Kerentanan NGINX Baru Memungkinkan Eksekusi Kode Jarak Jauh
Judul asli: New NGINX Vulnerability Allows Unauthenticated RCE
Mengapa Ini Penting
Kerentanan kritis pada web server populer dapat mempengaruhi infrastruktur web global
Kerentanan CVE-2026-8711 pada NGINX JavaScript memungkinkan penyerang remote tanpa otentikasi memicu buffer overflow berbasis heap untuk DoS dan eksekusi kode jarak jauh pada worker process NGINX.
Kerentanan baru pada NGINX JavaScript (njs) versi 0.9.4-0.9.8 memungkinkan serangan buffer overflow heap melalui direktif js_fetch_proxy ketika dikombinasikan dengan operasi ngx.fetch(). Masalah terjadi saat js_fetch_proxy dikonfigurasi dengan variabel NGINX yang dikontrol klien seperti $http_x_user. Penyerang dapat mengirim request HTTP yang dirancang khusus untuk menyebabkan crash worker process dan kondisi denial-of-service. Pada sistem dengan ASLR dinonaktifkan, overflow dapat dieksploitasi untuk eksekusi kode arbitrer. F5 menyatakan masalah terbatas pada data plane dan tidak mempengaruhi control plane atau produk F5 lainnya. Perbaikan tersedia di njs 0.9.9, dengan rekomendasi upgrade segera atau review konfigurasi js_fetch_proxy.