NGINX JavaScript has a vulnerability when the js_fetch_proxy directive is configured with at least one client-controlled NGINX variable (for example, $http_*, $arg_*, $cookie_*) and a location invoking the ngx.fetch() operation from NGINX JavaScript. An unauthenticated attacker can exploit this vulnerability by sending crafted HTTP requests. This may cause a heap buffer overflow in the NGINX worker process leading to a restart. Additionally, for systems with Address Space Layout Randomization (ASLR) disabled, code execution is possible.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
CVE-2026-8711 is a critical heap buffer overflow vulnerability in NGINX JavaScript's js_fetch_proxy directive when configured with client-controlled variables. Unauthenticated attackers can trigger worker process crashes via crafted HTTP requests, with potential remote code execution on systems with ASLR disabled. This poses immediate risk to organizations running vulnerable NGINX configurations, particularly those handling sensitive transactions or critical services.
IMMEDIATE ACTIONS:
1. Audit all NGINX configurations for js_fetch_proxy directives with client-controlled variables ($http_*, $arg_*, $cookie_*)
2. Disable or remove js_fetch_proxy directives if not essential to operations
3. Implement strict input validation and sanitization for all client-controlled variables before use in fetch operations
4. Enable ASLR on all systems running NGINX (sysctl -w kernel.randomize_va_space=2)
COMPENSATING CONTROLS:
5. Deploy WAF rules to block requests with suspicious patterns targeting js_fetch_proxy endpoints
6. Implement rate limiting and request size restrictions on affected endpoints
7. Monitor NGINX error logs for segmentation faults and worker process crashes
8. Restrict network access to NGINX services using firewall rules
9. Run NGINX worker processes with minimal privileges (dedicated user account)
DETECTION:
10. Monitor for repeated HTTP 502/503 errors indicating worker crashes
11. Alert on NGINX worker process restarts exceeding baseline frequency
12. Log and analyze requests containing encoded or obfuscated variable references
الإجراءات الفورية:
1. تدقيق جميع تكوينات NGINX بحثاً عن توجيهات js_fetch_proxy مع متغيرات يتحكم فيها العميل
2. تعطيل أو إزالة توجيهات js_fetch_proxy إذا لم تكن ضرورية للعمليات
3. تطبيق التحقق الصارم من المدخلات وتنظيف جميع المتغيرات المتحكم فيها من قبل العميل
4. تفعيل ASLR على جميع الأنظمة التي تشغل NGINX
الضوابط التعويضية:
5. نشر قواعد WAF لحظر الطلبات ذات الأنماط المريبة
6. تطبيق تحديد معدل الطلبات وقيود حجم الطلب
7. مراقبة سجلات أخطاء NGINX للأعطال والأعطال
8. تقييد الوصول إلى خدمات NGINX باستخدام قواعد جدار الحماية
9. تشغيل عمليات عامل NGINX بامتيازات محدودة
الكشف:
10. مراقبة أخطاء HTTP 502/503 المتكررة
11. تنبيهات عند إعادة تشغيل عملية العامل
12. تسجيل وتحليل الطلبات التي تحتوي على مراجع متغيرة مشفرة