Известная исследовательница Алиса Шевченко alisaesage обнаружила уязвимость удаленного выполнения произвольного кода в последних версиях веб-сервера nginx.
UPD: Не nginx, а njs, не уязвимость, а просто баг (уже пофикшен в последней версии) — компания Nginx отписалась, что этот баг не может быть использован как уязвимость. (спасибо lega за уточнение)
Детали уязвимости пока не известны и держатся в тайне согласно 90-дневной политике неразглашения.
За историю nginx с 2009 года обнаружено всего порядка 20 уязвимостей, из них ни одной RCE. Стоимость такого рода уязвимостей:
— Zerodium — $200k
— ZDI TIP — $200k (fame included)
— legal non-public buyers: multiply above by a factor of 3++
Несмотря на то, что PoC и эксплойта нет в паблике не доверять словам Алисы нельзя — она давно зарекомендовала себя как отличный специалист (и даже находится в санкционном списке), а это значит что тысячи исследователей побегут исследовать исходный код nginx для выявления этой гром-баги до официального патча.
Автор: LukaSafonov