Odkryto "HTTP/2 Bomb" – podatność umożliwiającą zdalne ataki DoS na popularne serwery webowe, takie jak NGINX, Apache i IIS. Dowiedz się, jak się chronić.
Badacze bezpieczeństwa odkryli nową podatność “HTTP/2 Bomb”, pozwalającą na zdalne ataki typu denial-of-service na kluczowe serwery webowe jak NGINX, Apache HTTPD, Microsoft IIS, Envoy i Cloudflare Pingora. Wykorzystując kombinację technik kompresji nagłówków HPACK i “slowloris”, atakujący może zasoby serwera, doprowadzając do jego niedostępności nawet z wykorzystaniem domowego połączenia internetowego.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐ (8/10)
Aktywne wykorzystanie luki CVE-2026-42945 w NGINX powoduje awarie i potencjalne RCE. Ujawniono też wykorzystanie luk w openDCIM.
Nowo ujawniona luka bezpieczeństwa w NGINX Plus i NGINX Open, oznaczona jako CVE-2026-42945 (CVSS 9.2), jest aktywnie wykorzystywana przez cyberprzestępców, umożliwiając nieautoryzowanym atakującym awarię procesów roboczych lub wykonanie zdalnego kodu, szczególnie gdy wyłączona jest ochrona ASLR. Jednocześnie ujawniono również aktywne wykorzystanie krytycznych luk w openDCIM (CVE-2026-28515, CVE-2026-28517, CVE-2026-28516), które po połączeniu pozwalają na zdalne wykonanie kodu i uruchomienie powłoki zwrotnej.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)
Odkryto 18-letnią lukę NGINX Rift (CVE-2026-42945) umożliwiającą RCE bez uwierzytelnienia. Aktualizacja jest pilnie zalecana.
Wykryto krytyczną, 18-letnią lukę bezpieczeństwa w module NGINX Rewrite (CVE-2026-42945), która pozwala atakującym bez uwierzytelnienia na zdalne wykonanie kodu (RCE) lub atak DoS poprzez wysłanie spreparowanych żądań HTTP. Problem, nazwany NGINX Rift, polega na przepełnieniu bufora sterty, a jego potencjalne skutki są poważne, zwłaszcza przy wyłączonym ASLR.
Źródło: The Hackers News
Kategoria: Cyberbezpieczeństwo
Ważność: ⭐⭐⭐⭐⭐⭐⭐⭐⭐ (9/10)