Критические уязвимости в NGINX открывали путь к удалённому выполнению кода - F5 выпустила экстренные патчи

F5 выкатила внеплановые обновления для NGINX, закрывающие две критические бреши с оценкой 9,2 по шкале CVSS. Обе позволяют неаутентифицированному атакующему либо уронить сервер, либо - при определённых условиях - исполнить произвольный код. Без паролей. Без авторизации. Просто из сети.

Что за уязвимости и как они работают

Первая дыра, CVE-2026-42530, живёт в модуле HTTP/3 QUIC. Это классический use-after-free: злоумышленник формирует специальную HTTP/3-сессию и провоцирует обращение к уже освобождённой памяти. Рабочий процесс падает. На серверах без ASLR история становится куда серьёзнее - там открывается окно для выполнения произвольного кода. Аргентина - Австрия 2 тур

Вторая проблема, CVE-2026-42055, - переполнение буфера хипа в модулях proxy и gRPC. Условия эксплуатации чуть специфичнее: сервер должен проксировать HTTP/2-трафик, параметр ignore_invalid_headers выставлен в off, а размер буферов для крупных клиентских заголовков превышает 2 Мбайт. Такая конфигурация встречается реже, но отнюдь не является экзотикой в высоконагруженных инсталляциях.

Кого накрывает и где искать патчи

Под удар попадает широкий спектр продуктов экосистемы: NGINX Open Source, NGINX Plus, Gateway Fabric, Instance Manager, Ingress Controller и ряд смежных решений. Фактически любая современная инфраструктура, где крутится NGINX в production-конфигурации с HTTP/3 или проксированием HTTP/2.

• CVE-2026-42530 закрыта в NGINX Open Source 1.31.2 и NGINX Gateway Fabric 2.6.4
• CVE-2026-42055 устранена в NGINX Open Source 1.31.2 и 1.30.3, а также в NGINX Plus 37.0.2.1

Тем, кто не может обновиться прямо сейчас, F5 предлагает временные обходы. Против первой уязвимости - отключить HTTP/3, убрав параметр quic из директив listen. Против второй - либо удалить директиву ignore_invalid_headers off, либо урезать значение large_client_header_buffers ниже 2 Мбайт.

Почему медлить не стоит

Активной эксплуатации обеих уязвимостей пока не зафиксировано. Это не повод расслабляться. Месяц назад аналогичная критическая брешь в NGINX - CVE-2026-42945, известная как NGINX Rift, - начала активно использоваться в реальных атаках буквально через несколько суток после публичного раскрытия. История повторяется с завидной регулярностью. NGINX-инфраструктура давно в прицеле APT-группировок и обычных киберкриминальных команд: слишком широко распространён, слишком лаком как точка входа. Администраторам стоит рассматривать эти патчи не как рекомендацию, а как приоритет.