Le Centre gouvernemental de veille, d'alerte et de réponse aux attaques informatiques (CERT-FR) a publié le 20 mai 2026 un avis de sécurité relatif à une vulnérabilité identifiée dans le produit F5 NGINX, plus précisément dans son module NGINX JavaScript (njs).
Nature et portée de la vulnérabilité La faille, référencée sous le code CVE-2026-8711, affecte les versions 0.9.4 à 0.9.8 du module njs, antérieures à la version 0.9.9. Selon l'avis du CERT-FR, cette vulnérabilité permet à un attaquant non authentifié de provoquer un déni de service à distance, mais aussi, potentiellement, une exécution de code arbitraire sur le serveur vulnérable. Aucune précision n'a été apportée sur le vecteur d'attaque exact ni sur la complexité d'exploitation.
Produits concernés Sont concernés les déploiements de F5 NGINX utilisant le module njs dans les versions comprises entre 0.9.4 et 0.9.8 inclus. Le module njs est un langage de script permettant d'étendre les fonctionnalités de NGINX, largement utilisé comme serveur web, proxy inverse et équilibreur de charge.
Mesures de correction Le CERT-FR recommande aux administrateurs de se référer au bulletin de sécurité officiel de l'éditeur F5 (référence K000161307, daté du 19 mai 2026) pour obtenir le correctif. La mise à jour vers la version 0.9.9 de njs ou toute version ultérieure corrige la vulnérabilité. Aucune solution de contournement n'a été communiquée à ce stade.
Recommandations Les organisations exploitant des serveurs NGINX avec le module njs sont invitées à appliquer la mise à jour dès que possible, afin de prévenir tout risque d'intrusion ou d'interruption de service. Le CERT-FR rappelle l'importance de suivre régulièrement les avis de sécurité des éditeurs et de maintenir les systèmes à jour.
