Neues NGINX-Sicherheitsloch ermöglicht Angreifern Fernauslösung bösartiger Code
Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der zu einem Den

Kurzfassung
Warum das wichtig ist
- Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der zu einem Den
- Der Fehler ist auf die Verarbeitung Direktive js_fetch_proxy zurückzuführen, wenn diese mit der Operation ngx.fetch() aus NGINX JavaScript kombiniert wird.
- Das Problem tritt Modul ngx_http_js_module auf, wenn js_fetch_proxy mit mindestens einer clientgesteuerten NGINX-Variablen wie,, oder konfiguriert ist.
SvyTech-Check
Redaktionelle Einordnung
Kernpunkt
Eine neue Schwachstelle in NGINX JavaScript (njs), die als CVE-2026-8711 katalogisiert ist, ermöglicht es nicht authentifizierten Angreifern aus der Ferne, einen heap-basierten Pufferüberlauf auszulösen, der...
Warum relevant
Wenn ein Location dann eine NJS-Funktion aufruft, die ngx.fetch() verwendet, können Angreifer speziell gestaltete HTTP-Anfragen senden, die zu einem heap-basierten Pufferüberlauf im NGINX-Worker-Prozess führen.
Einordnung
SvyTech ordnet die Meldung aus Cyber Security News als Teil des Themenfelds Technologie ein und verweist auf den Originalartikel, damit Leser Fakten, Quelle und Kontext nachvollziehen koennen.
Wenn ein Location dann eine NJS-Funktion aufruft, die ngx.fetch() verwendet, können Angreifer speziell gestaltete HTTP-Anfragen senden, die zu einem heap-basierten Pufferüberlauf im NGINX-Worker-Prozess führen.
NGINX-Pufferüberlauf-Schwachstelle Die Schwachstelle wird als CWE-122: Heap-basierter Pufferüberlauf klassifiziert und wird intern von F5 unter der ID 160 für NGINX Plus und NGINX OSS verfolgt.
Dieser Fehler führt primär Abstürzen der Worker-Prozesse und deren automatischen Neustarts, was im NGINX-Datenplan effektiv einen Denial-of-Service (DoS)-Zustand erzeugt.
Sicherheitslage und Risiko
Auf Systemen, bei denen die Address Space Layout Randomization (ASLR) deaktiviert ist oder fehlerhaft konfiguriert wurde, kann das Überlaufproblem ausgenutzt werden, um beliebigen Code Worker-Kontext auszuführen. Die Schwachstelle betrifft NGINX JavaScript (njs)-Versionen 0.9.4 bis 0.9.8; die Behebung wurde in njs 0.9.9 eingeführt.
Quellenprofil
Quelle und redaktionelle Angaben
- Quelle
- Cyber Security News
- Canonical
- https://cybersecuritynews.com/nginx-buffer-overflow-vulnerability/
- Quell-URL
- https://cybersecuritynews.com/nginx-buffer-overflow-vulnerability/
Aehnliche Inhalte
Verwandte Themen und interne Verlinkung
Weitere Artikel aus aehnlichen Themenfeldern, damit Leser direkt im selben Kontext weiterlesen koennen.

Apple A20 Pro mit 13-jähriger Speicherpraxis bricht Gewohnheiten
Apple bereitet mit dem A20 Pro-Chip und 96-Bit-LPDDR6-Speicher für die iPhone 18 Pro-Modelle einen architektonischen Wechsel vor, um die Anforderungen der Apple Intelligence durch höhere Datenbandbreiten zu erfüllen. Um die durch den fortschrittlichen 2-Nanometer-Prozess und den neuen Speicher verursachten Kosten auszugleichen, plant das Unternehmen Einsparungen bei den NAND-Flash-Speichern der neuen Geräte.
04.07.2026
Live Redaktion


