F5 Soluciona Dos Vulnerabilidades Críticas en NGINX que Permiten Ejecución Remota de Código
Publicado el
F5 ha publicado actualizaciones de seguridad para abordar dos vulnerabilidades críticas en NGINX Open Source que podrían ser explotadas para ejecutar código de forma remota en los sistemas afectados.
Detalles de las Vulnerabilidades
Las vulnerabilidades son las siguientes:- CVE-2026-42530 (Puntuación CVSS v4: 9.2): Se trata de una vulnerabilidad de uso después de liberar (use-after-free) en el módulo ngx_http_v3_module. Esta falla puede ser activada por un atacante remoto no autenticado cuando NGINX está configurado para utilizar el módulo HTTP/3 QUIC, permitiendo la reapertura de un flujo de codificación QPACK mediante una sesión HTTP/3 especialmente diseñada. Esto puede resultar en la ejecución de código en sistemas donde la Randomización de Disposición de Espacio de Direcciones (ASLR) esté desactivada o donde se pueda eludir ASLR.
- CVE-2026-42055 (Puntuación CVSS v4: 9.2): Esta vulnerabilidad de desbordamiento de búfer basado en montículos se encuentra en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module. Un atacante remoto no autenticado puede activarla cuando se utilizan las directivas proxy_http_version para tráfico HTTP/2, configurando ignore_invalid_headers a off y estableciendo un tamaño de large_client_header_buffers superior a 2 MB. Al igual que la anterior, permite ejecutar código en sistemas con ASLR desactivada o donde el atacante pueda eludirla.
Versiones Afectadas y Parches
Ambas vulnerabilidades han sido corregidas en las siguientes versiones:- CVE-2026-42530: NGINX Open Source 1.31.0 - 1.31.1 (corregido en 1.31.2), NGINX Gateway Fabric 2.0.0 - 2.6.3 (corregido en 2.6.4), entre otros. - CVE-2026-42055: NGINX Plus 37.0.0 - 37.0.1 (corregido en 37.0.2.1), NGINX Open Source 1.31.1 (corregido en 1.31.2), y más versiones.
Medidas de Mitigación
F5 ha recomendado las siguientes acciones para mitigar los riesgos:- Para CVE-2026-42530: Deshabilitar HTTP/3. - Para CVE-2026-42055: Eliminar la directiva ignore_invalid_headers off de la configuración o reducir el tamaño de large_client_header_buffers por debajo de 2 MB.
Aunque F5 no ha informado sobre la explotación activa de estas vulnerabilidades, es importante recordar que los productos de F5 han sido objeto de ataques anteriores. Por ejemplo, en el mes pasado, otra vulnerabilidad crítica en NGINX Plus y NGINX Open Source (CVE-2026-42945, puntuación CVSS: 9.2), conocida como NGINX Rift, fue objeto de explotación poco después de su divulgación pública.
La aplicación de estos parches es crucial para proteger los sistemas y garantizar la integridad de las aplicaciones que dependen de NGINX. Se recomienda a los administradores de sistemas revisar y actualizar sus configuraciones lo antes posible.