最近,F5针对NGINX发布了非例行的紧急安全更新,公告中一次点名多处漏洞,并说明这些问题已被修补到对应版本。此次更新共披露6个中度风险以上漏洞,按CVSS 3.1划分为4个高风险与2个中风险;若采用CVSS 4.0,则包含2个重大漏洞、3个高风险与1个中风险。
在严重程度上,最值得警惕的是两项最高分漏洞:CVE-2026-42530与CVE-2026-42055。前者涉及NGINX Open Source的ngx_http_v3_module,以及Nginx Plus/NGINX Open Source中的ngx_http_proxy_v2_module与ngx_http_grpc_module。它们属于数据层(data plane)处理异常,并非控制层(control plane)直接暴露。
这两类漏洞还具备共同点:攻击者可能诱发不当的内存访问,导致NGINX工作进程重新启动;同时也可能绕过或在特定情况下利用关闭ASLR(地址空间布局随机化)的机制,从而进一步推动远程代码执行。
具体到CVE-2026-42530,上报为UAF(释放后仍被访问)问题。F5指出,当NGINX Open Source启用HTTP/3 QUIC相关模块,并在HTTP/2连接阶段使用定制流程重新开启QPACK编码器的数据流时,可能触发工作进程UAF,进而促成系统重启。未修补前存在被远端利用的可能,影响版本主要集中在NGINX Open Source 1.31.0与1.31.1;而最新发布的1.31.2已修复。此外,像Nginx Instance Manager、Nginx Gateway Fabric与Nginx Ingress Controller等,也因基于NGINX Open Source/结构而受到影响;其中Gateway Fabric 2.x已给出包含修补的2.6.4版本,但部分其他产品线暂未同步放出更新。
至于CVE-2026-42055,则属于堆积型缓冲区溢出(Heap-based Buffer Overflow)。在特定配置组合下,例如NGINX Plus与Open Source的proxy_http_version取值为2、grpc_pass承载HTTP/2代理流量、并停用ignore_invalid_headers,且large_client_header_buffers容量超过2MB时,攻击者可能通过构造多个大型HTTP头触发缓冲区溢出,导致进程重启。
F5同时列出更广范围的受影响产品:包含Nginx Instance Manager、Nginx Gateway Fabric、Nginx Ingress Controller,以及以Nginx Plus为底座的F5 WAF for Nginx、F5 DoS for Nginx、Nginx App Protect WAF/DoS等。若无法立即升级,公告给出临时缓解建议:例如CVE-2026-42530可先停用HTTP/3并移除quic模块的listen配置;CVE-2026-42055则建议移除ignore_invalid_headers off,并把large_client_header_buffers容量降到2MB以下。
总结来说,这次更新的重点不只是“修补漏洞”,更是提醒运维团队立即核对NGINX及其衍生产品版本,优先完成到已修补的发布包,避免服务中断甚至更高危的利用后果。
