Bulletins de Sécurité

Vous êtes confronté à un cyber-incident ?

Notre équipe est à votre disposition en 24/7 au 01 85 09 12 35 et par email cert@login-securite.com

Vulnérabilité critique dans NGINX

Score CVSS :
9.2
Date de publication :
14/5/2026
Date de dernière mise à jour :
14/5/2026
vulnerability icon thumbnail logy cybersecurity

Produits concernés

• NGINX Plus - Version : R32 - R36

• NGINX Open Source - Version : 1.0.0 - 1.30.0 & 0.6.27 - 0.9.7

• NGINX Instance Manager - Version : 2.16.0 - 2.21.1

• F5 WAF for NGINX - Version : 5.9.0 - 5.12.1

• NGINX App Protect WAF - Version : 5.1.0 - 5.8.0 & 4.9.0 - 4.16.0

• F5 DoS for NGINX - Version : 4.8.0

• NGINX App Protect DoS - Version : 4.3.0 - 4.7.0

• NGINX Gateway Fabric - Version : 2.0.0 - 2.5.1 & 1.3.0 - 1.6.2

• NGINX Ingress Controller - Version : 5.0.0 - 5.4.1 & 4.0.0 - 4.0.1 & 3.5.0 - 3.7.2

Prérequis

• Le mécanisme de protection de la mémoire doit être désactivé (ASLR)

• La configuration NGINX contient une règle de réécriture d'URL avec un ? dans la redirection et des groupes de capture numérotés ($1, $2..)

Risques

• Exécution de code arbitraire

• Accès au réseau interne de l’entreprise

• Exfiltration de données sensibles

• Déploiement de malware sur les actifs

Résumé

Une vulnérabilité critique de type « Exécution de code à distance » affectant le serveur web NGINX a été publiée par l'éditeur F5 le 13 mai 2026. Le niveau de criticité de cette vulnérabilité est de 9.2 (score CVSSv4.0).

NGINX est l'un des serveurs web les plus utilisés au monde, présent sur environ un tiers des sites internet. Il est notamment utilisé pour héberger des sites web, servir de proxy inverse, ou d'équilibreur de charge.

Une faille présente dans le code de NGINX depuis 2008 (18 ans) permet à un attaquant non authentifié de provoquer le plantage du serveur web, voire d'y exécuter des commandes arbitraires. L'attaquant n'a besoin d'aucun identifiant ni accès préalable : il lui suffit de pouvoir envoyer une requête web vers un serveur NGINX vulnérable.

Un code d'exploitation (PoC) a été rendu public par les chercheurs.

Une fois la vulnérabilité exploitée, l'attaquant pourrait potentiellement provoquer une indisponibilité de l'ensemble des sites hébergés (déni de service), exécuter des commandes sur le serveur, et ainsi compromettre l'intégrité et la confidentialité des données hébergées, ou pivoter vers d'autres systèmes du réseau.

À l'heure actuelle, aucune trace d'exploitation active par des groupes d'attaquants n'a été remontée. Toutefois, un exploit public est disponible, ce qui augmente significativement le risque d'exploitation imminente.

Étant donné le niveau de criticité et la disponibilité d'un exploit public, nous préconisons de corriger cette vulnérabilité sans délai pour tout serveur NGINX exposé sur Internet, en mettant à jour vers les versions 1.30.1 ou 1.31.0. Si le correctif ne peut être appliqué immédiatement, une mesure d'atténuation existe et consiste à modifier les règles de réécriture d'URL dans la configuration NGINX.

Solutions

Remédiation :

Mettre à jour NGINX vers les versions suivantes :

• NGINX Open Source 1.x → Mise à jour vers la version 1.30.1 ou 1.31.0 (mainline)

• NGINX Plus R32 → Mise à jour vers la version R32 P6 ou supérieure

• NGINX Plus R36 → Mise à jour vers la version R36 P4 ou supérieure

• NGINX Plus R37 → Mise à jour vers la version 37.0.0 ou supérieure

• Pour les versions NGINX Open Source 0.6.27 – 0.9.7, aucun correctif n'est prévu : une montée de version vers une branche 1.x est obligatoire

• Pour les autres produits affectés (NGINX Instance Manager, NGINX App Protect WAF, NGINX Gateway Fabric, NGINX Ingress Controller…), aucun correctif n'est disponible à ce jour

Le détail est disponible dans les liens en références.

Mitigation :

• Si la mise à jour immédiate n'est pas possible, modifier les règles de réécriture d'URL dans la configuration NGINX : remplacer les captures numérotées ($1, $2…) par des captures nommées. Concrètement, chaque règle rewrite contenant un ? dans la redirection et des variables $1, $2 doit être revue. Un exemple de modification est disponible dans le bulletin de sécurité F5 en référence

• Pour identifier les règles concernées sur vos serveurs, rechercher dans vos fichiers de configuration NGINX les blocs rewrite contenant simultanément un ? et des variables $1, $2 (ou tout autre numéro)

Références

https://my.f5.com/manage/s/article/K000161019

https://www.it-connect.fr/nginx-rift-cve-2026-42945-cette-faille-critique-de-18-ans-menace-vos-serveurs-web/

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !
Oups ! Une erreur est survenue lors de l'envoi du formulaire.
Nos offresNos ExpertisesLe groupe Constellation
Notre équipeNous rejoindreBlog
Urgences CyberInformations SOCCommander un Test d'Intrusion
Conditions Générales de VentesMentions légalesNous contacter
©2024 Login Sécurité | Mentions légales et Politique de confidentialité