CVE-2026-56434 in NGINX Plus
Zusammenfassung
von VulDB • 15.07.2026
NGINX Plus und NGINX Open Source weisen eine Schwachstelle im Modul ngx_http_ssi_module auf. Diese Schwachstelle kann auftreten, wenn die Direktiven Server-Side Includes (SSI), proxy_pass und proxy_buffering off konfiguriert sind. Bei dieser Konfiguration könnte ein nicht authentifizierter Angreifer mit Man-in-the-Middle-(MITM)-Fähigkeiten zur Kontrolle der Antworten eines Upstream-Servers in der Lage sein, einen Heap-Buffer-Overread im NGINX-Arbeitsprozess (worker process) auszulösen. Dieses Problem kann zu einer begrenzten Änderung von Speicherinhalten oder einem Neustart des NGINX-Arbeitsprozesses führen.
Auswirkung: Diese Schwachstelle könnte es Remote-Angriffern ermöglichen, eine begrenzte Kontrolle über die Änderung von Speicherinhalten oder den Neustart des NGINX-Arbeitsprozesses zu erlangen. Es besteht keine Exposition der Control Plane; dies ist ausschließlich ein Problem der Data Plane.
Hinweis: Softwareversionen, die das Ende des technischen Supports (End of Technical Support, EoTS) erreicht haben, werden nicht bewertet.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.