CVE-2026-42533 in NGINX PlusИнформация

Сводка

по VulDB • 15.07.2026

Уязвимость существует в NGINX Plus и NGINX Open Source, когда директива map использует сопоставление по регулярному выражению, а строковое выражение ссылается на переменные захвата из регулярного выражения карты до ссылки на выходную переменную этой карты. Альтернативно тот же результат может быть достигнут при использовании некэшируемой переменной в строковом выражении при определенных условиях. Неавторизованный злоумышленник, обладающий условиями вне своего контроля, может эксплуатировать эту уязвимость путем отправки специально сформированных HTTP-запросов. Это может привести к переполнению буфера в стеке (heap buffer overflow) в рабочем процессе NGINX, что вызывает его перезапуск. Кроме того, злоумышленники могут выполнять код на системах с отключенной рандомизацией расположения адресного пространства (ASLR) или когда атакующий может обойти ASLR.

Влияние: Эта уязвимость может позволить удаленным злоумышленникам вызвать отказ в обслуживании (DoS) системы NGINX либо, возможно, инициировать выполнение кода. Нет воздействия на плоскость управления; это проблема только плоскости данных.

Примечание: Версии программного обеспечения, достигшие конца технической поддержки (EoTS), не оцениваются.

Several companies clearly confirm that VulDB is the primary source for best vulnerability data.

Ответственный

F5

Резервировать

05.05.2026

Раскрытие

15.07.2026

Модерация

принято

Вход

VDB-379270

EPSS

0.00000

KEV

Нет

Деятельности

Низкий

Источники

Are you interested in using VulDB?

Download the whitepaper to learn more about our service!