Вскоре после обнаружения 18-летнего потенциального RCE было обнаружено ещё одно, CVE-2026-9256, на этот раз просуществовавшее ещё дольше — 21 год, начиная с версии 0.1.17, выпущенной в начале 2005 года.Для эксплуатации уязвимости требуется наличие в конфиге сервера директивы rewrite, у которой: в первом аргументе имеются перекрывающиеся выделяемые параметры регулярного выражения, во втором используется два или больше из них, но не используются переменные, при этом либо указан тип «redirect», либо параметры во втором аргументе находятся после знака вопроса.( читать дальше... ) nginx, уязвимость