше говорили, что я за AWS просто так плачу и проще "свое".

3.18, Аноним (1), 01:00, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Да, но теперь их блокируют у нас изнутри: https://aws.amazon.com/ru/ https://www.cloudflare.com Что головняка добавляет ещё больше...

4.24, AI (?), 06:27, 23/05/2026 [^] [^^] [^^^] [ответить]	–4 +/–
А у нас не блокируют 🤷

5.37, Аноним (1), 11:51, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Я про РФ, без впн даже на сайт не зайти.

2.27, Аноним (-), 08:08, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
> А сколько тех кто не обновляется... 1) У половины просто дистро прислал бэкпорты фиксов на стоковую версию. 2) А остальным как раз малварь апдейты накатит. Чтоб конкурентов не пускать :)

3.57, нах. (?), 23:11, 24/05/2026 [^] [^^] [^^^] [ответить]

+/–

true 2) а у остальных нет и никогда не было в конфиге таких бредовых "^/((.*))$"

- что это вообще может быть и для чего?!

полтора васяна-нитакуси которые все же умудрились себе такое взгромоздить - никогда не будут найдены на просторах интернета. Тут даже маварь бессильна.

Предыдущая увизгвимость была более серьезна, потому что срабатывала в случае любых двух подстановок. Такого даже у э... одного моего друга нашлось.

Кстати, напоминаю, поскольку местные васяны никогда не читают комментариев под третьей и дальше новостью сверху - Клава очень нелестно отозвалась о "вокараунде" с заменой подстановок на именованные. По ее мнению это НЕ РАБОТАЕТ в большинстве нормальных конфигураций - статус неверно сбрасывается ДО разветвления кода на ветки для именованных и неименованных параметров.

2.56, Birch (?), 13:14, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
Через регулярне выражения ломается вообще любой сетевой софт. И снорт и суриката и вебсервера с прокси. Так было и так будет.

1.2, Аноним (2), 23:03, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+1 +/–
Наружу надо выставлять HAProxy, даже без балансировки. Имеем разгрузку SSL и Zlib, плюс фильтрация WAF.

2.7, Аноним (7), 23:11, 22/05/2026 [^] [^^] [^^^] [ответить]	–5 +/–
Забавно как все сервера в мире имели уязвимость наружу, которая при некоторых задач и использовании данного модуля делала из серверов по факту большой источник данных для некоторых организаций. А ещё больше смешны люди которые думали что полностью в безопасности использую nginx от российского разработчика.

3.10, Аноним (10), 23:21, 22/05/2026 [^] [^^] [^^^] [ответить]	+/–
Во-первых, nginx давно уже не от российского разработчика. Во-вторых, nginx используется везде, и будь в дырках виновата контора из 3 букв, она делала "из серверов по факту большой источник данных для некоторых организаций" и на своей территории. А я что-то ни в одной конторе КИИ с которыми работал не видел инструкций об ограничении использования nginx.

4.13, Аноним (13), 00:18, 23/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Версия 0.1.17 вышла в 2005 году. Разработчик, ты не поверишь, тогда был ещё очень даже российский. Ты наверно пока тебе по телевизору не скажут ни во что не поверишь.

5.25, Анлним (?), 06:28, 23/05/2026 [^] [^^] [^^^] [ответить]	+3 +/–
С добрым утром, у нас 2026ой и Сысоев уже не в рамблере и nginx уже другим людям принадлежит. Сколько вам еще предстоит узнаааать...

6.30, Алексей (??), 09:21, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
> С добрым утром, у нас 2026ой и Сысоев уже не в рамблере > и nginx уже другим людям принадлежит. Сколько вам еще предстоит узнаааать... Ты новость-то хоть читал? Предыдущий аноним сослался на 2005-ый, потому что уязвимость с версии 2005-го года. Зато "с добрым утром".

6.33, Аноним (33), 11:41, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Вот вот ты тот самый не мамонт спи дальше.

