Nginx menacé par une vulnérabilité critique : exécution de code et déni de service à distance

Une vulnérabilité grave a été identifiée dans le serveur web Nginx, largement déployé dans le monde. L’éditeur F5 et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), via son CERT-FR, ont publié un avis de sécurité le 26 mai 2026, invitant les administrateurs à appliquer sans délai les correctifs disponibles.

Versions concernées La faille, référencée sous l’identifiant CVE-2026-9256, affecte plusieurs branches du logiciel :

• NGINX Open Source versions 1.x antérieures à la version 1.30.2 ;
• NGINX Open Source versions postérieures à 1.31.0 mais antérieures à 1.31.1 ;
• NGINX Plus versions 37.x antérieures à la version 37.0.1.1 ;
• NGINX Plus versions Rx antérieures à R36 P5 ou R32 P7.

L’éditeur précise que les versions 0.x de Nginx Open Source ne bénéficieront d’aucun correctif. Les utilisateurs de ces versions très anciennes sont donc invités à migrer vers une version prise en charge.

Nature de la menace Selon l’avis du CERT-FR, la vulnérabilité permet à un attaquant de provoquer deux types d’impact : une exécution de code arbitraire à distance et un déni de service à distance. En clair, un attaquant pourrait prendre le contrôle d’un serveur vulnérable ou le rendre indisponible, sans nécessiter d’accès préalable au système.

Mesures recommandées Le CERT-FR recommande de se référer au bulletin de sécurité publié par F5 le 22 mai 2026 (référence K000161377) pour obtenir les correctifs. Les administrateurs doivent identifier les versions de Nginx en service dans leur infrastructure et appliquer les mises à jour vers les versions corrigées : 1.30.2 ou 1.31.1 pour la branche Open Source, et 37.0.1.1 ou les patchs R36 P5 / R32 P7 pour Nginx Plus.

Contexte et implications Nginx est l’un des serveurs web les plus utilisés au monde, notamment pour les sites à fort trafic, les proxys inverses et les infrastructures cloud. Une vulnérabilité de ce niveau expose potentiellement des millions de sites et de services. L’absence de correctif pour les versions 0.x souligne l’importance pour les organisations de maintenir leurs logiciels à jour et de ne pas utiliser des versions obsolètes.