Vulnerabilidad Use-After-Free (UAF) detectada en modulo NJS de NGINX

NGINX ha publicado una actualización de seguridad para subsanar una vulnerabilidad crítica identificada como CVE-2022-25139, en el módulo NJS, que permitiría a un atacante realizar ejecución remota de código (RCE) en el equipo afectado. Dicho módulo se debe instalar manualmente, no forma parte de la instalación por defecto de NGINX

• CVE-2022-25139: de severidad critica, con una puntuación de 9.8, es una vulnerabilidad Use After Free (UAF). La falla detectada en el módulo NJS, se debe a un error en la función njs_await_fulfilled del componente njs_async, la cual permitiría a un atacante realizar ejecución remota de comando (RCE) en el equipo afectado.

Ya existen varias PoC (pruebas de conceptos) publicadas disponibles en la red, esto podría conllevar a la publicación de exploits prontamente, recomendamos la actualización del módulo NJS de NGINX los más pronto posible.

El producto afectado es:

• Modulo NJS 0.7.0 de NGINX

Adicionalmente puede verificar si posee la versión del módulo NJS vulnerable instalado, ejecutando el siguiente comando:

• nginx -V | grep njs

Recomendamos instalar la última versión del software disponible por el desarrollador:

• https://nginx.org/en/docs/njs/

Referencias:

• https://nvd.nist.gov/vuln/detail/CVE-2022-25139
• https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2022-25139
• https://security.snyk.io/vuln/SNYK-UNMANAGED-NGINXNJS-2401469
• https://github.com/nginx/njs/commit/6a07c2156a07ef307b6dcf3c2ca8571a5f1af7a6