Разработчики F5 выпустили внеплановые патчи для двух критических проблем в NGINX, которые при определенных условиях позволяли удаленно выполнить произвольный код.
Уязвимости получили идентификаторы CVE-2026-42530 и CVE-2026-42055, а также набрали по 9,2 балла по шкале CVSS. Они позволяют неаутентифицированному удаленному атакующему спровоцировать отказ в обслуживании (DoS) или добиться выполнения произвольного кода.
Первая уязвимость (CVE-2026-42530) связана с модулем ngx_http_v3_module и представляет собой проблему типа use-after-free. Эксплуатация происходит при помощи специально подготовленной HTTP/3-сессии на серверах, где используется модуль HTTP/3 QUIC.
Вторая проблема (CVE-2026-42055) затрагивает модули ngx_http_proxy_v2_module и ngx_http_grpc_module. В этом случае баг связан с переполнением буфера хипа. Эксплуатация возможна, если сервер проксирует HTTP/2-трафик через proxy_http_version 2 или grpc_pass, параметр ignore_invalid_headers установлен в значение off, а размер large_client_header_buffers превышает 2 Мбайт.
В обоих случаях успешная атака приводит к аварийному завершению рабочего процесса NGINX и его перезапуску. Кроме того, подчеркивается, что в системах с отключенным ASLR злоумышленники могут добиться не только DoS, но и выполнения произвольного кода.
Уязвимости представляют опасность для NGINX Open Source, NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller и ряда дополнительных продуктов экосистемы.
Исправления для проблемы CVE-2026-42530 вошли в состав NGINX Open Source 1.31.2 и NGINX Gateway Fabric 2.6.4, тогда как патчи для CVE-2026-42055 доступны в NGINX Open Source 1.31.2 и 1.30.3, а также в NGINX Plus 37.0.2.1 и других поддерживаемых ветках.
Всем, кто пока не может установить исправления, разработчики рекомендуют использовать временные меры защиты. Для защиты от CVE-2026-42530 следует отключить HTTP/3 и убрать параметр quic из директив listen. А в случае CVE-2026-42055 советуют удалить директиву ignore_invalid_headers off или уменьшить значение large_client_header_buffers менее чем до 2 Мбайт.
Хотя пока случаев эксплуатации новых багов в реальных атаках не обнаружено, продукты компании уже не раз становились целью хакеров и APT-группировок. Также напомним, что в прошлом месяце злоумышленники начали активно использовать критическую уязвимость NGINX Rift (CVE-2026-42945) всего через несколько дней после публичного раскрытия информации о ней. Поэтому администраторам настоятельно рекомендуют не откладывать установку патчей.
