Heap buffer overflow в ngx_http_rewrite_module затрагивает nginx версий 0.6.27–1.30.0. Уязвимость присутствовала в коде с 2008 года. CVSS: 9.2.
Эксплуатация производится отправкой специально сформированного HTTP-запроса без аутентификации. Результат — падение воркер-процесса (DoS) с возможностью удалённого выполнения кода (RCE). Первые попытки активной эксплуатации зафиксированы 16 мая 2026 — через три дня после публикации PoC.
Исправление доступно в nginx Open Source 1.30.1 / 1.31.0 и nginx Plus R36 P4 / R32 P6. Обновление обязательно для всех затронутых инсталляций.
Источники: Help Net Security · The Hacker News · nginx Security Advisories
#nginx #security #CVE #linux #sysadmin