F5 выпустила внеплановые обновления безопасности для нескольких продуктов NGINX, закрыв в том числе две критические уязвимости, которые при определённых конфигурациях могут привести к отказу в обслуживании или выполнению кода. BleepingComputer уточняет, что проблемы затрагивают NGINX Plus, NGINX Open Source, NGINX Gateway Fabric и NGINX Instance Manager.

Первая критическая уязвимость, CVE-2026-42530, находится в модуле ngx_http_v3_module. Вторая, CVE-2026-42055, связана с ngx_http_proxy_v2_module и ngx_http_grpc_module. В обоих случаях удалённый неаутентифицированный атакующий может спровоцировать сбой worker-процесса NGINX. При этом F5 предупреждает, что на системах с отключённой ASLR или при обходе ASLR эксплуатация может дойти до выполнения кода.

По описанию, успешная атака приводит к use-after-free или heap-based buffer overflow. В практическом смысле это означает риск для организаций, которые используют NGINX не только как веб-сервер, но и как критический reverse proxy, ingress-компонент или часть API-инфраструктуры. Даже если конкретная конфигурация не позволяет выполнить код, перезапуск worker-процессов и отказ в обслуживании могут быть болезненными для публичных сервисов.

Для тех, кто не может немедленно установить обновления, F5 предложила временные меры. Для CVE-2026-42530 рекомендуется отключить HTTP/3, удалив quic из всех директив listen. Для CVE-2026-42055 — убрать директиву ignore_invalid_headers off и уменьшить значение large_client_header_buffers ниже 2 мегабайт. Это не замена патчам, но способ снизить риск до планового окна обновления.

Компания также закрыла две высокоуровневые уязвимости NGINX Gateway Fabric — CVE-2026-11311 и CVE-2026-50107, позволяющие аутентифицированным атакующим внедрять произвольные конфигурационные директивы NGINX. F5 не сообщила об эксплуатации новых ошибок в атаках, однако уязвимости в продуктах компании ранее регулярно попадали в поле зрения как киберпреступных групп, так и государственных акторов. Поэтому администраторам стоит приоритизировать проверку версий, конфигураций HTTP/3, gRPC/proxy-протокола и наличие компенсирующих контролей.

Источник: BleepingComputer, 18 июня 2026