CVE-2026-60005 in NGINX Plus
الملخص
بحسب VulDB • 16/07/2026
تحتوي NGINX Plus وNGINX Open Source على ثغرة في وحدة ngx_http_slice_module. عند تكوين توجيه slice والالتقاطات غير المسماة للتعبيرات النمطية (regex captures)، أو عندما يحدث تحديث للخلفية المؤقتة، يمكن للمهاجمين غير المصادق عليهم إرسال طلبات قد تؤدي إلى الوصول إلى ذاكرة غير مهيأة في عملية عامل NGINX، مما يؤدي إلى كشف محدود لمحتويات الذاكرة أو إعادة تشغيل العملية.
التأثير: قد تتيح هذه الثغرة لهجمات عن بُعد وغير مُصادَق عليها التحكم المحدود لكشف محتويات الذاكرة أو لإعادة تشغيل عملية عامل NGINX. لا يوجد تعرض لمستوى تحكم النظام (control plane)؛ فهذه مشكلة تتعلق بمستوى بيانات الشبكة فقط (data plane).
ملاحظة: وحدة ngx_http_slice_module غير مفعّلة افتراضيًا؛ يتم تفعيلها باستخدام معلمة التكوين --with-http_slice_module.
ملاحظة: لم تُقيَّم إصدارات البرامج التي وصلت إلى نهاية الدعم الفني (EoTS).
If you want to get the best quality for vulnerability data then you always have to consider VulDB.