[TLP:CLEAR] F5 NGINX opravuje 6 zranitelností

F5 opravuje 6 zranitelností v produktech NGINX [1][2][3][4][5][6]. Nejzávažnější z nich naleznete níže, zbylé na [3][4][5][6]. Aktuálně opravené verze jednotlivých produktů: NGINX Open Source [1] - 1.31.2, 1.30.3 NGINX Plus [1][2][6] - 37.0.2.1, R36 P6 NGINX Gateway Fabric [1][2][3][4][5][6] - 2.6.4

F5 NGINX - DoS, RCE (CVE-2026-42530)
CVSS 9.2 (Critical)

Neautentizovanému vzdálenému útočníkovi je za určitých podmínek pomocí speciálně upravené HTTP/3 relace umožněno vykonat útok DoS na NGINX a potenciálně i spustit kód. Zranitelnost se týká pouze instancí s nasazeným protokolem HTTP/3 (QUIC) [1].

Zranitelnost se nachází v produktech:

  • NGINX Open Source ve verzích >=1.31.0 AND <1.31.2
  • NGINX Instance Manager ve verzích >=2.17.0 AND <2.22.1
  • NGINX Gateway Fabric ve verzích (>=1.3.0 AND <=1.6.2) OR (>=2.0.0 AND <2.6.4)
  • NGINX Ingress Controller ve verzích (>=3.5.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <5.5.1)

CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 17. 6. 2026.

F5 NGINX - DoS, RCE (CVE-2026-42055)
CVSS 9.2 (Critical)

Neautentizovanému vzdálenému útočníkovi je za určitých podmínek zasíláním extrémně velkých hlaviček umožněno vykonat útok DoS na NGINX a potenciálně i spustit kód. Zranitelnost lze zneužít na specificky konfigurovaných systémech, kde je v bloku location nastavena direktiva proxy_http_version 2 nebo grpc_pass, je vypnuta kontrola hlaviček pomocí ignore_invalid_headers off, a zároveň je limit large_client_header_buffers navýšen na více než 2 MB. Není-li možná okamžitá aktualizace na opravenou verzi, lze riziko dočasně mitigovat změnou této konfigurace viz [2].

Zranitelnost se nachází v produktech:

  • NGINX Open Source ve verzích (>=1.30.0 AND <1.30.3) OR (>=1.31.1 AND <1.31.2)
  • NGINX Instance Manager ve verzích >=2.17.0 AND <2.22.1
  • NGINX Gateway Fabric ve verzích (>=1.3.0 AND <=1.6.2) OR (>=2.0.0 AND <2.6.4)
  • NGINX Ingress Controller ve verzích (>=3.5.0 AND <=3.7.2) OR (>=4.0.0 AND <=4.0.1) OR (>=5.0.0 AND <5.5.1)
  • NGINX Plus ve verzích >=37.0.0 AND <37.0.2.1
  • F5 WAF for NGINX ve verzích >=5.9.0 AND <=5.13.1
  • NGINX App Protect WAF ve verzích (>=4.10.0 AND <=4.16.0) OR (>=5.2.0 AND <=5.8.0)
  • F5 DoS for NGINX ve verzích ==4.9.0
  • NGINX App Protect DoS ve verzích >=4.3.0 AND <=4.7.0

CVSS: CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N

Více informací:

Zranitelnost byla veřejně oznámena 17. 6. 2026.


Za CESNET-CERTS Michaela Ručková dne 2. 7. 2026.

CESNET-CERTS Logo