F5 repareert twee kritieke NGINX open source-fouten die uitvoering van externe code mogelijk maken

Cyberbeveiliging
F5 repareert twee kritieke NGINX open source-fouten die uitvoering van externe code mogelijk maken

F5 heeft beveiligingsupdates uitgebracht om twee kritieke beveiligingsfouten in NGINX Open Source aan te pakken die kunnen worden misbruikt om code-uitvoering op getroffen systemen te bewerkstelligen.

De kwetsbaarheden worden hieronder vermeld:

  • CVE-2026-42530 (CVSS v4 score: 9.2) – Een use-after-free kwetsbaarheid in de ngx_http_v3_module die kan worden geactiveerd door een externe niet-geverifieerde aanvaller wanneer NGINX Open Source is geconfigureerd om de HTTP/3 QUIC-module te gebruiken om een ​​QPACK-encoderstream te heropenen door middel van een speciaal vervaardigde HTTP/3-sessie, en code uit te voeren op systemen waarop Address Space Layout Randomization (ASLR) is uitgeschakeld of wanneer de aanvaller ASLR kan omzeilen.
  • CVE-2026-42055 (CVSS v4-score: 9.2) – Een heap-gebaseerde bufferoverflow-kwetsbaarheid in de ngx_http_proxy_v2_module en ngx_http_grpc_module modules die kan worden geactiveerd door een niet-geauthenticeerde aanvaller op afstand wanneer de proxy_http_version to 2 of grpc_pass richtlijnen worden gebruikt om HTTP/2-verkeer te proxyen, de negeer_invalid_headers richtlijn is uitgeschakeld en de large_client_header_buffers richtlijn groter is dan 2 MB, en code uitvoeren op systemen waarop Address Space Layout Randomization (ASLR) is uitgeschakeld of waarop de aanvaller ASLR kan omzeilen.

Beide tekortkomingen zijn verholpen in de volgende versies:

  • CVE-2026-42530 –

    • NGINX Open Source 1.31.0 – 1.31.1 (opgelost in 1.31.2)
    • NGINX Gateway Fabric 2.0.0 – 2.6.3 (opgelost in 2.6.4)
    • NGINX Gateway Fabric 1.3.0 – 1.6.2
    • NGINX-instantiebeheer 2.17.0 – 2.22.0
    • NGINX Ingress-controller 5.0.0 – 5.5.0
    • NGINX Ingress-controller 4.0.0 – 4.0.1
    • NGINX Ingress-controller 3.5.0 – 3.7.2

  • CVE-2026-42055 –

    • NGINX Plus 37.0.0 – 37.0.1 (opgelost in 37.0.2.1)
    • NGINX Plus R33 – R36 (vast in R36 P6)
    • NGINX Open Source 1.31.1 (opgelost in 1.31.2)
    • NGINX Open Source 1.30.0 – 1.30.2 (opgelost in 1.30.3)
    • NGINX-instantiebeheer 2.17.0 – 2.22.0
    • F5 WAF voor NGINX 5.9.0 – 5.13.1
    • NGINX-app Bescherm WAF 5.2.0 – 5.8.0
    • NGINX App Bescherm WAF 4.10.0 – 4.16.0
    • F5 DoS voor NGINX 4.9.0
    • NGINX App Protect DoS 4.3.0 – 4.7.0
    • NGINX Gateway Fabric 2.0.0 – 2.6.3 (opgelost in 2.6.4)
    • NGINX Gateway Fabric 1.3.0 – 1.6.2
    • NGINX Ingress-controller 5.0.0 – 5.5.0
    • NGINX Ingress-controller 4.0.0 – 4.0.1
    • NGINX Ingress-controller 3.5.0 – 3.7.2

Als beperkende maatregelen heeft F5 de volgende acties geschetst:

  • CVE-2026-42530 – HTTP/3 uitschakelen
  • CVE-2026-42055 – Verwijder de negeer_invalid_headers off-richtlijn uit de configuratie, of verklein de grootte van de large_client_header_buffers-richtlijn tot minder dan 2 MB

Hoewel F5 geen melding maakt van de kwetsbaarheden die in het wild worden uitgebuit, worden beveiligingsfouten in F5-producten herhaaldelijk uitgebuit door slechte actoren.

Afgelopen maand werd een ander kritiek beveiligingsfout in NGINX Plus en NGINX Open Source (CVE-2026-42945, CVSS-score: 9,2), ook wel NGINX Rift genoemd, binnen enkele dagen na de openbaarmaking actief uitgebuit.

Thijs Van der Does

Thijs Van der Does

De hoofdredacteur van Techidee.nl is Thijs Van der Does. Thijs begon als een eenvoudige technologie-enthousiast, die altijd op de hoogte was van het laatste nieuws en zijn ontdekkingen deelde met zijn vrienden.

Microsoft beschrijft Malware-campagne voor Windows Clipper met behulp van USB LNK-worm en Tor-gebaseerde C2

Neem contact met ons op

U kunt ons bereiken op onze bedrijfslocatie aan de Hoofdstraat 123, 4567 JH Amsterdam, of bel ons op 0318-1234567. We kijken ernaar uit van u te horen!

[email protected]