Kritické zraniteľnosti NGINX umožňujú znefunkčniť službu a vykonávať kód

Spoločnosť F5 vydala bezpečnostné aktualizácie na opravu dvoch kritických zraniteľností v produktoch NGINX, ktoré môžu v niektorých konfiguráciách umožniť vzdialenému útočníkovi vyvolať zlyhanie služby (DoS) alebo spustiť škodlivý kód.

Zraniteľné systémy:

• NGINX Plus, verzie 37.0.0 – 37.0.1 a R33 – R36
• NGINX Open Source, verzie 1.30.0 – 1.30.2 a 1.31.1
• NGINX Instance Manage, verzie 2.17.0 – 2.22.0
• F5 WAF for NGINX, verzie 5.9.0 – 5.13.1
• NGINX App Protect WAF, verzie 4.10.0 – 4.16.0 a 5.2.0 – 5.8.0
• F5 DoS for NGINX, verzia 4.9.0
• NGINX App Protect DoS, verzie 4.3.0 – 4.7.0
• NGINX Gateway Fabric, verzie 1.3.0 – 1.6.2 a 2.0.0 – 2.6.3
• NGINX Ingress Controller, verzie 3.5.0 – 3.7.2, 4.0.0 – 4.0.1 a 5.0.0 – 5.5.0

Opis činnosti:

CVE-2026-42055 (CVSSv4 skóre 9,2)

Kritická zraniteľnosť NGINX Plus a NGINX Open Source v moduloch ngx_http_proxy_v2_module a ngx_http_grpc_module súvisí s pretečením vyrovnávacej pamäte na halde v tzv. worker procese NGINX. Vzdialený neautentifikovaný útočník môže poslať špeciálne vytvorenú požiadavku s veľkou hlavičkou, čo môže spôsobiť reštart procesu. Pokiaľ je na zraniteľnom systéme vypnutý mechanizmus ASLR alebo ho útočník dokáže obísť, môže získať schopnosť vzdialene vykonávať kód.

Zraniteľnosť vzniká, keď:

• direktívy proxy_http_version to 2 alebo grpc_pass spracúvajú premávku HTTP/2,
• direktíva ignore_invalid_headers je vypnutá,
• veľkosť direktívy large_client_header_buffers prekročí 2MB.

CVE-2026-42530 (CVSSv4 skóre 9,2)

Kritická zraniteľnosť NGINX Open Source v module ngx_http_v3_module vyplýva z možnosti použitia dealokovanej pamäte v tzv. worker procese NGINX. Vzdialený neautentifikovaný útočník ju môže zneužiť pomocou špeciálne vytvorenej relácie HTTP/3, čím opätovne otvorí dátový tok kompresnej metódy QPACK. To povedie ku reštartu procesu. Pokiaľ je na zraniteľnom systéme vypnutý mechanizmus ASLR alebo ho útočník dokáže obísť, môže získať schopnosť vzdialene vykonávať kód.

Možné škody:

• Vzdialené vykonávanie kódu
• Nedostupnosť služby (DoS)

Odporúčania:

Bezodkladná aktualizácia aspoň na verziu:

• NGINX Plus 37.0.2.1 alebo R36 P6
• NGINX Open Source 1.30.3 alebo 1.31.2
• NGINX Gateway Fabric 2.6.4
• NGINX Ingress Controller 5.5.1

Ostatné produkty zo zoznamu zraniteľných zatiaľ neboli opravené.

V prípade, že aktualizáciu nie je možné vykonať, zraniteľnosť CVE-2026-42530 možno mitigovať deaktiváciou HTTP/3.

Pre mitigáciu CVE-2026-42055 odstráňte direktívu ignore_invalid_headers alebo znížte direktívu large_client_header_buffers pod 2 MB.

Odkazy:

• https://my.f5.com/manage/s/article/K000161616
• https://my.f5.com/manage/s/article/K000161584
• https://www.cve.org/CVERecord?id=CVE-2026-42055
• https://www.cve.org/CVERecord?id=CVE-2026-42530
• https://thehackernews.com/2026/06/f5-patches-two-critical-nginx-open.html