[TLP:CLEAR] F5 NGINX opravuje 6 zranitelností
F5 opravuje 6 zranitelností v produktech NGINX [1][2][3][4][5][6]. Nejzávažnější z nich naleznete níže, zbylé na [3][4][5][6]. Aktuálně opravené verze jednotlivých produktů: NGINX Open Source [1] - 1.31.2, 1.30.3 NGINX Plus [1][2][6] - 37.0.2.1, R36 P6 NGINX Gateway Fabric [1][2][3][4][5][6] - 2.6.4
Neautentizovanému vzdálenému útočníkovi je za určitých podmínek pomocí speciálně upravené HTTP/3 relace umožněno vykonat útok DoS na NGINX a potenciálně i spustit kód. Zranitelnost se týká pouze instancí s nasazeným protokolem HTTP/3 (QUIC) [1].
Zranitelnost se nachází v produktech:
- NGINX Open Source ve verzích >=1.31.0 AND <1.31.2
- NGINX Instance Manager ve verzích >=2.17.0 AND <2.22.1
- NGINX Gateway Fabric ve verzích (>=1.3.0 AND <=1.6.2) OR (>=2.0.0 AND <2.6.4)
- NGINX Ingress Controller ve verzích (>=3.5.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <5.5.1)
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-42530 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-416: Use After Free at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Neautentizovanému vzdálenému útočníkovi je za určitých podmínek zasíláním extrémně velkých hlaviček umožněno vykonat útok DoS na NGINX a potenciálně i spustit kód. Zranitelnost lze zneužít na specificky konfigurovaných systémech, kde je v bloku location nastavena direktiva proxy_http_version 2 nebo grpc_pass, je vypnuta kontrola hlaviček pomocí ignore_invalid_headers off, a zároveň je limit large_client_header_buffers navýšen na více než 2 MB. Není-li možná okamžitá aktualizace na opravenou verzi, lze riziko dočasně mitigovat změnou této konfigurace viz [2].
Zranitelnost se nachází v produktech:
- NGINX Open Source ve verzích (>=1.30.0 AND <1.30.3) OR (>=1.31.1 AND <1.31.2)
- NGINX Instance Manager ve verzích >=2.17.0 AND <2.22.1
- NGINX Gateway Fabric ve verzích (>=1.3.0 AND <=1.6.2) OR (>=2.0.0 AND <2.6.4)
- NGINX Ingress Controller ve verzích (>=3.5.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <5.5.1)
- NGINX Plus ve verzích >=37.0.0 AND <37.0.2.1
- F5 WAF for NGINX ve verzích >=5.9.0 AND <=5.13.1
- NGINX App Protect WAF ve verzích (>=4.10.0 AND <=4.16.0) OR (>=5.2.0 AND <=5.8.0)
- F5 DoS for NGINX ve verzích ==4.9.0
- NGINX App Protect DoS ve verzích >=4.3.0 AND <=4.7.0
CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
Více informací:
- CVE-2026-42055 at cve.org, NVD, GitHub, CIRCL.LU, Debian, Ubuntu, Red Hat, SUSE
- CWE-122: Heap-based Buffer Overflow at cwe.mitre.org
Zranitelnost byla veřejně oznámena 17. 6. 2026.
Odkazy
Za CESNET-CERTS Michaela Ručková dne 2. 7. 2026.