Компания F5 опубликовала обновления безопасности, устраняющие две критические уязвимости в NGINX Open Source и связанных продуктах. Обе уязвимости — CVE-2026-42530 и CVE-2026-42055 — получили оценку CVSS v4 9.2 и позволяют удалённому неаутентифицированному атакующему добиться выполнения произвольного кода при определённых конфигурациях. Затронут широкий спектр продуктов: от NGINX Open Source и NGINX Plus до NGINX Ingress Controller, Gateway Fabric, Instance Manager и компонентов WAF/DoS. Администраторам рекомендуется незамедлительно обновить затронутые установки до исправленных версий или применить предложенные меры митигации.
Технический анализ уязвимостей
CVE-2026-42530: use-after-free в модуле HTTP/3
Уязвимость типа use-after-free обнаружена в модуле ngx_http_v3_module. Согласно бюллетеню безопасности F5, эксплуатация возможна, когда NGINX настроен на использование модуля HTTP/3 QUIC. Атакующий может повторно открыть поток QPACK encoder через специально сформированную HTTP/3-сессию, что приводит к обращению к уже освобождённой области памяти. Выполнение произвольного кода возможно на системах с отключённым механизмом ASLR (Address Space Layout Randomization) или при наличии у атакующего способа обойти ASLR.
Затронутые продукты:
- NGINX Open Source 1.31.0 – 1.31.1 (исправлено в 1.31.2)
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (исправлено в 2.6.4)
- NGINX Gateway Fabric 1.3.0 – 1.6.2 (исправленная версия не указана)
- NGINX Instance Manager 2.17.0 – 2.22.0 (исправленная версия не указана)
- NGINX Ingress Controller 3.5.0 – 3.7.2, 4.0.0 – 4.0.1, 5.0.0 – 5.5.0 (исправленные версии не указаны)
CVE-2026-42055: переполнение буфера кучи в модулях HTTP/2
Вторая уязвимость представляет собой переполнение буфера кучи (heap-based buffer overflow) в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module. Как указано в соответствующем бюллетене F5, для эксплуатации необходимо одновременное выполнение нескольких условий: использование директивы proxy_http_version 2 или grpc_pass для проксирования HTTP/2-трафика, установка директивы ignore_invalid_headers в значение off, а также размер буфера large_client_header_buffers, превышающий 2 МБ. Как и в случае с первой уязвимостью, выполнение кода возможно при отключённом ASLR или его обходе.
Эта уязвимость затрагивает значительно более широкий перечень продуктов:
- NGINX Open Source 1.31.1 (исправлено в 1.31.2)
- NGINX Open Source 1.30.0 – 1.30.2 (исправлено в 1.30.3)
- NGINX Plus 37.0.0 – 37.0.1 (исправлено в 37.0.2.1)
- NGINX Plus R33 – R36 (исправлено в R36 P6)
- NGINX Gateway Fabric 2.0.0 – 2.6.3 (исправлено в 2.6.4)
- NGINX Gateway Fabric 1.3.0 – 1.6.2
- NGINX Instance Manager 2.17.0 – 2.22.0
- F5 WAF for NGINX 5.9.0 – 5.13.1
- NGINX App Protect WAF 4.10.0 – 4.16.0, 5.2.0 – 5.8.0
- F5 DoS for NGINX 4.9.0
- NGINX App Protect DoS 4.3.0 – 4.7.0
- NGINX Ingress Controller 3.5.0 – 3.7.2, 4.0.0 – 4.0.1, 5.0.0 – 5.5.0
Записи в реестре CVE доступны по ссылкам: CVE-2026-42530 и CVE-2026-42055.
Оценка реального риска
Несмотря на высокие оценки CVSS 9.2, практическая эксплуатация обеих уязвимостей ограничена рядом факторов. Для CVE-2026-42530 необходимо, чтобы в конфигурации был активирован модуль HTTP/3 QUIC — функциональность, которая до сих пор не является стандартной для большинства развёртываний NGINX. Для CVE-2026-42055 требуется ещё более специфическая комбинация: проксирование HTTP/2, явное отключение валидации заголовков и нестандартно большой размер буферов. Кроме того, выполнение кода в обоих случаях обусловлено отключённым ASLR или возможностью его обхода — на современных Linux-системах ASLR активен по умолчанию.
F5 не сообщает о фактах эксплуатации этих уязвимостей в реальных атаках. Ни одна из CVE не внесена в каталог CISA KEV. Тем не менее продукты F5 и NGINX исторически являются привлекательной целью для злоумышленников из-за их широкого распространения в качестве обратных прокси-серверов, балансировщиков нагрузки и точек входа в корпоративные сети и Kubernetes-кластеры.
Особое внимание следует обратить организациям, использующим NGINX в Kubernetes-окружениях через NGINX Ingress Controller или NGINX Gateway Fabric: компрометация этих компонентов может предоставить атакующему доступ ко всему трафику, проходящему через кластер.
Рекомендации по устранению
Приоритетное действие — обновление до исправленных версий:
- NGINX Open Source: обновить до 1.31.2 (mainline) или 1.30.3 (stable)
- NGINX Plus: обновить до 37.0.2.1 или установить R36 P6
- NGINX Gateway Fabric: обновить до 2.6.4
Если немедленное обновление невозможно, F5 предлагает следующие меры митигации:
- Для CVE-2026-42530: отключить HTTP/3 в конфигурации NGINX
- Для CVE-2026-42055: удалить директиву
ignore_invalid_headers offиз конфигурации (по умолчанию валидация заголовков включена) или уменьшить размерlarge_client_header_buffersдо значения менее 2 МБ
Для ряда затронутых продуктов — NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF/DoS и некоторых веток Ingress Controller — исправленные версии в бюллетенях пока не указаны. Администраторам этих продуктов следует отслеживать обновления бюллетеней K000161616 и K000161584 и в качестве временной меры применить описанные выше конфигурационные изменения.
Учитывая критический уровень уязвимостей и широкий перечень затронутых продуктов, организациям следует в первую очередь провести аудит конфигураций NGINX на предмет использования HTTP/3 QUIC и нестандартных настроек проксирования HTTP/2, а затем спланировать обновление в рамках ближайшего окна обслуживания. Для развёртываний в Kubernetes приоритет обновления Ingress Controller и Gateway Fabric должен быть повышен, поскольку эти компоненты обрабатывают весь входящий трафик кластера.
