Faille NGINX grave : RCE et DoS possibles (CVE-2026-42945)

Source : BleepingComputer, 14 mai 2026

Une faille de sécurité grave a été découverte dans NGINX, l'une des plateformes de serveurs web les plus utilisées sur internet. Selon BleepingComputer, la vulnérabilité, référencée sous l'identifiant CVE-2026-42945, aurait 18 ans et affecterait les versions NGINX 0.6.27 à 1.30.0. Elle a été découverte par des chercheurs d'une société appelée DepthFirst AI.

En quoi consiste cette vulnérabilité ?

Selon BleepingComputer, la faille se situe dans un composant appelé ngx_http_rewrite_module. Il s'agit d'un type de faiblesse de sécurité connu sous le nom de dépassement de tampon de tas (heap buffer overflow), causé par une gestion incohérente de certaines règles de réécriture dans le moteur de script interne de NGINX. En termes simples : lorsque NGINX traite une réécriture d'URL contenant un point d'interrogation, il calcule mal la quantité de mémoire dont il a besoin, puis écrit plus de données que l'espace qu'il avait réservé. Cela peut provoquer le plantage du serveur (déni de service) et, dans certaines conditions, permettrait à un attaquant d'exécuter son propre code sur le serveur (exécution de code à distance).

Les chercheurs de DepthFirst AI auraient également découvert trois failles supplémentaires lors de la même session d'audit :

• CVE-2026-42946 : allocation mémoire excessive dans les modules SCGI et UWSGI
• CVE-2026-40701 : une faille de type use-after-free dans la gestion de certaines opérations DNS par NGINX
• CVE-2026-42934 : un bug de décalage d'un dans l'analyse de texte UTF-8 pouvant provoquer des lectures hors limites

Qui est concerné ?

Selon BleepingComputer, les produits affectés comprennent une large gamme de logiciels NGINX maintenus par F5 :

• NGINX Open Source versions 0.6.27 à 1.30.0
• NGINX Plus R32 à R36
• NGINX Instance Manager 2.16.0 à 2.21.1
• F5 WAF pour NGINX 5.9.0 à 5.12.1
• NGINX App Protect WAF et les produits DoS sur plusieurs plages de versions
• NGINX Gateway Fabric et NGINX Ingress Controller sur plusieurs plages de versions

Quelle est la réponse de F5 ?

Selon BleepingComputer, des correctifs sont disponibles dans NGINX Open Source 1.31.0 et 1.30.1, NGINX Plus R36 P4 et NGINX Plus R32 P6. Pour ceux qui ne peuvent pas effectuer la mise à jour immédiatement, F5 recommanderait de remplacer les groupes de capture PCRE sans nom dans les règles de réécriture vulnérables par des captures nommées, à titre de solution temporaire.

Si vous gérez votre propre serveur ou environnement d'hébergement, vérifiez la version de NGINX que vous utilisez et effectuez la mise à jour dès que possible.

Que signifie cela pour votre site web ?

Si votre site web est hébergé sur une offre d'hébergement mutualisé ou managé, votre hébergeur est probablement responsable de la mise à jour des logiciels serveur, mais il vaut la peine de lui demander s'il a appliqué les correctifs NGINX. Si vous ou un développeur gérez votre propre serveur, vérifiez votre version de NGINX par rapport aux plages affectées indiquées ci-dessus et effectuez la mise à jour rapidement. Pour une vue d'ensemble de la sécurisation de votre site web, consultez notre guide de sécurité pour les petites entreprises.