近日,监测发现Nginx NJS存在一个释放后使用漏洞(CVE-2022-43286)。Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器和电子邮件(IMAP/POP3/SMTP)代理服务器。NJS是其中的一个支持扩展Nginx功能的脚本语言组件。该漏洞是由于njs_json_parse_iterator_call函数由于非法内存复制从而导致存在基于堆的释放后使用漏洞,攻击者可利用此漏洞造成拒绝服务或远程代码执行。受影响版本Nginx NJS<0.7.4.
目前漏洞细节和利用代码已公开,官方已发布安全版本修复上述漏洞,建议受影响的用户升级至Nginx NJS 0.7.4或更高版本。下载链接:
https://github.com/nginx/njs/tags。