Katalog CVE

CVE-2026-48142

ŚrednieCVSS 4.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.37%

Percentyl 28 — wyżej niż 28% wszystkich znanych CVE

Streszczenie

NGINX Plus i NGINX Open Source mają podatność w module ngx_http_charset_module. Atakujący mogą wysłać odpowiednie żądania, co prowadzi do nadmiernego odczytu bufora w procesie roboczym NGINX, co może skutkować ograniczonym ujawnieniem pamięci lub restartem.

Ocena ryzyka

Podatność ta może prowadzić do ujawnienia wrażliwych danych lub przerwy w działaniu usług, co może wpłynąć na dostępność aplikacji.

Rekomendacja

Zaleca się aktualizację do najnowszej wersji NGINX, aby usunąć tę podatność oraz przegląd konfiguracji charset w blokach lokalizacji.

Oryginalny opis (angielski, źródło NVD)

NGINX Plus and NGINX Open Source have a vulnerability in the ngx_http_charset_module module. When content is served or proxied through a location block with both source_charset utf-8; and a charset directive (for example, charset koi8-r;) configured, remote, unauthenticated attackers can send requests (in conjunction with conditions beyond their control) to cause a heap buffer over-read in the NGINX worker process, leading to limited disclosure of memory or a restart. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS