A F5 Networks publicou, no último dia 17 de junho, atualizações de segurança de emergência para corrigir duas vulnerabilidades críticas no servidor web NGINX, que podem permitir a execução remota de código em sistemas com configurações específicas, segundo comunicado da empresa. As falhas, identificadas como CVE-2026-42530 e CVE-2026-42055, receberam pontuação CVSS v4.0 de 9.2, classificada como Crítica, e afetam os módulos ngx_http_v3_module (HTTP/3) e ngx_http_proxy_v2_module/ngx_http_grpc_module, respectivamente.
O NGINX é um servidor web e proxy reverso amplamente utilizado, operando na frente de aproximadamente um terço de todos os sites do mundo, o que torna a correção uma prioridade para equipes de infraestrutura. As falhas podem ser exploradas remotamente por atacantes não autenticados e, embora não haja relatos de exploração ativa, o histórico recente de ataques a produtos F5 e a rápida publicação de patches fora do ciclo regular indicam a gravidade da situação.
A falha CVE-2026-42530 é uma vulnerabilidade de Use-After-Free no módulo HTTP/3 QUIC, acionada por uma sessão HTTP/3 maliciosa que reabre um stream QPACK encoder já fechado. A CVE-2026-42055, por sua vez, é um estouro de buffer baseado em heap nos módulos de proxy HTTP/2 e gRPC, que exige a combinação de três configurações não padrão: uso de proxy_http_version 2 ou grpc_pass, diretiva ignore_invalid_headers definida como off e large_client_header_buffers maior que 2 MB.
Ameaça e contexto
O impacto imediato de ambas as vulnerabilidades é a reinicialização do processo worker do NGINX, resultando em negação de serviço. No entanto, a F5 alerta que, em sistemas com ASLR (Address Space Layout Randomization) desabilitado ou contornado por um atacante, é possível a execução remota de código arbitrário. O pesquisador Matan Shavit, da Hadrian, destacou que “estamos entrando em uma era em que os atacantes estão explorando vulnerabilidades cada vez mais rapidamente, e os fornecedores precisam se adaptar” com patches fora do ciclo regular.
A F5 já disponibilizou versões corrigidas para NGINX Open Source (1.31.2 e 1.30.3), NGINX Plus (37.0.2.1) e NGINX Gateway Fabric (2.6.4). No entanto, produtos como NGINX Instance Manager, NGINX Ingress Controller e NGINX App Protect WAF/DoS ainda não possuem correções. Para administradores que não puderem aplicar os patches imediatamente, a F5 recomenda, para a CVE-2026-42530, desabilitar o HTTP/3 removendo “quic” das diretivas listen; para a CVE-2026-42055, remover a diretiva ignore_invalid_headers off e reduzir o tamanho de large_client_header_buffers para menos de 2 MB.
Vulnerabilidades e versões afetadas
- CVE-2026-42530 (CVSS 9.2): Use-After-Free no ngx_http_v3_module. Afeta NGINX Open Source 1.31.0 e 1.31.1.
- CVE-2026-42055 (CVSS 9.2): Heap Buffer Overflow nos módulos ngx_http_proxy_v2_module e ngx_http_grpc_module. Afeta NGINX Open Source 1.31.1 e 1.30.0 a 1.30.2, e NGINX Plus R33 a R37.
- Produtos sem correção: NGINX Instance Manager 2.17.0–2.22.0, NGINX Ingress Controller 3.x–5.x, NGINX App Protect WAF e DoS.
