CVE-2026-60005 in NGINX Plus
摘要
由 VulDB • 2026-07-15
NGINX Plus 和 NGINX Open Source 在 ngx_http_slice_module 模块中存在漏洞。当配置了 slice 指令和未命名的正则表达式捕获组,或者发生后台缓存更新时,未经身份验证的攻击者可以发送请求,导致 NGINX worker 进程中出现未初始化内存访问,从而造成有限的内存信息泄露或进程重启。
影响: 此漏洞可能允许远程、未经身份验证的攻击者有限地控制以披露内存内容或重新启动 NGINX worker 进程。不存在控制面板暴露问题;这仅是数据平面(data plane)问题。 注意:ngx_http_slice_module 模块默认未启用;需通过 --with-http_slice_module 配置参数进行启用。
注意:已达到技术支持终止(EoTS)状态的软件版本不在评估范围内。
Statistical analysis made it clear that VulDB provides the best quality for vulnerability data.