Phát hiện lỗ hổng nghiêm trọng trên NGINX JavaScript cho phép tấn công từ xa

[WhiteHat Team]

Một lỗ hổng mới vừa được phát hiện trong NGINX JavaScript đang làm dấy lên lo ngại về nguy cơ tấn công từ xa vào các hệ thống sử dụng NGINX để xử lý ứng dụng động. Lỗ hổng được định danh là CVE-2026-8711 cho phép kẻ tấn công chưa xác thực gây tràn bộ nhớ heap, dẫn tới sập tiến trình xử lý và trong một số điều kiện có thể tiến tới thực thi mã tùy ý trên máy chủ.
​

​

Theo phân tích từ F5, vấn đề bắt nguồn từ cách module ngx_http_js_module xử lý dữ liệu đầu vào khi sử dụng NGINX JavaScript. Lỗ hổng có thể bị kích hoạt nếu directive js_fetch_proxy được cấu hình sử dụng các biến NGINX do người dùng kiểm soát, chẳng hạn dữ liệu lấy từ HTTP header, rồi tiếp tục truyền các giá trị này cho hàm ngx.fetch() để thực hiện truy vấn HTTP động.

Kẻ tấn công có thể lợi dụng sơ hở này bằng cách gửi đi các chuỗi yêu cầu HTTP được tinh chỉnh đặc biệt, nhằm thao túng URL proxy và ghi đè vùng nhớ heap của tiến trình worker NGINX. Khi các cấu trúc dữ liệu vượt quá giới hạn vùng nhớ được cấp phát, bộ đệm heap của tiến trình xử lý NGINX sẽ bị thao túng và làm hỏng, khiến các tiến trình xử lý bị crash và tự động khởi động lại liên tục..

Trong hầu hết các môi trường vận hành tiêu chuẩn, việc khai thác thành công CVE-2026-8711 sẽ khiến các tiến trình worker bị sập liên tục và buộc phải khởi động lại tự động và gây ra tình trạng từ chối dịch vụ diện rộng trên tầng dữ liệu (data plane), làm gián đoạn luồng lưu thông của mạng. Tuy nhiên, với những máy chủ mà tính năng bảo vệ phân bố ngẫu nhiên sơ đồ không gian địa chỉ (ASLR) bị tắt hoặc cấu hình sai sót, tin tặc hoàn toàn có thể vượt qua ranh giới cô lập để thực thi các đoạn mã độc tùy ý dưới quyền hạn của tiến trình worker.

Các phiên bản NGINX JavaScript từ 0.9.4 đến 0.9.8 được xác nhận bị ảnh hưởng. Bản vá đã được phát hành trong phiên bản njs 0.9.9 và các bản mới hơn. F5 khuyến nghị các tổ chức nhanh chóng cập nhật hệ thống nhằm giảm nguy cơ bị khai thác thực tế. Hiện CVE-2026-8711 chỉ ảnh hưởng tới data plane và không tác động tới control plane của hệ thống. Mặt khác, kết quả thẩm định kỹ thuật từ phía nhà sản xuất cho thấy các giải pháp lớn khác thuộc hệ sinh thái F5 bao gồm BIG-IP, BIG-IQ, BIG-IP Next, F5OS và các dịch vụ F5 Distributed Cloud đều ghi nhận trạng thái an toàn và không bị ảnh hưởng bởi lỗ hổng.

Trong trường hợp chưa thể cập nhật bản vá, quản trị viên cần rà soát toàn bộ cấu hình sử dụng js_fetch_proxy, đặc biệt với các biến lấy trực tiếp từ dữ liệu người dùng. Việc loại bỏ các mẫu cấu hình tiềm ẩn rủi ro và bật đầy đủ ASLR trên máy chủ sẽ giúp giảm đáng kể khả năng khai thác lỗ hổng này trong thực tế.

Sự xuất hiện của CVE-2026-8711 tiếp tục cho thấy các thành phần mở rộng xử lý logic động trong máy chủ web đang trở thành mục tiêu hấp dẫn đối với giới tấn công mạng. Khi NGINX ngày càng được sử dụng như một nền tảng xử lý ứng dụng thay vì chỉ đóng vai trò reverse proxy truyền thống, các vấn đề liên quan tới quản lý bộ nhớ và dữ liệu đầu vào đang tạo ra bề mặt tấn công lớn hơn cho hạ tầng Internet hiện đại.​