Uma nova vulnerabilidade de execução remota de código no NGINX 1.31.0 foi divulgada publicamente sob o nome “nginx-poolslip”. A falha afetaria a versão mais recente do servidor web e ainda não possui correção oficial ou identificador CVE conhecido.
A divulgação ocorreu em 21 de maio de 2026, com a promessa de publicação de detalhes técnicos completos apenas após um período de 30 dias ou depois da disponibilização de um patch.
O problema estaria relacionado ao mecanismo interno de gerenciamento de pools de memória do NGINX. Segundo os pesquisadores, a falha permitiria execução remota de código sem autenticação, cenário que pode levar ao comprometimento total de servidores expostos.
O caso chama atenção porque surge pouco depois da correção de uma vulnerabilidade anterior conhecida como “nginx-rift”. A nova falha seria uma forma de contornar proteções aplicadas no reparo anterior, mantendo aberta uma superfície de ataque ligada a corrupção de memória.
O risco é relevante pelo papel do NGINX em servidores web, proxies reversos, balanceadores de carga e gateways de API. Ambientes que atualizaram rapidamente para a versão 1.31.0 podem, em tese, continuar expostos ao novo problema até a chegada de uma correção.
Até o momento, não há exploração pública detalhada nem patch oficial da F5/NGINX para o nginx-poolslip. A ausência de detalhes reduz a possibilidade de exploração em massa imediata, mas também dificulta a validação independente do impacto por administradores.
