Zpětná vazba k reportu

Neautentizovanému vzdálenému útočníkovi je kvůli přetečení bufferu v modulu pro WebDAV (ngx_http_dav_module) zasláním speciálně upraveného řetězce umožněno vykonat útok DoS na NGINX nebo modifikovat názvy souborů, ke kterým má worker proces NGINX přístup. Zranitelné jsou konfigurace s povoleným modulem DAV s metodami MOVE nebo COPY, využívající prefix location a direktivu alias. Detailní informace včetně pokynů k dočasné mitigaci naleznete na [2].

Zranitelnost se nachází v produktech:

• NGINX Plus ve verzích (>=R32 AND <R32 P5) OR (>=R33 AND <R35 P2) OR (>=R36 AND <R36 P3)
• NGINX Open Source ve verzích (>=0.5.13 AND <=0.9.7) OR (>=1.0.0 AND <1.28.3) OR (>=1.29 AND <1.29.7)

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:L/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2026-27654 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-122: Heap-based Buffer Overflow at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 3. 2026.

Neautentizovanému vzdálenému útočníkovi je za určitých podmínek umožněno na instance s aktivním modulem ngx_mail_auth_http_module vykonat útok DoS. Systém je zranitelný využívá-li CRAM-MD5 nebo APOP jako metody ověření, a pokud autentizační server povolí opakování požadavku prostřednictvím hlavičky Auth-Wait [3].

Zranitelnost se nachází v produktech:

• NGINX Plus ve verzích (>=R32 AND <R32 P5) OR (>=R33 AND <R35 P2) OR (>=R36 AND <R36 P3)
• NGINX Open Source ve verzích (>=0.5.15 AND <=0.9.7) OR (>=1.0.0 AND <1.28.3) OR (>=1.29 AND <1.29.7)

CVSS: CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2026-27651 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-476: NULL Pointer Dereference at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 3. 2026.

Autentizovanému lokálnímu útočníkovi je pomocí speciálně vytvořeného MP4 souboru za určitých podmínek umožněno vykonat útok DoS na systém NGINX s aktivním modulem ngx_http_mp4_module nebo potenciálně spustit kód. Zranitelné jsou pouze instance, které mají v konfiguraci aktivní direktivu mp4 a u kterých útočník dokáže vynutit zpracování daného souboru [4]. Podobná zranitelnost (CVE-2026-27784) postihuje specificky 32bitové implementace systému NGINX Open Source [5]. Detailní informace včetně pokynů k dočasné mitigaci naleznete na [4][5].

Zranitelnost se nachází v produktech:

• NGINX Plus ve verzích (>=R32 AND <R32 P5) OR (>=R33 AND <R35 P2) OR (>=R36 AND <R36 P3)
• NGINX Open Source ve verzích (>=1.1.19 AND <1.28.3) OR (>=1.29 AND <1.29.7)

CVSS: CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

• CVE-2026-32647 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
• CWE-125: Out-of-bounds Read at cwe.mitre.org

Zranitelnost byla veřejně oznámena 24. 3. 2026.