5.63, Birch (?), 01:09, 26/05/2026 [^] [^^] [^^^] [ответить]	+/–
Nvidia, Intel, Sailfish OS - они много кода попортили.

4.55, xPhoenix (ok), 09:29, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
Там обычно Astra Linux, а в ней защищённый Apache. NGINX на своей страх и риск.

2.44, Аноним83 (?), 20:13, 23/05/2026 [^] [^^] [^^^] [ответить]

–2 +/–

И чем это поможет в данном случае!?

Разгрузки тоже никакой нет, TLS точно так же в OpenSSL обрабатывается, при этом nginx я знаю точно умеет ktls а насчёт haproxy не уверен.
zlib - везде одинаковый, не говоря про то что считается устаревшим.

Для WAF нужно где то брать правильные правила, как и для фильрации.

1.3, Аноним (7), 23:09, 22/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–1 +/–

2.6, Аноним (1), 23:11, 22/05/2026 Скрыто ботом-модератором [к модератору]	+/–

2.8, Аноним (10), 23:14, 22/05/2026 Скрыто ботом-модератором [к модератору]	+5 +/–

3.14, Аноним (13), 00:20, 23/05/2026 Скрыто ботом-модератором [к модератору]	–2 +/–

1.4, Аноним (10), 23:09, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–5 +/–
Тем временем в прошлом месяце уже вторая контора с которой мы работаем (занимаемся бэкенд разработкой) заменила nginx на pingora. Они что-то знают (С).

2.5, Аноним (1), 23:10, 22/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну они хорошо прибавляют: https://github.com/cloudflare/pingora/releases

2.39, Аноним (39), 13:05, 23/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Фронтендеры покусали, не иначе. С их лихорадочным скаканием с одного на другое, строго в дату анонса - иначе в коммюнити его считают лохом который не успевает за прогрессом.

2.45, Аноним83 (?), 20:16, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
Да и фиг с ними. nginx стал стандартом для индустрии, потеснив апач. У меня лично на nginx столько всего завязано что потребуется прилично времени и усилий чтобы куда то смигрировать, при условии что это куда то сможет всё тоже самое делать в принципе.

3.60, Tron is Whistling (?), 09:53, 25/05/2026 [^] [^^] [^^^] [ответить]	+/–
haproxy + апач, не?

1.9, Аноним (9), 23:15, 22/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>уязвимость затрагивает системы с перекрывающимися шаблонами вопрос в каких популярных цмсочках такое идет по дефолту

2.11, Аноним (10), 23:22, 22/05/2026 [^] [^^] [^^^] [ответить]	+2 +/–
Какое отношение цмсочки имеют к реврайту на nginx?

3.12, Аноним (9), 23:38, 22/05/2026 [^] [^^] [^^^] [ответить]	+4 +/–
Для того чтобы уязвимость, которая "проявляется в конфигурациях с определёнными регулярными выражениями" заработала, именно такие правила должны в конфиге быть.

2.35, Аноним (33), 11:50, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
dokuwiki, nextcloud из современных и это при том что в прошлом целью атакующих могли быть распространенные в то время решения.

3.50, GG (ok), 23:24, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
dokuwiki и nextcloud работают из под апаче2. То что их теоретически можно поднять через нжинкс, не значит что кто-то этим в реальности страдает. Особенно клауд, у которого через нжинкс половина фич и обновления не работают.

1.19, Аноним (19), 01:11, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
Кучно долбят... На этот раз большой пласт задели: "начиная с версии nginx 0.1.17".

2.34, Аноним (33), 11:43, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Даже не хочется даже думать сколько там ещё отверстий оставили.

3.62, BorichL (ok), 17:52, 25/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ну их ещё найти надо... Там и в условной компиляции логические косяки есть с древних времён, но он от этого обычно просто падает после сборки.

1.20, 1 (??), 02:26, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А кто-то надувал щёки - ваш apache2 дырявый. Только nginx.

2.46, Аноним83 (?), 20:17, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Погодите, и до апача дотянутся.

