F5 ha emitido actualizaciones de seguridad críticas para NGINX Open Source, su popular servidor web y proxy inverso, abordando dos vulnerabilidades significativas que podrían permitir la ejecución remota de código (RCE) en sistemas afectados.
La primera falla, identificada como CVE-2026-42530 con una puntuación CVSS v4 de 9.2, es una vulnerabilidad de ‘use-after-free’ en el módulo ngx_http_v3_module. Un ‘use-after-free’ ocurre cuando un programa intenta utilizar memoria que ha sido liberada, lo que puede llevar a comportamientos impredecibles o a la ejecución de código arbitrario. Un atacante remoto no autenticado podría explotarla al configurar NGINX para usar el módulo HTTP/3 QUIC, manipulando una sesión HTTP/3 para reabrir un flujo de codificador QPACK. Esto podría llevar a la ejecución de código, especialmente si las protecciones como Address Space Layout Randomization (ASLR) están deshabilitadas o son evadidas.
La segunda vulnerabilidad, CVE-2026-42055, también con una puntuación CVSS v4 de 9.2, es un desbordamiento de búfer basado en pila (heap-based buffer overflow). Este tipo de error se produce cuando un programa escribe datos más allá del límite de un búfer en la memoria, sobrescribiendo potencialmente datos adyacentes y permitiendo la ejecución de código malicioso. Esta se encuentra en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module. Puede ser activada por un atacante remoto no autenticado cuando proxy_http_version se establece en 2, o se usan las directivas grpc_pass para el tráfico HTTP/2, ignore_invalid_headers está en ‘off’, y el tamaño de la directiva large_client_header_buffers es superior a 2 MB. Al igual que la anterior, podría resultar en ejecución de código bajo ciertas condiciones de ASLR. Cabe destacar que estas vulnerabilidades surgen poco después de que otra falla crítica en NGINX, CVE-2026-42945, fuera activamente explotada en ataques.
F5 ha publicado parches para estas vulnerabilidades. Las versiones corregidas incluyen NGINX Open Source 1.31.2 y 1.30.3, NGINX Plus 37.0.2.1 y R36 P6, entre otros productos derivados como NGINX Gateway Fabric y NGINX Ingress Controller. Para aquellos que no puedan aplicar los parches de inmediato, existen mitigaciones temporales: para CVE-2026-42530, se recomienda deshabilitar HTTP/3; para CVE-2026-42055, se puede eliminar la directiva ignore_invalid_headers off de la configuración o reducir el tamaño de large_client_header_buffers por debajo de 2 MB.
Qué significa para tu empresa: La presencia de NGINX como servidor web o proxy inverso es común en infraestructuras modernas, sirviendo como una capa crítica para la entrega de aplicaciones y servicios. Vulnerabilidades de esta magnitud requieren una atención inmediata, ya que un compromiso podría llevar a la toma total del servidor y, potencialmente, a un acceso no autorizado a datos o sistemas internos. Para mitigar eficazmente estos riesgos y proteger sus aplicaciones web de explotaciones, es fundamental aplicar los parches de seguridad de forma diligente y contar con soluciones de defensa avanzadas. Nuestra capacidad de WAF para aplicaciones es clave para inspeccionar el tráfico web en tiempo real, identificando y bloqueando los intentos de explotación que buscan aprovechar estas y otras vulnerabilidades, asegurando la integridad y disponibilidad de sus servicios.
Fuente original: The Hacker News — ver artículo →