8 czerwca 2026 • root • PrywatnyInformatyk.pl
Administratorzy serwerów korzystających z Nginx powinni jak najszybciej zweryfikować zainstalowane wersje oprogramowania. W czerwcu 2026 roku opublikowano poprawki dla dwóch istotnych podatności oznaczonych jako CVE-2026-9256 oraz CVE-2026-42946. W zależności od konfiguracji serwera mogą one prowadzić do odmowy usługi (DoS), ujawnienia fragmentów pamięci procesu Nginx, a nawet potencjalnego wykonania kodu.
Czym jest Nginx?
Nginx jest jednym z najpopularniejszych serwerów WWW i reverse proxy na świecie. Obsługuje miliony stron internetowych, sklepów internetowych, aplikacji SaaS oraz usług hostingowych. Ze względu na swoją wydajność jest często wykorzystywany jako frontend dla Apache, PHP-FPM, aplikacji Python, Node.js oraz kontenerów Docker i Kubernetes.
CVE-2026-9256 – niebezpieczny błąd w module rewrite
Najpoważniejszą z opublikowanych podatności jest CVE-2026-9256. Problem został wykryty w module ngx_http_rewrite_module, odpowiedzialnym za obsługę reguł rewrite, if oraz set.
Podatność występuje w sytuacji, gdy administrator używa wyrażeń regularnych zawierających nakładające się grupy przechwytywania (PCRE captures), a następnie odwołuje się do nich w regułach przekierowań.
Przykład potencjalnie podatnej konfiguracji:
rewrite ^/((.*))$ /new/$1$2 redirect;Odpowiednio spreparowane żądanie HTTP może doprowadzić do przepełnienia bufora pamięci procesu roboczego Nginx.
Możliwe skutki ataku
- awaria procesu worker,
- ciągłe restarty procesów Nginx,
- odmowa usługi (DoS),
- potencjalne wykonanie kodu w określonych warunkach.
Według producenta podatne były praktycznie wszystkie wersje Nginx od 0.1.17 aż do 1.31.0.
CVE-2026-42946 – wyciek pamięci w SCGI i uWSGI
Druga podatność dotyczy modułów:
ngx_http_scgi_module,ngx_http_uwsgi_module.
Problem występuje podczas komunikacji Nginx z aplikacjami backendowymi za pomocą dyrektyw:
uwsgi_passlub
scgi_passZłośliwie przygotowana odpowiedź backendu może spowodować niekontrolowaną alokację pamięci lub odczyt danych spoza przydzielonego bufora.
Możliwe skutki
- wyciek fragmentów pamięci procesu Nginx,
- restart procesów worker,
- odmowa usługi (DoS),
- nadmierne wykorzystanie pamięci RAM.
Badacze bezpieczeństwa wskazują, że w określonych scenariuszach możliwe było wymuszenie alokacji nawet setek gigabajtów pamięci, prowadząc do wyczerpania zasobów serwera.
Kto jest najbardziej narażony?
Największe ryzyko dotyczy:
- serwerów wykorzystujących rozbudowane reguły rewrite,
- reverse proxy obsługujących wiele aplikacji,
- środowisk Kubernetes z ingress-nginx,
- instalacji Django wykorzystujących uWSGI,
- platform SaaS i mikroserwisów.
Dla typowych instalacji WordPress, Drupal, Joomla czy PrestaShop działających na PHP-FPM zagrożenie związane z CVE-2026-42946 jest zazwyczaj niewielkie. Znacznie większe znaczenie ma CVE-2026-9256.
Jak sprawdzić wersję Nginx?
nginx -vlub:
dpkg -l | grep nginxNa Debianie 12 (Bookworm) poprawki zostały wprowadzone w wersji:
1.22.1-9+deb12u8Na Debianie 13 (Trixie):
1.26.3-3+deb13u6Jak zaktualizować serwer?
apt update
apt full-upgrade
systemctl restart nginxPo aktualizacji warto również przejrzeć konfigurację pod kątem występowania dyrektyw:
rewrite
if
set
uwsgi_pass
scgi_passoraz upewnić się, że nie są wykorzystywane skomplikowane reguły bazujące na nakładających się grupach wyrażeń regularnych.
Co warto zapamiętać?
CVE-2026-9256 jest obecnie najgroźniejszą z omawianych podatności. W określonych konfiguracjach może zostać wykorzystana zdalnie przez zwykłe żądanie HTTP wysłane przez Internet. CVE-2026-42946 wymaga bardziej specyficznych warunków ataku, jednak również powinna zostać usunięta poprzez aktualizację oprogramowania.
Jeżeli zarządzasz serwerem WWW lub korzystasz z usług hostingowych opartych o Nginx, warto jak najszybciej sprawdzić wersję oprogramowania i zainstalować dostępne poprawki bezpieczeństwa.
Źródła
- https://nginx.org/en/security_advisories.html
- https://www.cve.org/CVERecord?id=CVE-2026-9256
- https://www.cve.org/CVERecord?id=CVE-2026-42946
- https://nvd.nist.gov/vuln/detail/CVE-2026-9256
- https://nvd.nist.gov/vuln/detail/CVE-2026-42946
- https://my.f5.com/manage/s/article/K000161377
- https://www.debian.org/security/