CVE-2026-9256 là một lỗ hổng CVE mới được công bố trong NGINX, ảnh hưởng đến cả NGINX Plus và NGINX Open Source. Lỗ hổng này cho phép kẻ tấn công từ xa, không cần xác thực khai thác qua HTTP thuần, làm tăng đáng kể rủi ro bảo mật đối với các hệ thống đang dùng NGINX làm reverse proxy, API gateway hoặc ingress controller.
Lỗ hổng CVE-2026-9256 Trong ngx_http_rewrite_module
Điểm yếu nằm trong ngx_http_rewrite_module, cùng thành phần từng bị nhắc đến trong lỗi “NGINX Rift” trước đó. Theo advisory của F5, điều kiện khai thác xuất hiện khi một rewrite directive dùng biểu thức regex với các nhóm bắt PCRE đồng thời và chồng lấn, ví dụ ^/((.*))$, kết hợp với chuỗi thay thế tham chiếu nhiều capture như $1$2 trong ngữ cảnh redirect hoặc arguments.
Trong tình huống này, yêu cầu được tạo đặc biệt có thể kích hoạt heap buffer overflow (CWE-122) trong tiến trình worker của NGINX. Đây là một lỗ hổng CVE thuộc nhóm lỗi bộ nhớ, có thể dẫn tới remote code execution hoặc làm dịch vụ gián đoạn tùy theo trạng thái hệ thống.
Cơ Chế Tác Động Vào Bộ Nhớ
NGINX sử dụng một memory pool riêng cho mỗi request và giải phóng toàn bộ khi request kết thúc. Bên trong pool này có danh sách liên kết của các cleanup handlers. Nếu kẻ tấn công ghi đè hoặc điều hướng được con trỏ handler, quá trình hủy pool có thể trở thành một cơ hội chiếm quyền điều khiển luồng thực thi.
Khác với lỗi Rift trước đó vốn khai thác sai sót tính toán kích thước buffer, lỗ hổng CVE-2026-9256 tạo ra một kiểu trượt con trỏ có kiểm soát qua các cấu trúc liên kết liền kề trong cùng memory pool. Đường đi mã khác nhau nhưng cùng hướng đến một đích là làm hỏng cấu trúc bộ nhớ nội bộ.
Phạm Vi Ảnh Hưởng Và Mức Độ Rủi Ro
F5 xác nhận đây là vấn đề của data plane, không phải control plane. Theo đánh giá công bố, lỗ hổng này có mức High/8.1 theo CVSS v3.1 và Critical/9.2 theo CVSS v4.0. Một cảnh báo CVE như vậy cần được ưu tiên xử lý vì khai thác thành công có thể làm sập worker process hoặc gây thực thi mã trong một số điều kiện nhất định.
At minimum, khai thác có thể gây crash và restart worker, tạo ra denial-of-service. Nghiêm trọng hơn, hệ thống bị xâm nhập có thể xảy ra nếu ASLR bị vô hiệu hóa hoặc bị vượt qua. Với độ phổ biến của NGINX trong kiến trúc web hiện đại, nguy cơ bảo mật không chỉ giới hạn ở máy chủ web mà còn lan sang nhiều lớp hạ tầng trung gian.
Tham khảo advisory và ghi nhận kỹ thuật từ NVD: https://nvd.nist.gov/.
Lỗ hổng CVE-2026-9256 Ảnh Hưởng Phiên Bản Nào
Danh sách phiên bản bị ảnh hưởng bao gồm NGINX Open Source 0.1.17 đến 1.30.1 và 1.31.0. Người dùng cần nâng cấp lên 1.30.2 hoặc 1.31.1. Đây là bước cập nhật bản vá bắt buộc nếu hệ thống đang chạy các nhánh nêu trên.
Người dùng NGINX Plus trên các bản R32 đến R36 cần chuyển sang R36 P5 hoặc R32 P7. Nhánh 37.x cần cập nhật lên R37.0.1.1. Các sản phẩm hạ nguồn như NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect (WAF và DoS), NGINX Gateway Fabric và NGINX Ingress Controller cũng kế thừa thành phần dễ bị tổn thương và cần nhận bản vá tương ứng khi được phát hành.
Nhánh 0.x sẽ không được khắc phục. Điều này làm cho các môi trường còn phụ thuộc vào nhánh cũ trở thành điểm rủi ro cao, đặc biệt khi lỗ hổng zero-day hoặc PoC đã bắt đầu xuất hiện.
Biện Pháp Giảm Thiểu Tạm Thời
Nếu chưa thể update vá lỗi ngay, F5 khuyến nghị thay các unnamed captures bằng named captures trong mọi rewrite directive bị ảnh hưởng. Cách này giúp giảm nguy cơ kích hoạt điều kiện lỗi trong regex và thay thế chuỗi.
rewrite ^/(?<user_id>.*)/(?<section>.*)$ /?$user_id=$user_id§ion=$section break;Ví dụ trên minh họa cách tham chiếu capture theo tên thay vì dùng các tham chiếu vị trí như $1 và $2. Khi rà soát cấu hình, cần ưu tiên những directive có regex phức tạp, nhiều group bắt, hoặc có tham chiếu lồng nhau trong redirect và arguments.
Dấu Hiệu Và Mã Khai Thác Liên Quan
Cho tới thời điểm công bố, không có IOC dạng malware hay ransomware đi kèm. Tuy nhiên, đã có hoạt động proof-of-concept lưu hành, đồng nghĩa với việc khả năng xuất hiện mã khai thác công khai là rất cao. Trong bối cảnh này, đội vận hành cần theo dõi bất thường ở worker process, lỗi crash lặp lại, hoặc hành vi restart dịch vụ không giải thích được.
- CVE: CVE-2026-9256
- CWE: CWE-122 – Heap-Based Buffer Overflow
- CVSS v3.1: 8.1 – High
- CVSS v4.0: 9.2 – Critical
- Tác động: Crash worker, denial-of-service, có thể remote code execution trong điều kiện phù hợp
- Phạm vi: Data plane
Điều Cần Ưu Tiên Khi Rà Soát
Trong quá trình kiểm tra an ninh mạng, cần tập trung vào các cấu hình có rewrite regex chứa nhiều capture group và tham chiếu capture vị trí. Đây là phần cấu hình trực tiếp liên quan đến lỗ hổng CVE và là nơi cần xử lý trước khi triển khai rộng bản vá.
Với mức độ ảnh hưởng rộng và khả năng khai thác từ xa, cảnh báo CVE này nên được đưa vào danh sách ưu tiên cao trong quy trình bảo mật thông tin và quản trị thay đổi. Những hệ thống dùng NGINX làm lớp trung gian cho lưu lượng sản xuất cần được đánh giá ngay theo phiên bản và cấu hình thực tế.
Thông tin tham chiếu kỹ thuật từ advisory của F5: https://my.f5.com/manage/s/article/K000161377.
Việc xử lý lỗ hổng CVE-2026-9256 cần đi kèm kiểm tra cấu hình, triển khai cập nhật bản vá, và xác minh lại các directive rewrite có capture group chồng lấn để giảm nguy cơ tái phát lỗi trên cùng bề mặt tấn công.
