F5 ha publicado actualizaciones de seguridad que abordan dos fallas de seguridad críticas en el código abierto de NGINX que podrían explotarse para ejecutar código en los sistemas afectados.
Las vulnerabilidades se enumeran a continuación:
CVE-2026-42530 (puntuación CVSS v4: 9,2): vulnerabilidad de uso después de la liberación en ngx_http_v3_module. Si el código abierto de NGINX está configurado para usar el módulo HTTP/3 QUIC para reabrir una secuencia de codificador QPACK a través de una sesión HTTP/3 especialmente diseñada y ejecutar código en un sistema con un espacio de direcciones, podría ser activado por un atacante remoto no autenticado. La aleatorización del diseño (ASLR) está deshabilitada o un atacante puede eludir ASLR. CVE-2026-42055 (puntaje CVSS v4: 9.2): vulnerabilidad de desbordamiento de búfer basada en montón en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module cuando se usa proxy_http_version a 2 o HTTP/2 usando la directiva grpc_pass. Puede ser activado por un atacante remoto no autenticado al enviar tráfico mediante proxy. Si la directiva ignore_invalid_headers está desactivada y la directiva large_client_header_buffers tiene más de 2 MB, ejecutará código en sistemas donde la aleatorización del diseño del espacio de direcciones (ASLR) está deshabilitada o un atacante puede omitir ASLR.
Ambas deficiencias se han solucionado en la próxima versión.
CVE-2026-42530: NGINX Open Source 1.31.0 – 1.31.1 (fijado en 1.31.2) NGINX Gateway Fabric 2.0.0 – 2.6.3 (fijado en 2.6.4) NGINX Gateway Fabric 1.3.0 – 1.6.2 NGINX Instance Manager 2.17.0 – 2.22.0 NGINX Controlador de ingreso 5.0.0 – 5.5.0 Controlador de ingreso NGINX 4.0.0 – 4.0.1 Controlador de ingreso NGINX 3.5.0 – 3.7.2 CVE-2026-42055 – NGINX Plus 37.0.0 – 37.0.1 (fijo en 37.0.2.1) NGINX Plus R33 – R36 (fijo en R36 P6) NGINX Open Source 1.31.1 (fijado en 1.31.2) NGINX Open Source 1.30.0 – 1.30.2 (fijado en 1.30.3) NGINX Instance Manager 2.17.0 – 2.22.0 F5 WAF para NGINX 5.9.0 – 5.13.1 NGINX App Protect WAF 5.2.0 – 5.8.0 NGINX App Protect WAF 4.10.0 – 4.16.0 F5 DoS para NGINX 4.9.0 NGINX App Protect DoS 4.3.0 – 4.7.0 NGINX Gateway Fabric 2.0.0 – 2.6.3 (fijado en 2.6.4) NGINX Gateway Fabric 1.3.0 a 1.6.2 Controlador de ingreso NGINX 5.0.0 a 5.5.0 Controlador de ingreso NGINX 4.0.0 a 4.0.1 Controlador de ingreso NGINX 3.5.0 a 3.7.2
En mitigación, F5 ha delineado las siguientes medidas:
CVE-2026-42530: deshabilitar HTTP/3 CVE-2026-42055: elimina la directiva ignore_invalid_headers off de la configuración o reduce el tamaño de la directiva large_client_header_buffers a menos de 2 MB.
Aunque F5 no menciona ninguna vulnerabilidad que esté siendo explotada en la naturaleza, partes malintencionadas han explotado repetidamente las fallas de seguridad en los productos F5.
El mes pasado, otra falla de seguridad crítica en NGINX Plus, también conocida como NGINX Rift, y NGINX Open Source (CVE-2026-42945, puntuación CVSS: 9.2) fue explotada activamente a los pocos días de su lanzamiento.
Source link
