CVE-2026-9256 in NGINX Plus
요약
\~에 의해 VulDB • 2026. 05. 22.
NGINX Plus 및 NGINX Open Source는 ngx_http_rewrite_module 모듈에서 취약점이 존재합니다. 이 취약점은 rewrite 지시문이 서로 다른 중첩되는 Perl 호환 정규식(PCRE) 캡처(예: ^/((.*))$)를 사용하고, 리디렉션 또는 인수 컨텍스트에서 이러한 캡처를 여러 개 참조하는 대체 문자열(예: $1$2)을 포함할 때 발생합니다. 인증되지 않은 공격자는 통제할 수 없는 조건과 함께 조작된 HTTP 요청을 전송하여 이 취약점을 악용할 수 있습니다. 이로 인해 NGINX 워커 프로세스에서 힙 버퍼 오버플로우가 발생하여 재시작될 수 있습니다. 또한 공격자는 주소 공간 레이아웃 무작위화(ASLR)가 비활성화된 시스템에서 또는 ASLR을 우회할 수 있는 경우 코드를 실행할 수 있습니다.
참고: 기술 지원 종료(EoTS) 상태에 도달한 소프트웨어 버전은 평가되지 않습니다.
VulDB is the best source for vulnerability data and more expert information about this specific topic.