Em Alta Copa do Mundo NotíciasAcontecimentos internacionaisPessoasPolíticaConflitos

Converse com o Telinha

Telinha
Oi! Posso responder perguntas apenas com base nesta matéria. O que você quer saber?

NGINX corrige duas falhas que permitiam execução remota de código

F5 corrige duas vulnerabilidades críticas no NGINX Open Source que permitem execução remota de código, atingindo HTTP/3 e proxy (CVSS 9,2)

NGINX corrige duas falhas que permitiam execução remota de códigos
0:00
Carregando...
0:00
  • A F5 corrigiu duas vulnerabilidades críticas no NGINX Open Source, que também afetam NGINX Plus, Ingress Controller e Gateway Fabric, com nota de 9,2 no CVSS v4.
  • A primeira falha, use-after-free no módulo ngx_http_v3_module, ocorre quando o NGINX usa o protocolo HTTP/3 (QUIC) e pode permitir execução remota de código sem autenticação; a exploração requer que ASLR esteja desativado.
  • A segunda falha é um estouro de buffer na heap, afetando os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module; exige condições específicas de configuração (proxy_http_version em 2, grpc_pass para HTTP/2, ignore_invalid_headers ativo e large_client_header_buffers acima de 2 MB) e também depende do ASLR.
  • A F5 já disponibilizou correções para as versões 1.31.2 e 1.30.3 do NGINX Open Source, além de patches para demais produtos da linha.
  • Como mitigação temporária, recomenda-se desativar o HTTP/3 para o CVE-2026-42530 e remover a diretiva ignore_invalid_headers off ou reduzir large_client_header_buffers para menos de 2 MB para o CVE-2026-42055, até a atualização definitiva.

Duas vulnerabilidades críticas no NGINX Open Source foram corrigidas pela F5 nesta semana. As falhas permitem execução remota de código em sistemas vulneráveis, sem necessidade de autenticação. O problema atinge principalmente módulos que lidam com HTTP/3 e proxy, impactando também outros produtos da linha, como NGINX Plus e Ingress Controller.

As falhas receberam a classificação de gravidade 9,2 na escala CVSS v4. A primeira envolve o módulo ngx_http_v3_module e foi definida como use-after-free, um erro de acesso à memória liberada. A segunda é um heap-based buffer overflow, atingindo ngx_http_proxy_v2_module e ngx_http_grpc_module.

As vulnerabilidades surgem em cenários específicos de configuração. A falha do HTTP/3 ocorre quando o NGINX Open Source utiliza o módulo QUIC e um atacante pode reabrir um stream do encoder QPACK por meio de uma sessão HTTP/3 especialmente criada. A exploração depende do ASLR estar desativado ou de contorno à proteção.

Ações e impactos

A F5 comunicou correções para várias versões do NGINX Open Source, incluindo 1.31.2 e 1.30.3, conforme a versão instalada. Além disso, produtos como NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e as versões WAF/DoS do NGINX App Protect receberam atualizações de segurança.

O CVE-2026-42055 envolve também uma condição de exploração que requer três itens simultâneos: configuração da proxy_http_version como 2, uso de grpc_pass para proxy de HTTP/2 e a diretiva ignore_invalid_headers desativada, com large_client_header_buffers acima de 2 MB. A presença de ASLR desativado amplia o risco.

Medidas de mitigação

Para quem não atualizou, a F5 recomenda medidas temporárias. No CVE-2026-42530, desative o suporte a HTTP/3 no servidor. No CVE-2026-42055, remova a diretiva ignore_invalid_headers off ou reduza o tamanho de large_client_header_buffers para menos de 2 MB. Tais ações reduzem a exposição até a aplicação das correções oficiais.

A empresa afirma que ainda não houve confirmação de exploração ativa das duas vulnerabilidades até o momento da publicação. Diversos ataques anteriores já atingiram produtos da linha NGINX, o que eleva a preocupação entre administradores e equipes de segurança.

Contexto técnico

A vulnerabilidade use-after-free ocorre quando o sistema acessa memória já liberada, gerando potential falhas de segurança. Já o overflow de heap envolve estouro de memória destinada ao heap, abrindo caminho para execução de código malicioso. Ambos exigem condições específicas de configuração para serem explorados.

Especialistas destacam que a correção abrange diversas plataformas da linha NGINX, não apenas o NGINX Open Source, o que reforça a necessidade de aplicá-la em ambientes que utilizam NGINX Plus, Ingress Controller e outros componentes conectados.

Comentários 0

Entre na conversa da comunidade

Os comentários não representam a opinião do Portal Tela; a responsabilidade é do autor da mensagem. Conecte-se para comentar

Veja Mais