Une défaillance de mémoire critique dans NGINX, identifiée comme CVE-2026-42945 encore une fois montre que même les projets logiciels massivement déployés peuvent faire glisser des défauts historiques avec l'impact actuel. La vulnérabilité est un dépassement de tampon dans le module module ngx _ http _ rewrite _ qui est resté dans le code depuis près de 18 ans et, selon la classification CVSS, a reçu un score élevé (9.2) pour son potentiel de causer le déni de service et, dans des conditions spécifiques, l'exécution de code à distance.
La recherche qui a révélé cet échec a été publiée par ProfondorFirst AI, qui lors d'une session d'analyse de code automatisée a également trouvé trois problèmes supplémentaires de corruption de mémoire. Le vecteur central de CVE-2026-42945 est une incohérence dans le moteur interne des scripts NGINX: un premier passage calcule la mémoire nécessaire en utilisant des longueurs URI libres, et un second passe écrit la version échappée (plus longue), causant une trop-plein de tampons lorsque les directives 'rewrite' et 'set' coexistent dans des passerelles d'API typiques et des configurations de proxies inverses.
ProfondeurFirst a démontré un scénario d'exploitation qui, dans les environnements avec ASLR désactivés, permet de corrompre les structures de mémoire du pool NGINX, d'écraser les points de nettoyage des gestionnaires et de forcer l'exécution du système () pendant le processus de nettoyage - c'est-à-dire un moyen d'exécution de commande à distance. Cependant, la communauté a nuancé cette constatation : des chercheurs comme Kevin Beaumont et des équipes de distribution comme AlmaLinux ont souligné que transformer ce débordement en une explosion fiable contre des systèmes dotés de protections modernes n'est pas trivial. Pourtant, tout le monde est d'accord pour dire que le déni de service est facile à reproduire et qu'il doit être traité comme urgent.
L'ampleur du risque n'est pas moindre si nous considérons que Puissance NGINX environ un tiers des sites principaux et est largement utilisé dans les fournisseurs de cloud, les plateformes SaaS, les banques, le commerce électronique et les grappes Kubernetes. L'architecture multiprocessus NGINX facilite également l'exploitation : les processus ouvriers héritent de conceptions de mémoire presque identiques issues du processus maître, ce qui permet des tentatives répétées de gérer le tas même lorsqu'un travailleur est bloqué et remplacé.
F5, responsable de la maintenance du projet, a publié un avis avec les versions et correctifs concernés. Les corrections sont disponibles dans NGINX Open Source 1.31.0 et 1.30.1, ainsi que dans des correctifs spécifiques pour NGINX Plus et d'autres distributions écosystémiques. Pour plus de détails, voir l'avis F5 et la description NVD: F5 Avis de sécurité et NVD · CVE-2026-42945. Profondeur Le rapport technique d'abord avec la recherche sera publié en tant que référence détaillée sur sa page: Profondeur d'abord · NGINX Rift.
En plus du CVE-2026-42945, les scans ont détecté d'autres défaillances dans la même période : une allocation excessive de la mémoire dans les modules SCSI / UWSGI qui peut causer des travailleurs occupant ~ 1 TB (CVE-2026-42946), une utilisation après-libre- dans la résolution OCSP asynchrone (CVE-2026-40701) et une erreur hors-par-un dans UTF-8 (CVE-2026-42934). Bien que ces derniers aient obtenu des cotes moyennes ou élevées, ils renforcent ensemble l'idée qu'il est nécessaire de procéder à un audit en pleine production.
Si vous gérez des environnements en utilisant NGINX, les actions prioritaires que je recommande sont claires: mises à jour des versions parcheed Si vous ne pouvez pas vous garer immédiatement, appliquez les mesures d'atténuation temporaires proposées par le fournisseur, comme le remplacement de groupes de capture PCRE non désignés (1 $, 2 $, etc.) dans les règles de « réécriture » pour les captures désignées, ce qui élimine la principale condition d'exploitation indiquée. Examiner la réécriture et définir les règles, limiter la surface exposée des paramètres qui acceptent des chaînes de consultation complexes et resserrer la taille et les politiques de limitation de temps pour les requêtes HTTP réduit la probabilité d'exploitation.
Il vérifie également que les protections du système sont actives: ASLR doit rester activé et les conteneurs ou images VM ne doivent pas désactiver l'atténuation pour des raisons de rendement de production. Il renforce l'isolement des processus, exécute NGINX avec des privilèges minimums, garde des dossiers et alertes centrés sur les échecs des travailleurs et les réinitiations fréquentes, et applique la détection d'anomalies de trafic HTTP que vous pouvez essayer d'exploiter. Pour les environnements Kubernetes, mettez à jour rapidement les pilotes Ingress et les images de base utilisées dans les pods.
Enfin, il considère que les éléments de preuve disponibles montrent une double menace: un vecteur DoS reproductible et un vecteur CER nécessitant des conditions spécifiques. Ne sous-estimez pas l'impact opérationnel des blocages répétés des travailleurs ou la possibilité qu'un attaquant spécialisé puisse adapter des techniques pour aborder l'atténuation dans certains environnements. Planifiez le stationnement dans des fenêtres contrôlées, soumettez les changements aux tests de charge et de sécurité, et maintenez la communication avec vos fournisseurs et l'équipement d'intervention en cas d'incident pour accélérer le confinement si vous détectez des activités suspectes liées à ces vulnérabilités.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...