Nebula Security заявила о 0-day nginx-poolslip в NGINX 1.31.0
22.05.2026
Nebula Security сообщила о предполагаемой RCE-уязвимости nginx-poolslip в NGINX 1.31.0, найденной агентом Vega. Технические детали, включая заявленный обход ASLR, обещаны после выхода исправления; отдельного бюллетеня F5/NGINX или CVE для nginx-poolslip пока нет.
Nebula Security заявила о новой zero-day-уязвимости NGINX под названием nginx-poolslip. По версии лаборатории, это RCE в mainline-релизе NGINX 1.31.0; техническое описание, включая обход ASLR, компания обещает раскрыть через 30 дней после выхода исправления.
Сообщение появилось вскоре после выпуска NGINX 1.30.1 и 1.31.0, которыми закрыли CVE-2026-42945 в модуле rewrite, известную как NGINX Rift. В официальном списке advisories NGINX на момент проверки отдельной записи для nginx-poolslip нет, поэтому утверждения о затронутых версиях и практической эксплуатируемости стоит считать предварительными до публикации бюллетеня F5/NGINX.
Источник: x.com