Krytyczna luka w NGINX
Najpoważniejszym zagrożeniem jest błąd oznaczony jako CVE-2026-42533, który otrzymał wysoki wskaźnik dotkliwości 9.2 w skali CVSS. Problem dotyczy zarówno wersji NGINX Plus, jak i NGINX Open Source. Atakujący może wykorzystać tę lukę poprzez wysłanie specjalnie spreparowanych zapytań HTTP, co prowadzi do przepełnienia bufora sterty (heap buffer overflow) i wymuszenia restartu procesu roboczego NGINX.
Występuje podatność w NGINX Plus i NGINX Open Source, gdy dyrektywa map używa dopasowania wyrażeń regularnych, a wyrażenie ciągowe odwołuje się do zmiennych przechwytywania wyrażeń regularnych mapy przed odwołaniem się do zmiennej wyjściowej mapy. Alternatywnie, ten sam rezultat można osiągnąć poprzez użycie zmiennej niepodlegającej buforowaniu w wyrażeniu ciągowym w określonych warunkach.
Atak nie wymaga uwierzytelnienia, choć jego powodzenie zależy od specyficznych warunków środowiskowych. W systemach z wyłączoną funkcją ASLR (Address Space Layout Randomization), luka ta może zostać wykorzystana do wykonania dowolnego kodu.
Pozostałe zagrożenia w NGINX i BIG-IP
Aktualizacje rozwiązują również szereg innych luk o wysokim stopniu zagrożenia, które pozwalają na nieautoryzowane działania w infrastrukturze sieciowej:
Producent nie odnotował dotychczas przypadków wykorzystania tych podatności w rzeczywistych atakach. Szczegółowe informacje techniczne oraz instrukcje dotyczące wdrożenia poprawek znajdują się w oficjalnym powiadomieniu bezpieczeństwa wydanym przez F5.

