- A F5 corrigiu duas vulnerabilidades críticas no NGINX Open Source, que também afetam NGINX Plus, Ingress Controller e Gateway Fabric, com nota de 9,2 no CVSS v4.
- A primeira falha, use-after-free no módulo ngx_http_v3_module, ocorre quando o NGINX usa o protocolo HTTP/3 (QUIC) e pode permitir execução remota de código sem autenticação; a exploração requer que ASLR esteja desativado.
- A segunda falha é um estouro de buffer na heap, afetando os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module; exige condições específicas de configuração (proxy_http_version em 2, grpc_pass para HTTP/2, ignore_invalid_headers ativo e large_client_header_buffers acima de 2 MB) e também depende do ASLR.
- A F5 já disponibilizou correções para as versões 1.31.2 e 1.30.3 do NGINX Open Source, além de patches para demais produtos da linha.
- Como mitigação temporária, recomenda-se desativar o HTTP/3 para o CVE-2026-42530 e remover a diretiva ignore_invalid_headers off ou reduzir large_client_header_buffers para menos de 2 MB para o CVE-2026-42055, até a atualização definitiva.
Duas vulnerabilidades críticas no NGINX Open Source foram corrigidas pela F5 nesta semana. As falhas permitem execução remota de código em sistemas vulneráveis, sem necessidade de autenticação. O problema atinge principalmente módulos que lidam com HTTP/3 e proxy, impactando também outros produtos da linha, como NGINX Plus e Ingress Controller.
As falhas receberam a classificação de gravidade 9,2 na escala CVSS v4. A primeira envolve o módulo ngx_http_v3_module e foi definida como use-after-free, um erro de acesso à memória liberada. A segunda é um heap-based buffer overflow, atingindo ngx_http_proxy_v2_module e ngx_http_grpc_module.
As vulnerabilidades surgem em cenários específicos de configuração. A falha do HTTP/3 ocorre quando o NGINX Open Source utiliza o módulo QUIC e um atacante pode reabrir um stream do encoder QPACK por meio de uma sessão HTTP/3 especialmente criada. A exploração depende do ASLR estar desativado ou de contorno à proteção.
Ações e impactos
A F5 comunicou correções para várias versões do NGINX Open Source, incluindo 1.31.2 e 1.30.3, conforme a versão instalada. Além disso, produtos como NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e as versões WAF/DoS do NGINX App Protect receberam atualizações de segurança.
O CVE-2026-42055 envolve também uma condição de exploração que requer três itens simultâneos: configuração da proxy_http_version como 2, uso de grpc_pass para proxy de HTTP/2 e a diretiva ignore_invalid_headers desativada, com large_client_header_buffers acima de 2 MB. A presença de ASLR desativado amplia o risco.
Medidas de mitigação
Para quem não atualizou, a F5 recomenda medidas temporárias. No CVE-2026-42530, desative o suporte a HTTP/3 no servidor. No CVE-2026-42055, remova a diretiva ignore_invalid_headers off ou reduza o tamanho de large_client_header_buffers para menos de 2 MB. Tais ações reduzem a exposição até a aplicação das correções oficiais.
A empresa afirma que ainda não houve confirmação de exploração ativa das duas vulnerabilidades até o momento da publicação. Diversos ataques anteriores já atingiram produtos da linha NGINX, o que eleva a preocupação entre administradores e equipes de segurança.
Contexto técnico
A vulnerabilidade use-after-free ocorre quando o sistema acessa memória já liberada, gerando potential falhas de segurança. Já o overflow de heap envolve estouro de memória destinada ao heap, abrindo caminho para execução de código malicioso. Ambos exigem condições específicas de configuração para serem explorados.
Especialistas destacam que a correção abrange diversas plataformas da linha NGINX, não apenas o NGINX Open Source, o que reforça a necessidade de aplicá-la em ambientes que utilizam NGINX Plus, Ingress Controller e outros componentes conectados.
Entre na conversa da comunidade