Критичні CVE-2026-42530 і CVE-2026-42055 у NGINX: що треба оновити

Компанія F5 оприлюднила оновлення безпеки, які усувають дві критичні вразливості в NGINX Open Source і пов’язаних продуктах. Обидві вразливості — CVE-2026-42530 і CVE-2026-42055 — отримали оцінку CVSS v4 9.2 і дають змогу віддаленому неавтентифікованому зловмиснику досягти виконання довільного коду за певних конфігурацій. Уражено широкий спектр продуктів: від NGINX Open Source і NGINX Plus до NGINX Ingress Controller, Gateway Fabric, Instance Manager і компонентів WAF/DoS. Адміністраторам рекомендується негайно оновити уражені інсталяції до виправлених версій або застосувати запропоновані заходи мітигації.

Технічний аналіз вразливостей

CVE-2026-42530: use-after-free в модулі HTTP/3

Вразливість типу use-after-free виявлено в модулі ngx_http_v3_module. Згідно з бюлетенем безпеки F5, експлуатація можлива, коли NGINX налаштований на використання модуля HTTP/3 QUIC. Зловмисник може повторно відкрити потік QPACK encoder через спеціально сформовану HTTP/3-сесію, що призводить до звернення до вже звільненої ділянки пам’яті. Виконання довільного коду можливе на системах із вимкненим механізмом ASLR (Address Space Layout Randomization) або за наявності в зловмисника способу обійти ASLR.

Уражені продукти:

• NGINX Open Source 1.31.0 – 1.31.1 (виправлено в 1.31.2)
• NGINX Gateway Fabric 2.0.0 – 2.6.3 (виправлено в 2.6.4)
• NGINX Gateway Fabric 1.3.0 – 1.6.2 (виправлену версію не вказано)
• NGINX Instance Manager 2.17.0 – 2.22.0 (виправлену версію не вказано)
• NGINX Ingress Controller 3.5.0 – 3.7.2, 4.0.0 – 4.0.1, 5.0.0 – 5.5.0 (виправлені версії не вказано)

CVE-2026-42055: переполнение буфера кучи в модулях HTTP/2

Друга вразливість являє собою переповнення буфера купи (heap-based buffer overflow) у модулях ngx_http_proxy_v2_module і ngx_http_grpc_module. Як зазначено в відповідному бюлетені F5, для експлуатації необхідне одночасне виконання кількох умов: використання директиви proxy_http_version 2 або grpc_pass для проксування HTTP/2-трафіку, встановлення директиви ignore_invalid_headers у значення off, а також розмір буфера large_client_header_buffers, що перевищує 2 МБ. Як і у випадку з першою вразливістю, виконання коду можливе за вимкненого ASLR або його обходу.

Ця вразливість охоплює значно ширший перелік продуктів:

• NGINX Open Source 1.31.1 (виправлено в 1.31.2)
• NGINX Open Source 1.30.0 – 1.30.2 (виправлено в 1.30.3)
• NGINX Plus 37.0.0 – 37.0.1 (виправлено в 37.0.2.1)
• NGINX Plus R33 – R36 (виправлено в R36 P6)
• NGINX Gateway Fabric 2.0.0 – 2.6.3 (виправлено в 2.6.4)
• NGINX Gateway Fabric 1.3.0 – 1.6.2
• NGINX Instance Manager 2.17.0 – 2.22.0
• F5 WAF for NGINX 5.9.0 – 5.13.1
• NGINX App Protect WAF 4.10.0 – 4.16.0, 5.2.0 – 5.8.0
• F5 DoS for NGINX 4.9.0
• NGINX App Protect DoS 4.3.0 – 4.7.0
• NGINX Ingress Controller 3.5.0 – 3.7.2, 4.0.0 – 4.0.1, 5.0.0 – 5.5.0

Записи в реєстрі CVE доступні за посиланнями: CVE-2026-42530 і CVE-2026-42055.

Оцінка реального ризику

Попри високі оцінки CVSS 9.2, практична експлуатація обох вразливостей обмежена низкою чинників. Для CVE-2026-42530 необхідно, щоб у конфігурації був активований модуль HTTP/3 QUIC — функціональність, яка й досі не є стандартною для більшості розгортань NGINX. Для CVE-2026-42055 потрібна ще специфічніша комбінація: проксування HTTP/2, явне вимкнення валідації заголовків і нестандартно великий розмір буферів. Крім того, виконання коду в обох випадках зумовлене вимкненим ASLR або можливістю його обходу — на сучасних Linux-системах ASLR увімкнений за замовчуванням.

F5 не повідомляє про факти експлуатації цих вразливостей у реальних атаках. Жодна з CVE не внесена до каталогу CISA KEV. Водночас продукти F5 і NGINX історично є привабливою ціллю для зловмисників через їх широке поширення як зворотних проксі-серверів, балансувальників навантаження та точок входу до корпоративних мереж і Kubernetes-кластерів.

Особливу увагу слід звернути організаціям, що використовують NGINX у Kubernetes-середовищах через NGINX Ingress Controller або NGINX Gateway Fabric: компрометація цих компонентів може надати зловмиснику доступ до всього трафіку, що проходить через кластер.

Рекомендації щодо усунення

Пріоритетна дія — оновлення до виправлених версій:

• NGINX Open Source: оновити до 1.31.2 (mainline) або 1.30.3 (stable)
• NGINX Plus: оновити до 37.0.2.1 або встановити R36 P6
• NGINX Gateway Fabric: оновити до 2.6.4

Якщо негайне оновлення неможливе, F5 пропонує такі заходи мітигації:

• Для CVE-2026-42530: вимкнути HTTP/3 у конфігурації NGINX
• Для CVE-2026-42055: видалити директиву ignore_invalid_headers off із конфігурації (за замовчуванням валідацію заголовків увімкнено) або зменшити розмір large_client_header_buffers до значення менш ніж 2 МБ

Для низки уражених продуктів — NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF/DoS і деяких гілок Ingress Controller — виправлені версії в бюлетенях поки не зазначено. Адміністраторам цих продуктів слід відстежувати оновлення бюлетенів K000161616 і K000161584 і як тимчасовий захід застосувати описані вище конфігураційні зміни.

З огляду на критичний рівень вразливостей і широкий перелік уражених продуктів, організаціям слід насамперед провести аудит конфігурацій NGINX на предмет використання HTTP/3 QUIC і нестандартних налаштувань проксування HTTP/2, а потім спланувати оновлення в межах найближчого вікна обслуговування. Для розгортань у Kubernetes пріоритет оновлення Ingress Controller і Gateway Fabric має бути підвищений, оскільки ці компоненти обробляють увесь вхідний трафік кластера.