A F5 disponibilizou correções de segurança emergenciais para mitigar duas falhas críticas detectadas no NGINX Open Source. Classificadas com a nota 9.2 na escala CVSS v4, as vulnerabilidades permitem que atacantes remotos executem códigos maliciosos nos servidores afetados sem qualquer tipo de autenticação prévia.
Detalhes das Vulnerabilidades
1. CVE-2026-42530: Falha Use-After-Free no HTTP/3
A primeira vulnerabilidade afeta o módulo ngx_http_v3_module e ocorre quando o servidor está configurado para utilizar o módulo QUIC do protocolo HTTP/3.
- Como funciona: O bug é do tipo use-after-free (acesso a uma área de memória que já havia sido liberada). Um cibercriminoso pode explorar o problema reabrindo um stream do encoder QPACK através de uma sessão HTTP/3 manipulada.
- Fator de risco: O sucesso do ataque depende do mecanismo de segurança ASLR (que randomiza os endereços de memória) estar desativado ou ser contornado pelo invasor.
2. CVE-2026-42055: Estouro de Buffer no HTTP/2
A segunda falha é um heap-based buffer overflow (estouro de buffer na memória heap) e atinge os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module.
- Condições para o ataque: Para que o sistema fique vulnerável, três fatores precisam coexistir:
- A diretiva
proxy_http_versiondeve estar configurada como2OU ogrpc_passdeve estar ativo para tráfego HTTP/2. - A diretiva
ignore_invalid_headersdeve estar desativada (off). - O tamanho definido na diretiva
large_client_header_buffersdeve ser superior a 2 MB.
- A diretiva
- Assim como a primeira falha, a exploração exige que o ASLR esteja desabilitado ou seja burlado.
Versões Corrigidas e Produtos Afetados
A F5 já distribuiu os patches de correção para o ecossistema NGINX. As versões seguras recomendadas para o NGINX Open Source são:
- Linha Principal: Versão 1.31.2
- Linha Estável: Versão 1.30.3
Outros produtos da empresa que também receberam atualizações incluem: NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e as variantes WAF e DoS do NGINX App Protect.
Mitigações Temporárias (Caso não possa atualizar agora)
Se a atualização imediata dos servidores não for possível, a F5 orienta a aplicação dos seguintes contornos de segurança:
| Vulnerabilidade | Ação de Mitigação |
| CVE-2026-42530 | Desativar temporariamente o suporte ao protocolo HTTP/3 no servidor. |
| CVE-2026-42055 | Remover a linha ignore_invalid_headers off da configuração OU reduzir o limite de large_client_header_buffers para menos de 2 MB. |
Alerta dos Especialistas: Embora a F5 afirme que não há registros de exploração ativa dessas falhas até o momento, o histórico recente preocupa. No mês passado, a vulnerabilidade conhecida como NGINX Rift (CVE-2026-42945) começou a ser ativamente atacada por cibercriminosos poucos dias após ser revelada, tornando a aplicação dos patches atuais altamente urgente.
