Ad

#安全资讯 研究人员在 NGINX 最新版 1.31.0 版中发现新的远程代码执行漏洞，该漏洞很有可能是此前 NGINX 堆内存缓冲区漏洞的衍生。由于现在 F5 还未发布新版本修复漏洞，所以研究人员计划在 30 天后发布详细的说明，所以漏洞详情还需要等待 F5 修复后再披露。查看详情：https://ourl.co/113008

独立安全研究实验室 NEBULA SECURITY 日前在社交媒体上透露反向代理服务器 NGINX 1.31.0 版中的全新远程代码执行漏洞，该漏洞与 NGINX 此前版本中的漏洞不同，但考虑到当前漏洞尚未修复因此该实验室会在 30 天后再公布漏洞信息。

从演示视频来看该漏洞应该与此前的漏洞类似，也就是发生在堆内存缓冲区中的问题，因此可能属于 NGINX-RIFT 的衍生漏洞，对使用 NGINX 的用户来说晚些时候有新版本发布那就还要继续及时安装更新，避免黑客通过漏洞拿下服务器。

另外从目前情况来看，估计后续堆内存缓冲区中可能还会继续发现其他类似问题，所幸此类问题需要在特定配置下才能被利用，所以漏洞细节公布后应该不至于在短时间内出现大量攻击事件，只是及时升级新版本是非常有必要的。

下面是研究人员发布的演示视频：