Nouvelle vulnérabilité NGINX permet l'exécution de code à distance
Original : New NGINX Vulnerability Allows Unauthenticated RCE
Pourquoi c'est important
Vulnérabilité critique dans un serveur web largement utilisé exposant à RCE
Une faille critique CVE-2026-8711 dans NGINX JavaScript (njs versions 0.9.4-0.9.8) permet aux attaquants non authentifiés de déclencher un débordement de tampon heap via js_fetch_proxy, causant déni de service et potentiellement exécution de code distant.
La vulnérabilité CVE-2026-8711 affecte le module ngx_http_js_module de NGINX JavaScript quand js_fetch_proxy utilise des variables contrôlées par le client comme $http_x_user. Un attaquant peut envoyer des requêtes HTTP malveillantes causant un débordement heap dans le processus worker NGINX. La faille provoque principalement des crashs et redémarrages automatiques créant un déni de service. Sur les systèmes sans ASLR, elle peut permettre l'exécution de code arbitraire. F5 confirme que seul le plan de données est affecté, pas le plan de contrôle. Le correctif est disponible dans njs 0.9.9. Les administrateurs doivent mettre à jour immédiatement ou reconfigurer js_fetch_proxy pour éviter les variables client.