Вскоре после обнаружения [ 18-летнего ]( https://www.linux.org.ru/news/security/18295901 ) потенциального RCE было обнаружено ещё одно, [ CVE-2026-9256 ]( https://www.cve.org/CVERecord?id=CVE-2026-9256 ) , на этот раз просуществовавшее ещё дольше — 21 год, начиная с версии 0.1.17, выпущенной в начале 2005 года.
Для эксплуатации уязвимости требуется наличие в конфиге сервера директивы rewrite, у которой:

• в первом аргументе имеются перекрывающиеся выделяемые параметры регулярного выражения,

• во втором используется два или больше из них, но не используются переменные,

• при этом либо указан тип «redirect», либо параметры во втором аргументе находятся после знака вопроса.

( [ читать дальше... ]( https://www.linux.org.ru/news/security/18300022#cut0 ) )