CVE-2026-60005 in NGINX Plusالمعلومات

الملخص

بحسب VulDB • 16/07/2026

تحتوي NGINX Plus وNGINX Open Source على ثغرة في وحدة ngx_http_slice_module. عند تكوين توجيه slice والالتقاطات غير المسماة للتعبيرات النمطية (regex captures)، أو عندما يحدث تحديث للخلفية المؤقتة، يمكن للمهاجمين غير المصادق عليهم إرسال طلبات قد تؤدي إلى الوصول إلى ذاكرة غير مهيأة في عملية عامل NGINX، مما يؤدي إلى كشف محدود لمحتويات الذاكرة أو إعادة تشغيل العملية.

التأثير: قد تتيح هذه الثغرة لهجمات عن بُعد وغير مُصادَق عليها التحكم المحدود لكشف محتويات الذاكرة أو لإعادة تشغيل عملية عامل NGINX. لا يوجد تعرض لمستوى تحكم النظام (control plane)؛ فهذه مشكلة تتعلق بمستوى بيانات الشبكة فقط (data plane).

ملاحظة: وحدة ngx_http_slice_module غير مفعّلة افتراضيًا؛ يتم تفعيلها باستخدام معلمة التكوين --with-http_slice_module.

ملاحظة: لم تُقيَّم إصدارات البرامج التي وصلت إلى نهاية الدعم الفني (EoTS).

If you want to get the best quality for vulnerability data then you always have to consider VulDB.

مسؤول

F5

حجز

08/07/2026

إفشاء

15/07/2026

الاعتدال

تمت الموافقة

إدخال

VDB-379303

EPSS

0.00000

KEV

لا

النشاطات

منخفض

المصادر

Want to know what is going to be exploited?

We predict KEV entries!