أصبحت الثغرة الأمنية CVE-2026-42945 في NGINX نظرية بعد الآن. تم اكتشاف استغلال نشط في بيئات حقيقية يتسبب في انهيار عمليات العامل، مما يؤدي إلى رفض الخدمة. الخطر المحتمل لتنفيذ التعليمات البرمجية عن بُعد (RCE) يحول هذا الخلل إلى تهديد خطير لمسؤولي خوادم الويب.
تفاصيل تقنية للخلل في NGINX 🛡️
يكمن الخلل في إدارة طلبات HTTP غير الصالحة. يجبر الاستغلال حالة سباق في الذاكرة المشتركة للعمال، مما يتسبب في خطأ تجزئة. على الرغم من أن الهجوم الرئيسي هو رفض الخدمة (DoS)، تشير الأبحاث إلى أن تلف الذاكرة قد يسمح بتنفيذ التعليمات البرمجية عن بُعد (RCE). تشمل الإصدارات المتأثرة NGINX 1.24.x و 1.25.x بدون تصحيحات الأمان الأخيرة. يُوصى بالتحديث إلى الإصدار 1.26.1 أو تطبيق تصحيح التخفيف.
العامل الذي يأخذ استراحة غير مبرمجة 😅
يبدو أن بعض عمال NGINX قرروا الإضراب دون سابق إنذار. بدلاً من تقديم الصفحات، يفضلون الانهيار بأناقة أمام طلب ضار. الأمر أشبه بالنادل الذي، عند رؤية عميل مشبوه، يسقط الصينية ويذهب إلى المنزل. لحسن الحظ، هذا مجرد عطل تقني وليس عذراً لعدم العمل يوم الاثنين.