NGINX Open Source and NGINX Plus have a vulnerability in the ngx_http_dav_module module that might allow an attacker to trigger a buffer overflow to the NGINX worker process; this vulnerability may result in termination of the NGINX worker process or modification of source or destination file names outside the document root. This issue affects NGINX Open Source and NGINX Plus when the configuration file uses DAV module MOVE or COPY methods, prefix location (nonregular expression location configuration), and alias directives. The integrity impact is constrained because the NGINX worker process user has low privileges and does not have access to the entire system. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
A buffer overflow vulnerability in NGINX's DAV module (CVE-2026-27654, CVSS 8.2) affects NGINX Plus versions R32-R34 when using MOVE/COPY methods with prefix locations and alias directives. While no public exploit exists and patches are unavailable, the vulnerability can cause worker process termination or unauthorized file operations within the web root. Organizations relying on NGINX for critical web services face potential denial of service and data integrity risks.
Immediate Actions:
1. Audit all NGINX Plus deployments (R32-R34) for DAV module configuration: grep -r 'dav_methods\|alias' /etc/nginx/
2. Disable DAV module if not required: comment out 'dav_methods' directives and remove 'alias' in prefix locations
3. If DAV functionality is essential, remove 'alias' directives and use 'root' instead, or relocate to regex-based locations
4. Implement strict file access controls: ensure NGINX worker process runs with minimal privileges (dedicated unprivileged user)
5. Monitor NGINX worker process crashes: configure logging for abnormal terminations and set up alerts
Compensating Controls:
- Deploy WAF rules to block suspicious MOVE/COPY requests with path traversal patterns
- Implement request rate limiting on DAV methods
- Use chroot jails or containers to restrict NGINX process filesystem access
- Enable SELinux/AppArmor with strict NGINX process confinement
- Maintain regular backups of critical files outside NGINX document root
Detection Rules:
- Monitor for HTTP MOVE/COPY requests with encoded path traversal sequences (%2e%2e, ..\\)
- Alert on NGINX worker process segmentation faults or unexpected terminations
- Log all file operations in document root and flag unauthorized modifications
الإجراءات الفورية:
1. تدقيق جميع نشرات NGINX Plus (R32-R34) لتكوين وحدة DAV: grep -r 'dav_methods\|alias' /etc/nginx/
2. تعطيل وحدة DAV إذا لم تكن مطلوبة: علق على توجيهات 'dav_methods' وأزل 'alias' في المواقع ذات البادئة
3. إذا كانت وظيفة DAV ضرورية، أزل توجيهات 'alias' واستخدم 'root' بدلاً منها، أو انقل إلى مواقع قائمة على regex
4. تنفيذ عناصر تحكم صارمة في الوصول إلى الملفات: تأكد من أن عملية عامل NGINX تعمل بامتيازات دنيا (مستخدم غير مميز مخصص)
5. مراقبة أعطال عملية عامل NGINX: تكوين السجلات للإنهاءات غير الطبيعية وإعداد التنبيهات
عناصر التحكم التعويضية:
- نشر قواعد WAF لحجب طلبات MOVE/COPY المريبة مع أنماط اجتياز المسار
- تنفيذ تحديد معدل الطلب على طرق DAV
- استخدام أقفال chroot أو حاويات لتقييد وصول نظام الملفات لعملية NGINX
- تفعيل SELinux/AppArmor مع حصر عملية NGINX الصارم
- الحفاظ على النسخ الاحتياطية المنتظمة للملفات الحرجة خارج جذر مستند NGINX
قواعد الكشف:
- مراقبة طلبات HTTP MOVE/COPY مع تسلسلات اجتياز المسار المشفرة (%2e%2e, ..\\)
- تنبيه على أعطال تجزئة عملية عامل NGINX أو الإنهاءات غير المتوقعة
- تسجيل جميع عمليات الملفات في جذر المستند والإشارة إلى التعديلات غير المصرح بها