Les utilisateurs de **NGINX** et **NGINX Plus** sont invités à appliquer les derniers correctifs suite aux rapports d'exploitation active de **CVE-2026-42945**, un dépassement de tampon dans le tas au sein du module `ngx_http_rewrite_module`. Cette vulnérabilité affecte les versions de NGINX 0.6.27 à 1.30.0 et aurait été introduite en 2008. ### Détails de la vulnérabilité NGINX La vulnérabilité, dont le score CVSS est de 9.2, pourrait permettre à un attaquant non authentifié de déclencher des plantages de processus de travail ou potentiellement d'exécuter du code à distance via des requêtes HTTP spécialement conçues. Cependant, l'exécution réussie de code à distance (RCE) est subordonnée à la désactivation de la randomisation de l'espace d'adressage (ASLR) sur le système cible. Le chercheur en sécurité Kevin Beaumont a noté que l'exploitation nécessite une configuration NGINX spécifique et que l'attaquant connaisse cette configuration. Les mainteneurs d'AlmaLinux ont fait écho à cela, déclarant que bien que l'exécution de code fiable puisse ne pas être triviale dans les configurations par défaut avec ASLR activé, le risque de déni de service (DoS) par plantage de processus de travail est suffisamment important pour mériter une attention immédiate. **VulnCheck** a confirmé des tentatives d'exploitation actives contre ses réseaux de honeypots, bien que la nature précise et les objectifs de ces attaques restent flous. Il est fortement conseillé aux utilisateurs d'appliquer les derniers correctifs de **F5** pour atténuer les menaces potentielles. ### Failles openDCIM sous attaque active Dans un développement parallèle, **VulnCheck** a également signalé l'exploitation active de deux vulnérabilités critiques dans **openDCIM**, une application open-source pour la gestion de l'infrastructure de centre de données. Les deux failles ont un score CVSS de 9.3 : * **CVE-2026-28515** : Une vulnérabilité d'autorisation manquante qui pourrait permettre aux utilisateurs authentifiés d'accéder à la fonctionnalité de configuration LDAP indépendamment des privilèges attribués. Dans les déploiements Docker sans application d'authentification, cela pourrait entraîner une modification non autorisée des configurations de l'application. * **CVE-2026-28517** : Une vulnérabilité d'injection de commande du système d'exploitation dans le composant `report_network_map.php`. Il traite le paramètre "dot" sans assainissement approprié, le transmettant directement à une commande shell, permettant potentiellement l'exécution de code arbitraire. Ces vulnérabilités ont été découvertes aux côtés de **CVE-2026-28516**, une vulnérabilité d'injection SQL dans **openDCIM**, par le chercheur en sécurité de **VulnCheck** Valentin Lobstein. Lobstein a démontré que ces trois failles peuvent être enchaînées pour obtenir une exécution de code à distance via cinq requêtes HTTP, aboutissant à l'ouverture d'un shell inversé. Caitlin Condon, vice-présidente de la recherche en sécurité chez **VulnCheck**, a déclaré que l'activité observée des attaquants provient d'une seule adresse IP chinoise et semble utiliser une implémentation personnalisée de l'outil de découverte de vulnérabilités IA Vulnhuntr pour identifier les installations vulnérables avant de déployer un web shell PHP.