
F5 修补 NGINX Open Source 两个高危漏洞
F5 已发布安全更新,修复 NGINX Open Source 中两个可被远程未认证攻击者利用、导致代码执行的严重漏洞,条件包括特定 HTTP/3 QUIC 或 HTTP/2 代理配置。受影响产品覆盖 NGINX Open Source、NGINX Plus、NGINX Gateway Fabric、NGINX Ingress Controller 等,建议尽快升级到修复版本或按指引关闭相关功能、调整配置。
F5 已发布安全更新,以修复 NGINX Open Source 中两个严重安全漏洞,这些漏洞可被利用,在受影响系统上实现代码执行。
漏洞如下:
CVE-2026-42530(CVSS v4 评分:9.2)——ngx_http_v3_module 中的一个 use-after-free 漏洞。当 NGINX Open Source 配置为使用 HTTP/3 QUIC 模块,并通过特制的 HTTP/3 会话重新打开一个 QPACK encoder stream 时,远程未认证攻击者可触发该漏洞;在禁用 Address Space Layout Randomization(ASLR)的系统上,或当攻击者能够绕过 ASLR 时,可执行代码。
CVE-2026-42055(CVSS v4 评分:9.2)——ngx_http_proxy_v2_module 和 ngx_http_grpc_module 模块中的一个基于堆的缓冲区溢出漏洞。当使用 proxy_http_version 2 或 grpc_pass 指令代理 HTTP/2 流量、ignore_invalid_headers 指令设置为 off,且 large_client_header_buffers 指令大小大于 2 MB 时,远程未认证攻击者可触发该漏洞;在禁用 ASLR 的系统上,或当攻击者能够绕过 ASLR 时,可执行代码。
这两个缺陷已在以下版本中修复:
CVE-2026-42530 - NGINX Open Source 1.31.0 - 1.31.1(已在 1.31.2 中修复)NGINX Gateway Fabric 2.0.0 - 2.6.3(已在 2.6.4 中修复)NGINX Gateway Fabric 1.3.0 - 1.6.2 NGINX Instance Manager 2.17.0 - 2.22.0 NGINX Ingress Controller 5.0.0 - 5.5.0 NGINX Ingress Controller 4.0.0 - 4.0.1 NGINX Ingress Controller 3.5.0 - 3.7.2
NGINX Open Source 1.31.0 - 1.31.1(已在 1.31.2 中修复)
NGINX Gateway Fabric 2.0.0 - 2.6.3(已在 2.6.4 中修复)
NGINX Gateway Fabric 1.3.0 - 1.6.2
NGINX Instance Manager 2.17.0 - 2.22.0
NGINX Ingress Controller 5.0.0 - 5.5.0
NGINX Ingress Controller 4.0.0 - 4.0.1
NGINX Ingress Controller 3.5.0 - 3.7.2
CVE-2026-42055 - NGINX Plus 37.0.0 - 37.0.1(已在 37.0.2.1 中修复)NGINX Plus R33 - R36(已在 R36 P6 中修复)NGINX Open Source 1.31.1(已在 1.31.2 中修复)NGINX Open Source 1.30.0 - 1.30.2(已在 1.30.3 中修复)NGINX Instance Manager 2.17.0 - 2.22.0 F5 WAF for NGINX 5.9.0 - 5.13.1 NGINX App Protect WAF 5.2.0 - 5.8.0 NGINX App Protect WAF 4.10.0 - 4.16.0 F5 DoS for NGINX 4.9.0 NGINX App Protect DoS 4.3.0 - 4.7.0 NGINX Gateway Fabric 2.0.0 - 2.6.3(已在 2.6.4 中修复)NGINX Gateway Fabric 1.3.0 - 1.6.2 NGINX Ingress Controller 5.0.0 - 5.5.0 NGINX Ingress Controller 4.0.0 - 4.0.1 NGINX Ingress Controller 3.5.0 - 3.7.2
NGINX Plus 37.0.0 - 37.0.1(已在 37.0.2.1 中修复)
NGINX Plus R33 - R36(已在 R36 P6 中修复)
NGINX Open Source 1.31.1(已在 1.31.2 中修复)
NGINX Open Source 1.30.0 - 1.30.2(已在 1.30.3 中修复)
F5 WAF for NGINX 5.9.0 - 5.13.1
NGINX App Protect WAF 5.2.0 - 5.8.0
NGINX App Protect WAF 4.10.0 - 4.16.0
F5 DoS for NGINX 4.9.0
NGINX App Protect DoS 4.3.0 - 4.7.0
作为缓解措施,F5 列出了以下操作:
CVE-2026-42530 - 禁用 HTTP/3
CVE-2026-42055 - 从配置中移除 ignore_invalid_headers off 指令,或将 large_client_header_buffers 指令大小降低到 2 MB 以下
尽管 F5 并未提到这些漏洞正在被野外利用,但 F5 产品中的安全缺陷已多次被恶意行为者利用。
就在上个月,NGINX Plus 和 NGINX Open Source 中另一个严重安全缺陷(CVE-2026-42945,CVSS 评分:9.2),也被称为 NGINX Rift,在公开披露后的几天内就遭到积极利用。
更新
CyStack 的 Trung Nguyen 是发现并报告这两个漏洞的研究人员之一。他将 CVE-2026-42530 描述为由“生命周期不匹配”导致,进而触发 use-after-free 原语。
Nguyen 说:“属于 HTTP/3 会话的一个指针,其生命周期覆盖整个连接,最终持有了仅在短时间内存在的单向流所使用的内存。 当该流关闭时,内存被释放,但会话级别的指针仍然存在,并且仍被视为有效。”
另一方面,CVE-2026-42055 是一个堆溢出,会在无需任何身份验证的情况下,把攻击者控制的 HPACK 数据写入未授权内存区域。过大的请求可被利用来导致工作进程反复崩溃,从而造成持续性的拒绝服务(DoS)。
Nguyen 解释说:“请求构建器为 HPACK 字符串的长度前缀预留了固定 4 字节,但当长度值超过 2097278 时,HPACK varint 编码器会输出 5 字节。 因此,每个超大的字段都会使写入越过已分配区域,并带着攻击者控制的 HPACK 数据一起越界。”
(本文在 2026 年 6 月 22 日发布后更新,加入了 CyStack 发布的额外细节。)