NGINX Open Source and NGINX Plus have a vulnerability in the ngx_http_mp4_module module, which might allow an attacker to trigger a buffer over-read or over-write to the NGINX worker memory resulting in its termination or possibly code execution, using a specially crafted MP4 file. This issue affects NGINX Open Source and NGINX Plus if it is built with the ngx_http_mp4_module module and the mp4 directive is used in the configuration file. Additionally, the attack is possible only if an attacker can trigger the processing of a specially crafted MP4 file with the ngx_http_mp4_module module.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-32647 is a buffer over-read/over-write vulnerability in NGINX's ngx_http_mp4_module affecting NGINX Plus R32-R34 and Open Source versions. An attacker can exploit this via specially crafted MP4 files to cause worker process termination or potentially achieve code execution. This vulnerability poses significant risk to organizations using NGINX as a reverse proxy or media server, particularly in Saudi Arabia's critical infrastructure sectors.
IMMEDIATE ACTIONS:
1. Identify all NGINX instances running ngx_http_mp4_module by checking configuration files for 'mp4' directive
2. Disable MP4 module processing immediately: comment out or remove 'mp4;' directive from nginx.conf
3. Implement network-level controls to block MP4 file uploads/processing until patching is available
4. Monitor NGINX worker process crashes and core dumps for exploitation attempts
COMPENSATING CONTROLS:
5. Deploy WAF rules to reject requests with MP4 content-type or .mp4 file extensions
6. Implement strict input validation on file upload endpoints
7. Use SELinux/AppArmor to restrict NGINX worker process capabilities
8. Enable NGINX access logging with detailed request inspection
DETECTION:
9. Monitor for: sudden NGINX worker process exits, abnormal memory access patterns, requests containing MP4 files
10. Alert on: POST/PUT requests with 'ftyp' magic bytes (MP4 signature), worker process segmentation faults
11. Implement IDS signatures for malformed MP4 atom structures
PATCHING STRATEGY:
12. Subscribe to F5 security advisories for patch availability
13. Prepare test environment for patch deployment immediately upon release
14. Establish rollback procedures before applying patches to production
الإجراءات الفورية:
1. تحديد جميع مثيلات NGINX التي تقوم بتشغيل ngx_http_mp4_module بفحص ملفات الإعدادات عن توجيه 'mp4'
2. تعطيل معالجة وحدة MP4 فوراً: تعليق أو إزالة توجيه 'mp4;' من nginx.conf
3. تطبيق عناصر تحكم على مستوى الشبكة لحظر تحميل/معالجة ملفات MP4 حتى يتم إصدار التصحيحات
4. مراقبة أعطال عمليات عامل NGINX وملفات core dump لمحاولات الاستغلال
عناصر التحكم التعويضية:
5. نشر قواعد WAF لرفض الطلبات ذات نوع محتوى MP4 أو امتدادات ملفات .mp4
6. تطبيق التحقق الصارم من صحة الإدخال على نقاط تحميل الملفات
7. استخدام SELinux/AppArmor لتقييد قدرات عملية عامل NGINX
8. تفعيل تسجيل وصول NGINX مع فحص الطلبات التفصيلي
الكشف:
9. مراقبة: خروج مفاجئ لعمليات عامل NGINX، أنماط وصول الذاكرة غير الطبيعية، الطلبات التي تحتوي على ملفات MP4
10. التنبيه على: طلبات POST/PUT تحتوي على بايتات سحرية 'ftyp' (توقيع MP4)، أعطال تجزئة عملية العامل
11. تطبيق توقيعات IDS لهياكل ذرات MP4 المشوهة
استراتيجية التصحيح:
12. الاشتراك في تنبيهات أمان F5 لتوفر التصحيحات
13. تحضير بيئة اختبار لنشر التصحيحات فوراً عند إصدارها
14. إنشاء إجراءات التراجع قبل تطبيق التصحيحات على الإنتاج