PT-2026-60206 · F5 · Nginx Open Source+1
CVE-2026-60005
·
Publicado
2026-07-15
·
Atualizado
2026-07-16
CVSS v3.1
8.2
Alta
| Vetor | AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:H |
Nome do Software Vulnerável e Versões Afetadas
NGINX Plus (versões afetadas não especificadas)
NGINX Open Source (versões afetadas não especificadas)
Description
Uma falha existe no módulo
ngx http slice module, que é habilitado através do parâmetro de configuração --with-http slice module. Atacantes não autenticados podem enviar requisições que desencadeiam o acesso à memória não inicializada no processo worker do NGINX quando a diretiva slice é utilizada com capturas de regex não nomeadas ou durante uma atualização de cache em segundo plano. Isso pode resultar no reinício do processo worker ou na divulgação limitada do conteúdo da memória. Este é um problema de plano de dados e não expõe o plano de controle.Recommendations
Atualize para uma versão corrigida listada pelo fornecedor.
Como medida de mitigação temporária, evite usar a diretiva
slice ou desabilite o módulo ngx http slice module.Correção
DoS
Use of Uninitialized Resource
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Enumeração de Fraquezas
Identificadores relacionados
Produtos afetados
Nginx Open Source
Nginx Plus