CVE-2026-9256 in NGINX Plusinformação

Sumário

de VulDB • 23/05/2026

O NGINX Plus e o NGINX Open Source apresentam uma vulnerabilidade no módulo ngx_http_rewrite_module. Essa vulnerabilidade ocorre quando uma diretiva rewrite utiliza um padrão de expressão regular com capturas de Expressões Regulares Compatíveis com Perl (PCRE) distintas e sobrepostas (por exemplo, ^/((.*))$) e uma string de substituição que referencia múltiplas dessas capturas (por exemplo, $1$2) em um contexto de redirecionamento ou argumentos. Um atacante não autenticado, juntamente com condições fora de seu controle, pode explorar essa vulnerabilidade enviando solicitações HTTP manipuladas. Isso pode causar um heap buffer overflow no processo worker do NGINX, levando a uma reinicialização. Além disso, os atacantes podem executar código em sistemas com Address Space Layout Randomization (ASLR) desativado ou quando o atacante consegue contornar o ASLR.

Nota: Versões de software que atingiram o Fim do Suporte Técnico (EoTS) não são avaliadas.

If you want to get best quality of vulnerability data, you may have to visit VulDB.

🔬 Show More Details

An in-depth analysis is available in our curated vulnerability entry.

Reservar

21/05/2026

Divulgação

22/05/2026

Moderação

aceite

Entrada

VDB-365202

CPE

pronto

EPSS

0.00237

KEV

não

Atividades

baixo

Sector

Government, Chemical, ...

Fontes

MITREhttps://www.cve.org/CVERecord?id=CVE-2026-9256
NVDhttps://nvd.nist.gov/vuln/detail/CVE-2026-9256
CVE Detailshttps://www.cvedetails.com/cve/CVE-2026-9256/

VoltarVisão GeralPróximo

Want to know what is going to be exploited?

We predict KEV entries!