Las actualizaciones de seguridad de F5 corrigen una vulnerabilidad de alta severidad en NGINX. Un actor malicioso podría provocar una denegación de servicio o realizar la ejecución remota de código en los sistemas afectados.
Productos afectados
- NGINX de código abierto: versiones 0.1.17 a 0.9.7, versiones 1.30.x anteriores a 1.30.2 y versiones 1.31.x anteriores a 1.31.1.
- NGINX Plus: versiones 37.x anteriores a 37.0.1.1, versiones R36 anteriores a R36 P5 y versiones R32 anteriores a R32 P7.
Impacto
La vulnerabilidad se ha identificado como:
CVE-2026–9256: con una puntuación de 8.1 en CVSS v3.1. Existe una vulnerabilidad de desbordamiento de búfer basado en el heap en el módulo ngx_http_rewrite_module. Un actor malicioso remoto y no autenticado podría enviar solicitudes HTTP diseñadas que exploten patrones de expresiones regulares con capturas de expresiones regulares compatibles con Perl superpuestas en directivas de reescritura. Esto puede provocar el reinicio del proceso trabajador de NGINX o la ejecución de código arbitrario en sistemas donde la aleatorización del espacio de direcciones esté desactivada o pueda ser omitida.
Recomendación
Actualizar a la última versión disponible a través del sitio web oficial del fabricante.
Referencias