1.22, Аноним (22), 04:13, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
А что делать тем, у кого Debian 12 и nginx 1.2x?

2.23, Аноним (23), 04:51, 23/05/2026 [^] [^^] [^^^] [ответить]	+1 +/–
./configure && make && make install

3.52, Твайлайт Спаркл 2 (?), 08:31, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
./configure - там чуть сложнее, надо ключи конфигурирования из предыдущей сборки взять. В прошлый понедельник у меня nginx был собран под ubuntu 18.04, полёт нормальный.

2.28, Zzz (??), 08:57, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ставьте из их официальной репы

3.53, Твайлайт Спаркл 2 (?), 08:32, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
Под Ubuntu 18.04 уже на собирают.

4.54, Твайлайт Спаркл 2 (?), 08:32, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
*не

2.43, Анонисссм (?), 17:49, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
>у кого Debian 12 ссзб, серверная ос это редхат

3.47, Аноним83 (?), 20:17, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Это не ОС а дистр.

4.49, Аноним (49), 22:54, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
Дистр чего?

5.51, Аноним (9), 00:18, 24/05/2026 [^] [^^] [^^^] [ответить]	+/–
Ремикс Федоры )

3.48, Аноним (48), 20:37, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
О, вот и кукушонок на зряплате прилетел, ща еще сап будет продвигать как единственную систему

2.58, Аноним (58), 07:30, 25/05/2026 [^] [^^] [^^^] [ответить]

+/–

> А что делать тем, у кого Debian 12 и nginx 1.2x?

Если обновляли пакеты после 16-го мая, то уже все хорошо.

nginx (1.22.1-9+deb12u7) bookworm-security; urgency=medium

  * backport changes from upstream nginx,c buffer overflow in
    the ngx_http_rewrite_module (CVE-2026-42945), buffer overread in
    the ngx_http_scgi_module and ngx_http_uwsgi_module (CVE-2026-42946),
    resolver use-after-free in OCSP (CVE-2026-40701), buffer overread in
    the ngx_http_charset_module (CVE-2026-42934)
    * d/p/CVE-2026-42945.patch add
    * d/p/CVE-2026-42946.patch add
    * d/p/CVE-2026-40701.patch add
    * d/p/CVE-2026-42934.patch add

-- Jan Mojžíš <janmojzis@debian.org> Fri, 15 May 2026 14:05:41 +0000

3.59, Аноним (58), 07:45, 25/05/2026 [^] [^^] [^^^] [ответить]	+/–
Хотя нет. У нынешней CVE другие циферки. Тормозит мейнтейнер.

1.26, Аноним (26), 06:57, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
>рабочий эксплоит, который будет опубликован А зачем это делать?

1.32, Аноним (32), 11:15, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	–1 +/–
А местные дистры опять будут выпускать апдейты неделю - как раз следующую RCE найдут, они эту запатчат.

2.36, Аноним (33), 11:50, 23/05/2026 [^] [^^] [^^^] [ответить]	+/–
А куда ты убежишь с подводной лодки?

1.38, Аноним (38), 12:23, 23/05/2026 [ответить] [﹢﹢﹢] [ · · · ]

+/–

> новая уязвимость вызвана переполнением буфера в модуле ngx_http_rewrite_module

Ахахах! т.е classic (c)

Думаю дырень не последняя.

2.42, Аноним (33), 14:46, 23/05/2026 [^] [^^] [^^^] [ответить]	–1 +/–
Кто надо уже нейронками всё нашёл и эксплуатирует для себя.

1.40, Аноним (40), 14:01, 23/05/2026 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ] [к модератору]	–2 +/–

2.41, Аноним (33), 14:45, 23/05/2026 Скрыто ботом-модератором [к модератору]	+/–

1.61, Аноним (61), 11:19, 25/05/2026 [ответить] [﹢﹢﹢] [ · · · ]	+/–
Я правильно понял, что если ngx_http_rewrite_module отключить (как нафиг не нужный), то никто не прорвётся?

игнорирование участников | лог модерирования

Добавить комментарий

Текст: