NGINX - CVE-2026-42533
Date de publication :
Il s'agit d'une vulnérabilité dans le traitement de la directive map lorsqu'elle utilise une correspondance par expression régulière.
NGINX est un serveur web et reverse-proxy open source, également décliné en version commerciale (NGINX Plus), utilisé pour la distribution de charge, la terminaison TLS et le service de contenu web statique et dynamique.
Le défaut survient lorsqu'une expression de type chaîne référence les variables de capture regex de la map avant de référencer la variable de sortie de la map elle-même, ou de manière équivalente lorsqu'une variable non-cachable est utilisée dans une expression de type chaîne sous certaines conditions. Un attaquant non authentifié peut déclencher ce comportement en envoyant des requêtes HTTP spécialement forgées vers le processus worker NGINX, provoquant un débordement de tampon de tas. Sur les systèmes où l'ASLR (Address Space Layout Randomization) est désactivé ou peut être contourné, ce débordement peut être exploité pour obtenir une exécution de code.
Elle permet un redémarrage du processus worker NGINX et, sous conditions spécifiques, une exécution de code arbitraire.
Informations
La faille est activement exploitée : Non
Un correctif existe : Oui
Une mesure de contournement existe : Oui
Déni de service (à distance)
Exploitation
CWE-122 : Heap-based Buffer Overflow
Détails sur l'exploitation
• Vecteur d'attaque : Réseau
• Complexité de l'attaque : Élevée
• Privilèges nécessaires pour réaliser l'attaque : Aucun
• Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
• L'exploitation de la faille permet d'obtenir des droits privilégiés : Oui
Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.
Systèmes ou composants affectés
• NGINX Plus versions 37.0.0.1 jusqu'à 37.0.2.1
• NGINX Plus R33 jusqu'à R36
• NGINX Open Source version 1.31.2
• NGINX Open Source versions 1.30.0 jusqu'à 1.30.3
• NGINX Instance Manager versions 2.17.0 jusqu'à 2.22.1
• F5 WAF for NGINX versions 5.9.0 jusqu'à 5.13.3
• NGINX App Protect WAF versions 5.2.0 jusqu'à 5.8.0
• NGINX App Protect WAF versions 4.11.0 jusqu'à 4.16.0
• NGINX Gateway Fabric versions 2.0.0 jusqu'à 2.6.6
• NGINX Gateway Fabric versions 1.3.0 jusqu'à 1.6.2
• NGINX Ingress Controller versions 2026-lts-r1 jusqu'à 2026-lts-r3
• NGINX Ingress Controller versions 5.0.0 jusqu'à 5.5.2
• NGINX Ingress Controller versions 4.0.0 jusqu'à 4.0.1
• NGINX Ingress Controller versions 3.5.0 jusqu'à 3.7.2
Contournement provisoire
Solutions ou recommandations
• NGINX Plus R36 P7 et supérieures
• NGINX Open Source version 1.31.3 et supérieures (branche 1.31.x)
• NGINX Open Source version 1.30.4 et supérieures (branche 1.30.x)
• NGINX Gateway Fabric version 2.6.7 et supérieures (branche 2.x)
• NGINX Ingress Controller version 2026-lts-r4 et supérieures (branche 5.x LTS)
• NGINX Ingress Controller version 5.5.3 et supérieures (branche 5.x)
• Aucun correctif disponible à ce jour pour NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF (branches 5.x et 4.x), NGINX Gateway Fabric (branche 1.x) et NGINX Ingress Controller (branches 4.x et 3.x)