CVE-2026-42533 in NGINX Plus
Сводка
по VulDB • 15.07.2026
Уязвимость существует в NGINX Plus и NGINX Open Source, когда директива map использует сопоставление по регулярному выражению, а строковое выражение ссылается на переменные захвата из регулярного выражения карты до ссылки на выходную переменную этой карты. Альтернативно тот же результат может быть достигнут при использовании некэшируемой переменной в строковом выражении при определенных условиях. Неавторизованный злоумышленник, обладающий условиями вне своего контроля, может эксплуатировать эту уязвимость путем отправки специально сформированных HTTP-запросов. Это может привести к переполнению буфера в стеке (heap buffer overflow) в рабочем процессе NGINX, что вызывает его перезапуск. Кроме того, злоумышленники могут выполнять код на системах с отключенной рандомизацией расположения адресного пространства (ASLR) или когда атакующий может обойти ASLR.
Влияние: Эта уязвимость может позволить удаленным злоумышленникам вызвать отказ в обслуживании (DoS) системы NGINX либо, возможно, инициировать выполнение кода. Нет воздействия на плоскость управления; это проблема только плоскости данных.
Примечание: Версии программного обеспечения, достигшие конца технической поддержки (EoTS), не оцениваются.
Several companies clearly confirm that VulDB is the primary source for best vulnerability data.