NGINX 새 취약점, 인증 없이 원격 코드 실행 가능
원제: New NGINX Vulnerability Allows Unauthenticated RCE
왜 중요한가
널리 사용되는 NGINX의 원격 코드 실행 취약점으로 웹 서버 보안에 중대한 영향을 미칠 수 있어 즉시 패치가 필요하다.
NGINX JavaScript(njs)에서 CVE-2026-8711 취약점이 발견됐다. 인증되지 않은 원격 공격자가 힙 기반 버퍼 오버플로를 트리거해 서비스 거부 및 특정 조건하에서 원격 코드 실행이 가능하다. njs 0.9.4~0.9.8 버전이 영향받으며, 0.9.9에서 수정됐다.
F5가 NGINX JavaScript(njs)의 심각한 취약점 CVE-2026-8711을 공개했다. 이 취약점은 js_fetch_proxy 지시어가 클라이언트 제어 변수와 ngx.fetch() 작업을 결합 처리할 때 발생하는 힙 기반 버퍼 오버플로 문제다. 공격자는 조작된 HTTP 요청을 통해 NGINX 워커 프로세스에서 힙 버퍼 오버플로를 유발할 수 있다. 주요 영향은 워커 프로세스 충돌과 자동 재시작으로 인한 서비스 거부(DoS) 상태다. ASLR이 비활성화되거나 잘못 구성된 시스템에서는 워커 컨텍스트에서 임의 코드 실행이 가능할 수 있다. 취약점은 njs 버전 0.9.4부터 0.9.8까지 영향을 받으며, 0.9.9에서 수정됐다. F5는 이 문제가 데이터 플레인에 국한되며 제어 플레인에는 영향을 주지 않는다고 밝혔다. BIG-IP, BIG-IQ 등 다른 F5 제품은 취약하지 않다. 관리자는 즉시 njs 0.9.9 이상으로 업그레이드하고, 불가능한 경우 js_fetch_proxy 구성을 검토해 클라이언트 제어 변수 사용 패턴을 제거하며 모든 NGINX 호스트에서 ASLR을 활성화해야 한다.