F5 ha publicado actualizaciones de seguridad para abordar dos fallas de seguridad críticas en NGINX Open Source que podrían explotarse para lograr la ejecución de código en los sistemas afectados.
Las vulnerabilidades se enumeran a continuación:
- CVE-2026-42530 (Puntuación CVSS v4: 9.2): una vulnerabilidad de uso después de la liberación en ngx_http_v3_module que podría ser activada por un atacante remoto no autenticado cuando NGINX Open Source está configurado para usar el módulo HTTP/3 QUIC para reabrir una secuencia de codificador QPACK mediante una sesión HTTP/3 especialmente diseñada y ejecutar código en sistemas con la aleatorización del diseño del espacio de direcciones (ASLR) deshabilitada o cuando el atacante puede omitir ASLR.
- CVE-2026-42055 (Puntuación CVSS v4: 9.2): una vulnerabilidad de desbordamiento de búfer basada en montón en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module que podría ser activada por un atacante remoto no autenticado cuando las directivas proxy_http_version to 2 o grpc_pass se usan para representar el tráfico HTTP/2, la directiva ignore_invalid_headers está desactivada y la El tamaño de la directiva large_client_header_buffers es superior a 2 MB y ejecuta código en sistemas con la aleatorización del diseño del espacio de direcciones (ASLR) deshabilitada o cuando el atacante puede eludir ASLR.
Ambas deficiencias se han solucionado en las siguientes versiones:
-
CVE-2026-42530 –
- Código abierto NGINX 1.31.0 – 1.31.1 (corregido en 1.31.2)
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (corregido en 2.6.4)
- Estructura de puerta de enlace NGINX 1.3.0 – 1.6.2
- Administrador de instancias NGINX 2.17.0 – 2.22.0
- Controlador de ingreso NGINX 5.0.0 – 5.5.0
- Controlador de ingreso NGINX 4.0.0 – 4.0.1
- Controlador de ingreso NGINX 3.5.0 – 3.7.2
-
CVE-2026-42055 –
- NGINX Plus 37.0.0 – 37.0.1 (Fijo en 37.0.2.1)
- NGINX Plus R33 – R36 (Fijo en R36 P6)
- Código abierto NGINX 1.31.1 (corregido en 1.31.2)
- Código abierto NGINX 1.30.0 – 1.30.2 (corregido en 1.30.3)
- Administrador de instancias NGINX 2.17.0 – 2.22.0
- F5 WAF para NGINX 5.9.0 – 5.13.1
- Aplicación NGINX Protege WAF 5.2.0 – 5.8.0
- Aplicación NGINX Protege WAF 4.10.0 – 4.16.0
- F5 DoS para NGINX 4.9.0
- Aplicación NGINX Protege DoS 4.3.0 – 4.7.0
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (corregido en 2.6.4)
- Estructura de puerta de enlace NGINX 1.3.0 – 1.6.2
- Controlador de ingreso NGINX 5.0.0 – 5.5.0
- Controlador de ingreso NGINX 4.0.0 – 4.0.1
- Controlador de ingreso NGINX 3.5.0 – 3.7.2
Como mitigaciones, F5 ha descrito las siguientes acciones:
- CVE-2026-42530: deshabilitar HTTP/3
- CVE-2026-42055: elimine la directiva ignore_invalid_headers off de la configuración o reduzca el tamaño de la directiva large_client_header_buffers por debajo de 2 MB
Aunque F5 no menciona las vulnerabilidades que se están explotando en la naturaleza, los malos actores han explotado repetidamente las fallas de seguridad en los productos de F5.
Tan recientemente como el mes pasado, otro defecto de seguridad crítico en NGINX Plus y NGINX Open Source (CVE-2026-42945, puntuación CVSS: 9.2), también llamado NGINX Rift, fue explotado activamente pocos días después de la divulgación pública.