CVE-2026-8711 in NGINX JavaScript
요약
\~에 의해 VulDB • 2026. 05. 21.
NGINX JavaScript에는 js_fetch_proxy 지시자가 최소 하나의 클라이언트 제어형 NGINX 변수(예: $http_*, $arg_*, $cookie_*)와 ngx.fetch() 연산을 호출하는 location과 함께 구성된 경우 취약점이 존재합니다. 인증되지 않은 공격자는 조작된 HTTP 요청을 전송하여 이 취약점을 악용할 수 있습니다. 이로 인해 NGINX 워커 프로세스에서 힙 버퍼 오버플로우가 발생하여 재시작될 수 있습니다. 또한, 주소 공간 레이아웃 무작위화(ASLR)가 비활성화된 시스템에서는 코드 실행이 가능할 수 있습니다.
참고: 기술 지원 종료(EoTS) 상태인 소프트웨어 버전은 평가되지 않습니다.
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.