Nouvelle vulnérabilité critique découverte dans Nginx
Original : New Nginx Exploit
Pourquoi c'est important
Vulnérabilité critique touchant un serveur web majeur avec 16 ans d'exposition
Une faille CVE-2026-42945 permet l'exécution de code à distance non authentifiée dans Nginx via un débordement de tampon dans le module ngx_http_rewrite_module, introduite en 2008.
La vulnérabilité CVE-2026-42945 est un débordement de tampon heap critique dans le module ngx_http_rewrite_module de Nginx, présent depuis 2008. Elle permet une exécution de code à distance non authentifiée sur les serveurs utilisant les directives rewrite et set. Le bug provient d'un processus en deux passes du moteur de script : calcul de la taille du tampon requis, puis copie des données. Le flag is_args est défini sur le moteur principal lors du remplacement rewrite contenant '?', mais le calcul de longueur s'exécute sur un sous-moteur fraîchement remis à zéro. Cette faille a été découverte automatiquement par le système d'analyse de sécurité de DepthFirst, accompagnée de trois autres vulnérabilités de corruption mémoire.