Компания F5 выпустила обновления безопасности для устранения двух критических уязвимостей в NGINX Open Source, которые могут использоваться для выполнения произвольного кода на уязвимых системах.
Проблемам присвоены идентификаторы CVE-2026-42530 и CVE-2026-42055. Обе уязвимости получили оценку 9,2 балла по шкале CVSS v4.
CVE-2026-42530
Уязвимость CVE-2026-42530 связана с ошибкой типа use-after-free в модуле ngx_http_v3_module.
Удалённый неаутентифицированный злоумышленник может спровоцировать её с помощью специально сформированной HTTP/3-сессии, если NGINX Open Source настроен на использование модуля HTTP/3 QUIC. Атака позволяет повторно открыть поток кодировщика QPACK и в определённых условиях добиться выполнения кода.
Эксплуатация возможна на системах, где отключён механизм Address Space Layout Randomization (ASLR), либо если злоумышленнику удаётся обойти эту защиту.
Уязвимость затрагивает следующие версии:
NGINX Open Source 1.31.0–1.31.1 (исправлено в 1.31.2)
NGINX Gateway Fabric 2.0.0–2.6.3 (исправлено в 2.6.4)
NGINX Gateway Fabric 1.3.0–1.6.2
NGINX Instance Manager 2.17.0–2.22.0
NGINX Ingress Controller 5.0.0–5.5.0
NGINX Ingress Controller 4.0.0–4.0.1
NGINX Ingress Controller 3.5.0–3.7.2
CVE-2026-42055
Уязвимость CVE-2026-42055 представляет собой переполнение буфера в куче в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module.
Для успешной эксплуатации должны одновременно выполняться несколько условий:
для проксирования HTTP/2-трафика используется директива
proxy_http_version 2илиgrpc_pass;директива
ignore_invalid_headersустановлена в значениеoff;размер буферов, задаваемый директивой
large_client_header_buffers, превышает 2 МБ.
В этом случае удалённый неаутентифицированный атакующий может добиться выполнения кода на системах с отключённым ASLR либо при возможности его обхода.
Уязвимость затрагивает:
NGINX Plus 37.0.0–37.0.1 (исправлено в 37.0.2.1)
NGINX Plus R33–R36 (исправлено в R36 P6)
NGINX Open Source 1.31.1 (исправлено в 1.31.2)
NGINX Open Source 1.30.0–1.30.2 (исправлено в 1.30.3)
NGINX Instance Manager 2.17.0–2.22.0
F5 WAF for NGINX 5.9.0–5.13.1
NGINX App Protect WAF 5.2.0–5.8.0
NGINX App Protect WAF 4.10.0–4.16.0
F5 DoS for NGINX 4.9.0
NGINX App Protect DoS 4.3.0–4.7.0
NGINX Gateway Fabric 2.0.0–2.6.3 (исправлено в 2.6.4)
NGINX Gateway Fabric 1.3.0–1.6.2
NGINX Ingress Controller 5.0.0–5.5.0
NGINX Ingress Controller 4.0.0–4.0.1
NGINX Ingress Controller 3.5.0–3.7.2
Временные меры защиты
Для снижения риска эксплуатации F5 рекомендует следующие меры.
Для CVE-2026-42530 необходимо отключить поддержку HTTP/3.
Для CVE-2026-42055 рекомендуется удалить из конфигурации директиву:
ignore_invalid_headers off;Либо уменьшить размер буферов, задаваемых параметром large_client_header_buffers, до значения менее 2 МБ.
Пример настройки:
large_client_header_buffers 4 512k;Ранее обнаруженная уязвимость NGINX Rift
На момент публикации F5 не сообщает о случаях эксплуатации новых уязвимостей в реальных атаках.
Тем не менее продукты компании регулярно становятся целью злоумышленников. В прошлом месяце активно эксплуатировалась другая критическая уязвимость в NGINX Plus и NGINX Open Source — CVE-2026-42945 с рейтингом CVSS 9,2, также известная как NGINX Rift.
По данным исследователей, атаки начались спустя всего несколько дней после публичного раскрытия информации об этой проблеме.
Источник: HN