Se ha identificado una vulnerabilidad en NGINX JavaScript (njs), identificada como CVE-2026-8711, que permite a atacantes remotos no autenticados provocar un desbordamiento de búfer basado en heap. Este fallo afecta al módulo ngx_http_js_module cuando se usa la directiva js_fetch_proxy con variables controladas por el cliente, pudiendo causar denegación de servicio y, en ciertos entornos, ejecución remota de código en el proceso worker de NGINX.
CVE y severidad
| ID CVE | Clasificación CWE | Impacto | Componente afectado | Severidad |
|---|---|---|---|---|
| CVE-2026-8711 | CWE-122: Heap-based Buffer Overflow | Denegación de servicio y posible ejecución remota de código | ngx_http_js_module (NJS – js_fetch_proxy, js_content) | Alta |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas |
|---|---|---|---|
| NGINX/F5 | NGINX JavaScript (njs) | ngx_http_js_module (js_fetch_proxy, js_content) | 0.9.4 a 0.9.8 |
Solución
Actualizar a NGINX JavaScript (njs) versión 0.9.9 o posteriores.
Recomendaciones
Se recomienda priorizar la actualización del componente njs a la versión corregida; donde la actualización inmediata no sea posible, revisar y modificar configuraciones que usen js_fetch_proxy con variables controladas por el cliente para evitar su uso, y asegurar que ASLR esté habilitado en todos los hosts NGINX para dificultar la explotación.