Se han descubierto vulnerabilidades de severidad alta en productos NGINX. Un actor malicioso podría provocar una denegación de servicio, ejecutar código arbitrario o realizar la escritura de archivos fuera del directorio raíz de documentos.
Productos afectados
NGINX Open Source: versiones 0.5.13 a 1.29.6.
NGINX Plus: versiones afectadas según el módulo específico habilitado.
Impacto
Las vulnerabilidades de mayor severidad se han identificado como:
CVE-2026-27654: con una puntuación de 8.2 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en memoria dinámica en el módulo ngx_http_dav_module. Un actor malicioso remoto podría, mediante el uso de los métodos MOVE o COPY en configuraciones específicas, provocar la terminación del proceso trabajador de NGINX o la modificación de nombres de archivos fuera del directorio raíz.
CVE-2026-32647: con una puntuación de 7.8 en CVSS v3.1. Existe una vulnerabilidad de lectura y escritura fuera de límites en el módulo ngx_http_mp4_module. Un actor malicioso local podría utilizar un archivo MP4 especialmente diseñado para provocar la terminación del proceso o la ejecución de código en la memoria del proceso trabajador de NGINX.
CVE-2026-27651: con una puntuación de 7.5 en CVSS v3.1. Existe una vulnerabilidad de desreferencia de puntero NULL en el módulo ngx_mail_auth_http_module. Un actor malicioso remoto podría enviar solicitudes diseñadas que provoquen la terminación de los procesos trabajadores cuando se encuentran habilitadas ciertas configuraciones de autenticación (CRAM-MD5 o APOP).
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias