NGINX ha publicado una actualización de seguridad para subsanar una vulnerabilidad crítica identificada como CVE-2022-25139, en el módulo NJS, que permitiría a un atacante realizar ejecución remota de código (RCE) en el equipo afectado. Dicho módulo se debe instalar manualmente, no forma parte de la instalación por defecto de NGINX
- CVE-2022-25139: de severidad critica, con una puntuación de 9.8, es una vulnerabilidad Use After Free (UAF). La falla detectada en el módulo NJS, se debe a un error en la función njs_await_fulfilled del componente njs_async, la cual permitiría a un atacante realizar ejecución remota de comando (RCE) en el equipo afectado.
Ya existen varias PoC (pruebas de conceptos) publicadas disponibles en la red, esto podría conllevar a la publicación de exploits prontamente, recomendamos la actualización del módulo NJS de NGINX los más pronto posible.
El producto afectado es:
- Modulo NJS 0.7.0 de NGINX
Adicionalmente puede verificar si posee la versión del módulo NJS vulnerable instalado, ejecutando el siguiente comando:
- nginx -V | grep njs
Recomendamos instalar la última versión del software disponible por el desarrollador:
Referencias: