Desbordamiento de búfer en NGINX en F5
Los siguientes productos y versiones se encuentran afectados:
- NGINX Open Source versiones anteriores a la 1.31.1;
- NGINX Plus versiones anteriores a la 37.0.1.1.
Mufeed VH, de Nebula Security, ha reportado una vulnerabilidad de severidad crítica que, en caso de ser explotada, podría permitir a un atacante remoto realizar una denegación de servicio en el sistema NGINX y, en determinadas condiciones, ejecutar código arbitrario.
F5 recomienda actualizar los productos afectados a las siguientes versiones corregidas:
- NGINX Open Source 1.31.1 o posterior;
- NGINX Plus 37.0.1.1 o posterior.
CVE-2026-9256: la vulnerabilidad se debe a un desbordamiento de búfer basado en memoria dinámica en el módulo ngx_http_rewrite_module de NGINX. El fallo puede producirse cuando determinadas directivas rewrite utilizan patrones de expresiones regulares especialmente diseñados. Un atacante remoto no autenticado podría explotar esta vulnerabilidad mediante el envío de peticiones HTTP manipuladas para provocar el cierre inesperado de procesos del servicio afectado, ocasionando una denegación de servicio. En determinadas circunstancias y dependiendo de la configuración del sistema, también podría llegar a permitir la ejecución de remota de código arbitrario.
| Identificador CVE | Severidad | Explotación | Fabricante |
|---|---|---|---|
| CVE-2026-9256 | Crítica | No | F5 |
Fuente: link
Aviso: Esta noticia / aviso es únicamente informativa y su veracidad está supeditada a la fuente origen.
TechConsulting muestra este contenido por creer en su fuente y como servicio para facilitar a usuarios y empresas la obtención de dicho contenido. Agradecemos a la fuente el esfuerzo por distribuir este tipo de noticias y avisos sobre Ciberseguridad.
Para más información o dudas en Ciberseguridad aplicada a la empresa, puede ver nuestro catálogo de productos en Servicios TechConsulting o puede contactar con nosotros para resolver cualquier cuestión que pueda tener.