Des chercheurs en sécurité ont mis au jour plusieurs vulnérabilités dans NGINX Plus et NGINX Open Source. La plus grave d’entre elles était présente dans le code depuis 18 ans sans avoir été détectée.
Référencée sous le code CVE-2026-42945 et baptisée NGINX Rift, cette faille obtient un score CVSS v4 de 9,2 sur 10. Elle a été découverte par le groupe depthfirst et signalée à F5 le 21 avril 2026, selon les informations publiées par les deux parties.
A lire aussi
- iOS 26.5 corrige plus de 50 failles de sécurité sur iPhone
- Pourquoi la fonction de sécurité du Pixel rend la conduite plus dangereuse
Un débordement de mémoire accessible sans authentification
La vulnérabilité réside dans le module ngx_http_rewrite_module, chargé de gérer les règles de réécriture d’URL dans NGINX. Elle se manifeste dans une configuration précise, lorsqu’une directive rewrite est suivie d’une autre directive de même type, d’un bloc conditionnel ou d’une affectation, et qu’une capture PCRE non nommée est utilisée avec un point d’interrogation dans la chaîne de remplacement.
Dans ce contexte, un attaquant peut envoyer une seule requête HTTP soigneusement construite pour provoquer un débordement de mémoire dans le processus worker de NGINX. Aucune authentification préalable n’est requise. Le contenu des octets écrits en dehors de la zone mémoire allouée est directement contrôlé par l’attaquant via l’URI envoyée, ce qui rend la corruption prévisible et reproductible.
Sur les systèmes où la randomisation de l’espace d’adressage (ASLR) est désactivée, la faille peut mener à une exécution de code à distance dans le processus worker. Sur les autres systèmes, elle provoque au minimum un redémarrage du processus. Des requêtes répétées peuvent également maintenir les workers dans une boucle de plantage, dégradant la disponibilité de l’ensemble des sites servis par l’instance.
Un périmètre d’impact étendu
La liste des produits affectés est longue. Elle couvre NGINX Plus de la révision R32 à R36, NGINX Open Source de la version 1.0.0 à la version 1.30.0, mais aussi NGINX Instance Manager, NGINX App Protect WAF, F5 WAF for NGINX, NGINX Gateway Fabric et plusieurs versions de NGINX Ingress Controller.
Les versions NGINX Open Source 0.6.27 à 0.9.7 sont également concernées, mais F5 n’a pas prévu de correctif pour ces branches. Les correctifs ont été intégrés dans NGINX Plus R32 P6 et R36 P4, ainsi que dans NGINX Open Source 1.30.1 et 1.31.0.
Trois autres failles corrigées au passage
F5 a profité de cette publication pour corriger trois vulnérabilités supplémentaires. La CVE-2026-42946 (score CVSS v4 : 8,3) concerne une allocation mémoire excessive dans les modules SCGI et uWSGI, exploitable par un attaquant positionné en intermédiaire réseau pour lire la mémoire du processus worker.
La CVE-2026-40701 (score CVSS v4 : 6,3) est un problème d’utilisation après libération dans le module SSL, conditionnée à une configuration spécifique. La CVE-2026-42934 (score CVSS v4 : 6,3) est une lecture hors limites dans le module de gestion des jeux de caractères, pouvant exposer des contenus mémoire.
Mesures recommandées
F5 recommande d’appliquer les correctifs disponibles sans délai. Pour les équipes qui ne peuvent pas mettre à jour immédiatement, une mesure d’atténuation existe pour CVE-2026-42945 : remplacer les captures PCRE non nommées par des captures nommées dans toutes les directives rewrite concernées.
Compte tenu de la durée pendant laquelle cette faille est restée présente dans le code et de la popularité de NGINX comme serveur web et reverse proxy, une vérification rapide des configurations exposées sur Internet s’impose pour les administrateurs système.
Source : Thehackernews
