近日，监测发现Nginx NJS存在一个释放后使用漏洞（CVE-2022-43286）。Nginx是美国Nginx公司的一款轻量级Web服务器/反向代理服务器和电子邮件（IMAP/POP3/SMTP）代理服务器。NJS是其中的一个支持扩展Nginx功能的脚本语言组件。该漏洞是由于njs_json_parse_iterator_call函数由于非法内存复制从而导致存在基于堆的释放后使用漏洞，攻击者可利用此漏洞造成拒绝服务或远程代码执行。受影响版本Nginx NJS<0.7.4.

目前漏洞细节和利用代码已公开，官方已发布安全版本修复上述漏洞，建议受影响的用户升级至Nginx NJS 0.7.4或更高版本。下载链接：

https://github.com/nginx/njs/tags。