返回首页 >

【已复现】NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256)安全风险通告

2026-05-27 10:58   奇安信

  目前,奇安信威胁情报中心安全研究员已成功复现NGINX ngx_http_rewrite_module 堆缓冲区溢出漏洞(CVE-2026-9256),截图如下:

  04处置建议>>>>

  安全更新

  官方已发布安全补丁,请及时更新至最新版本:NGINX Open Source 1.* >= 1.31.1NGINX Open Source 1.* >= 1.30.2NGINX Plus 37.* >= 37.0.1.1NGINX Plus R32 >= R32 P7NGINX Plus R36 >= R36 P5其他衍生组件(Instance Manager、WAF、Ingress Controller 等):升级至已修复版本,或迁移到含修复的基础 NGINX 版本。下载地址:https://my.f5.com/manage/s/article/K000161377缓解措施:将所有受影响 rewrite 指令中未命名捕获组($1、$2)替换为命名捕获组。易受攻击示例:

  rewrite ^/users/([0-9]+)/profile/(.*)$ /profile.php?id=$1&tab=$2 last;

  修复后示例:

  rewrite ^/users/(?[0-9]+)/profile/(?

.*)$ /profile.php?id=$user_id&tab=$section last;

  05参考资料

[1]https://my.f5.com/manage/s/article/K000161377[2]http://www.openwall.com/lists/oss-security/2026/05/22/14

  

责编:崔金硕

猜你喜欢

热点新闻

{$loop_num=0}

360发布AI安全研究报告:漏洞挖掘能力成为AI时代安全竞争关键

05月12日17:19

千万条学生数据被地下交易,堵“漏洞”抓“内鬼”是关键

05月13日14:07

18年积弊:NGINX脚本引擎堆缓冲区溢出可致远程代码执行

05月15日11:00

今日(2026年5月17日)热点网络安全漏洞动态

05月18日09:55

广饶“520”领证现场 幸福感溢出屏幕

05月20日17:32