CVE-2026-48142
ŚrednieCVSS 4.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 28 — wyżej niż 28% wszystkich znanych CVE
Streszczenie
NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.
Ocena ryzyka
Podatność ta może prowadzić do ujawnienia wrażliwych danych lub przerwy w działaniu usług, co może wpłynąć na dostępność aplikacji.
Rekomendacja
Zaleca się aktualizację do najnowszej wersji NGINX, aby usunąć tę podatność oraz przegląd konfiguracji charset w blokach lokalizacji.
Oryginalny opis (angielski, źródło NVD)
NGINX Plus and NGINX Open Source have a vulnerability in the ngx_http_charset_module module. When content is served or proxied through a location block with both source_charset utf-8; and a charset directive (for example, charset koi8-r;) configured, remote, unauthenticated attackers can send requests (in conjunction with conditions beyond their control) to cause a heap buffer over-read in the NGINX worker process, leading to limited disclosure of memory or a restart. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

