Dos vulnerabilidades críticas esta semana: RCE en nginx (CVE-2026-42945) y LPE en el kernel de Fragnesia (CVE-2026-46300)

AquaL1te · 14 Mayo, 2026 16:50

Dejo esto aquí, por si alguien ejecuta Nginx con patrones rewrite vulnerables y software vulnerable.

TL;DR: un RCE en Nginx puede combinarse con un exploit de root local si las condiciones son perfectas

RGJ · 14 Mayo, 2026 19:12

El error reside dentro del motor de reescritura de nginx. Específicamente, involucra la interacción entre tres tipos de directivas: rewrite con grupos de captura ($1, $2, etc.), una directiva set que incluye un signo de interrogación literal en la cadena de reemplazo y una directiva if o rewrite encadenada subsiguiente que hereda el contexto de reescritura.

Esto no se aplica a una instalación estándar de Discourse.

Tema		Respuestas	Vistas
Dockerfile in official install instructions uses unsupported version of Nginx Bug	4	736	9 Enero 2023
Management of NVTs and CVEs Self-hosting unsupported-install	8	1024	25 Julio 2022
Nginx version pinning Bug	7	153	30 Enero 2026
Discourse Vulnerability CVE-2021-41163 Self-hosting	11	1478	29 Noviembre 2021
Docker installation vulnerable to CVE-2015-8126? Support	4	1044	18 Noviembre 2015

Dos vulnerabilidades críticas esta semana: RCE en nginx (CVE-2026-42945) y LPE en el kernel de Fragnesia (CVE-2026-46300)

Temas relacionados