文章总结： NGINXJavaScript(njs)模块存在基于堆的缓冲区溢出漏洞CVE-2026-8711，影响0.9.4至0.9.8版本。当jsfetchproxy配置使用客户端控制变量并调用ngx.fetch()时，攻击者可构造恶意HTTP请求导致工作进程崩溃或远程代码执行。修复方案为升级至njs0.9.9，临时缓解措施包括审查配置中客户端变量使用情况和启用ASLR防护。 综合评分： 85 文章分类： 漏洞分析,WEB安全,漏洞预警,解决方案,应急响应

NGINX 新漏洞可导致远程攻击者触发恶意代码

Abinaya Abinaya

代码卫士

2026年5月22日 16:00 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

NGINX JavaScript (njs)中存在一个新漏洞CVE-2026-8711，可导致未认证远程攻击者触发基于堆的缓冲溢出漏洞，可导致拒绝服务，且在一定条件下可在 NGINX 工作进程中实现远程代码执行后果。

该漏洞与 js_fetch_proxy 指令在结合 NGINX JavaScript 中的 ngx.fetch() 操作时，处理客户端控制的变量方式有关。漏洞出现在 ngx_http_js_module 模块中，当 js_fetch_proxy 配置了至少一个客户端控制的 NGINX 变量（例如 , , 或 .）时就会触发。如果某个位置随后调用了一个调用 ngx.fetch() 的 NJS 函数，攻击者可以发送精心构造的 HTTP 请求，导致 NGINX 工作进程中发生堆缓冲区溢出。

NGINX 缓冲区溢出漏洞

该漏洞被归类为“CWE‑122：基于堆的缓冲区溢出”，F5 公司内部跟踪为 NGINX Plus 和 NGINX OSS 的 ID 160。

该漏洞主要导致工作进程崩溃并自动重启，从而在 NGINX 数据平面上产生拒绝服务条件。在地址空间布局随机化（ASLR）被禁用或配置不当的系统上，该漏洞可能被利用，在工作进程上下文中执行任意代码。该漏洞影响 NGINX JavaScript (njs) 0.9.4 至 0.9.8 版本，修复版本为 njs 0.9.9。

受影响组件是 ngx_http_js_module 模块，该模块提供了基于 NJS 的 HTTP 处理指令，例如 js_content 和 js_fetch_proxy。典型的易受攻击模式是js_fetch_proxy 使用客户端提供的头部（例如 $http_x_user 和 $http_x_password）构造代理 URL，并且 js_content 指向一个调用 ngx.fetch() 的 NJS 函数（例如 main.fetcher）。在这种设置下，攻击者可以操纵这些头部值，破坏 NGINX 工作进程中的堆内存，并使它反复崩溃。

F5 公司提到该漏洞仅限于数据平面，不影响控制平面。F5 公司的其它产品和服务如 BIG‑IP、BIG‑IQ、BIG‑IP Next、F5OS 以及 F5 Distributed Cloud 服务，在已评估的版本中均不受影响。

强烈建议运行受影响 njs 版本的管理员将 NGINX JavaScript 升级到 0.9.9 或更高版本，作为主要修复措施。如环境属于“已知易受攻击版本”一栏所列的范围，应迁移到“修复引入版本”一栏或更高版本中列出的版本。

如无法立即升级，则运维人员应审查配置中 js_fetch_proxy 是否与客户端控制的变量一起使用，并对这些模式进行重构或删除；同时应确保在所有 NGINX 主机上启用 ASLR，增加代码执行的难度。

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

已存在18年的 Nginx 漏洞可导致 RCE 攻击

已遭活跃利用的 nginx-ui 漏洞可导致 Nginx 服务器遭完全接管

Ingress NGINX 控制器中存在严重漏洞可导致RCE

F5修复BIG-IP 和 NGINX Plus 中的多个高危漏洞

原文链接

New NGINX Vulnerability Allows Remote Attackers to Trigger Malicious Code

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Abinaya Abinaya《NGINX 新漏洞可导致远程攻击者触发恶意代码》