ST

Live Redaktion

SvyTech

TechnologieHardwareForschungArchivSuche
Redaktion
Suche
TechnologieHardwareForschungArchivSuche
ST

Redaktionelles Netzwerk

SvyTech

Kuratierte Meldungen zu KI, Hardware, Energie und Forschung werden redaktionell geprueft und in einem publizierbaren Nachrichtenfluss aufbereitet.

LivetickerSEO FokusKuratierte Auswahl

Navigation

TechnologieHardwareForschungArchivSuche

Vertrauen

Ueber unsRichtlinienKontaktWerbung

Auf dem Laufenden bleiben

Bis ein echter Newsletter angebunden ist, erreichst du alle neuen Inhalte direkt ueber Archiv, Suche und den RSS-Feed.

Zum ArchivThemen durchsuchenRSS abonnieren

(c) 2026 SvyTech.

ImpressumDatenschutzRSSads.txt
Startseite/Technologie
Cyber Security NewsTechnologie

Neues NGINX-Sicherheitsloch ermöglicht Angreifern Fernauslösung bösartiger Code

Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der zu einem Den

20. Mai 2026AbinayaLive Redaktion
Neues NGINX-Sicherheitsloch ermöglicht Angreifern Fernauslösung bösartiger Code

Kurzfassung

Warum das wichtig ist

Cyber Security NewsTechnologie
  • Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der zu einem Den
  • Der Fehler ist auf die Verarbeitung Direktive js_fetch_proxy zurückzuführen, wenn diese mit der Operation ngx.fetch() aus NGINX JavaScript kombiniert wird.
  • Das Problem tritt Modul ngx_http_js_module auf, wenn js_fetch_proxy mit mindestens einer clientgesteuerten NGINX-Variablen wie,, oder konfiguriert ist.

SvyTech-Check

Redaktionelle Einordnung

Eigene Kontextschicht

Kernpunkt

Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der...

Warum relevant

Wenn ein Location dann eine NJS-Funktion aufruft, die ngx.fetch() verwendet, können Angreifer speziell gestaltete HTTP-Anfragen senden, die zu einem heap-basierten Pufferüberlauf im NGINX-Worker-Prozess führen.

Einordnung

SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.

Wenn ein Location dann eine NJS-Funktion aufruft, die ngx.fetch() verwendet, können Angreifer speziell gestaltete HTTP-Anfragen senden, die zu einem heap-basierten Pufferüberlauf im NGINX-Worker-Prozess führen.

NGINX-Pufferüberlauf-Schwachstelle Die Schwachstelle wird als CWE-122: Heap-basierter Pufferüberlauf klassifiziert und wird intern von F5 unter der ID 160 für NGINX Plus und NGINX OSS verfolgt.

Dieser Fehler führt primär Abstürzen der Worker-Prozesse und deren automatischen Neustarts, was im NGINX-Datenplan effektiv einen Denial-of-Service (DoS)-Zustand erzeugt.

Sicherheitslage und Risiko

Auf Systemen, bei denen die Address Space Layout Randomization (ASLR) deaktiviert ist oder fehlerhaft konfiguriert wurde, kann das Überlaufproblem ausgenutzt werden, um beliebigen Code Worker-Kontext auszuführen. Die Schwachstelle betrifft NGINX JavaScript (njs)-Versionen 0.9.4 bis 0.9.8; die Behebung wurde in njs 0.9.9 eingeführt.

Quellenprofil

Quelle und redaktionelle Angaben

Quelle
Cyber Security News
Canonical
https://cybersecuritynews.com/nginx-buffer-overflow-vulnerability/
Quell-URL
https://cybersecuritynews.com/nginx-buffer-overflow-vulnerability/

Aehnliche Inhalte

Verwandte Themen und interne Verlinkung

Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Apple A20 Pro mit 13-jähriger Speicherpraxis bricht Gewohnheiten
AnalyseTechnologie

Apple A20 Pro mit 13-jähriger Speicherpraxis bricht Gewohnheiten

Apple bereitet mit dem A20 Pro-Chip und 96-Bit-LPDDR6-Speicher für die iPhone 18 Pro-Modelle einen architektonischen Wechsel vor, um die Anforderungen der Apple Intelligence durch höhere Datenbandbreiten zu erfüllen. Um die durch den fortschrittlichen 2-Nanometer-Prozess und den neuen Speicher verursachten Kosten auszugleichen, plant das Unternehmen Einsparungen bei den NAND-Flash-Speichern der neuen Geräte.

04.07.2026

Live Redaktion

Betroffen ist das ngx_http_js_module-Modul, das NJS-basierte HTTP-Verarbeitungsrichtlinien wie js_content und js_fetch_proxy bereitstellt.

Neues NGINX-Sicherheitsloch ermöglicht Angreifern Fernauslösung bösartiger Code
Neues NGINX-Sicherheitsloch ermöglicht Angreifern Fernauslösung bösartiger Code

Ein typisches verwundbares Muster ist eine Konfiguration, bei der js_fetch_proxy eine Proxy-URL unter Verwendung erstellt, beispielsweise $http_x_user und $http_x_password, und js_content auf eine NJS-Funktion (beispielsweise main.fetcher) verweist, die ngx.fetch() mit dieser URL aufruft.

Technischer Hintergrund

In dieser Konfiguration kann ein Angreifer diese Header-Werte manipulieren, um den Heap-Speicher in einem NGINX-Worker zu beschädigen und diesen wiederholt abstürzen zu lassen. F5 gab Artikel K000161307 an, dass das Problem auf die Datenebene beschränkt ist und die Steuerungsplane nicht betrifft.

Andere F5-Produkte und -Dienste, wie BIG‑IP, BIG‑IQ, BIG‑IP Next, F5OS und F5 Distributed Cloud-Dienste, werden in ihren evaluierten Versionen als nicht anfällig für CVE‑2026‑8711 gemeldet. Administratoren, die, werden dringend aufgefordert, auf NGINX JavaScript 0.9.9 oder eine neuere Version zu aktualisieren, da dies die primäre Gegenmaßnahme darstellt.

Umgebungen, auf die die Spalte „Versions known to be vulnerable" zutrifft, sollten auf eine Version wechseln, die in der Spalte „Fixes introduced in" oder einer späteren Version aufgeführt ist.

Wenn eine sofortige Aktualisierung nicht möglich

Wenn eine sofortige Aktualisierung nicht möglich ist, sollten Betreiber die Konfigurationen auf den Einsatz von js_fetch_proxy mit clientgesteuerten Variablen überprüfen, diese Muster umgestalten oder entfernen, und sicherstellen, dass ASLR auf allen NGINX-Hosts aktiviert ist, Code-Ausführungsversuche zu erschweren.

Abi ist Sicherheitsredakteurin und Reporterin bei

Quelllink

Originalquelle: Cyber Security News

Originalartikel oeffnen->

Thema weiterverfolgen

Technologie ArchivMehr von Cyber Security News

Interne Verlinkung

Im Kontext weiterlesen

Diese weiterfuehrenden Links verbinden das Thema mit relevanten Archivseiten, Schlagwoertern und inhaltlich nahen Artikeln.

Technologie Archiv

Weitere Meldungen aus derselben Hauptkategorie.

Mehr von Cyber Security News

Alle veroeffentlichten Inhalte derselben Quelle im Archiv.

Apple A20 Pro mit 13-jähriger Speicherpraxis bricht Gewohnheiten

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Hollywood-Studios fordern Midjourney-Geheimnisse zur Künstlichen Intelligenz

Redaktionell verwandter Beitrag aus dem selben Themenumfeld.

Hollywood-Studios fordern Midjourney-Geheimnisse zur Künstlichen Intelligenz
WarnungTechnologie

Hollywood-Studios fordern Midjourney-Geheimnisse zur Künstlichen Intelligenz

Midjourney fordert im Rechtsstreit mit den Filmstudios Disney, Universal und Warner Bros. Details zur eigenen Nutzung von Künstlicher Intelligenz durch die Studios heraus, um die Debatte über Urheberrechte und faire Nutzung zu vertiefen. Sollte das Gericht diese Anfrage genehmigen, werden erstmals offizielle Informationen darüber veröffentlicht, wie KI in den kreativen Prozessen der Hollywood-Studios integriert wird, was den Verlauf des Verfahrens sowie zukünftige Urheberrechtsfragen beeinflussen könnte.

04.07.2026

Live Redaktion
Wissenschaftler entdecken Weg zur unbegrenzten Produktion von Krebs-fressenden Immunzellen
Im FokusTechnologie

Wissenschaftler entdecken Weg zur unbegrenzten Produktion von Krebs-fressenden Immunzellen

Forscher der University of Southern California haben genetisch manipulierte Vorläuferzellen (GMP) entwickelt, die sich im Gegensatz zu herkömmlichen Makrophagen im Körper kontinuierlich vermehren und so einen anhaltenden Schutz gegen solide Tumore bieten. In Versuchen an Mäusen zeigten diese Zellen, dass sie sich im gesamten Organismus ausbreiten und die Krebsfortschreitung sowohl im Blut als auch in den Tumoren wirksam hemmen, was neue Möglichkeiten für makrophagenbasierte Krebstherapien eröffnet.

04.07.2026

Live Redaktion
Chinesische JCET plant 1,15-Milliarden-Dollar-Chip-Verpackungsanlage in Shanghai
AnalyseTechnologie

Chinesische JCET plant 1,15-Milliarden-Dollar-Chip-Verpackungsanlage in Shanghai

Der chinesische Halbleiterkonzern JCET plant eine Investition von 1,15 Milliarden US-Dollar in ein neues Produktionswerk im Shanghaier Sondergebiet Lingang, um bis zum zweiten Halbjahr 2028 hochpräzise Verpackungstechnologien mit einer Oberflächenrauheit unter 0,2 Nanometern zu etablieren. Diese Maßnahme dient der Stärkung der einheimischen Lieferkette und der globalen Marktposition des Unternehmens angesichts änkungen sowie dem wachsenden Bedarf an Chips für künstliche Intelligenz.

04.07.2026

Live Redaktion