Patch urgenti per NGINX: due falle critiche consentono l’esecuzione di codice remoto

F5 ha rilasciato patch per due vulnerabilità critiche in NGINX che permettono l'esecuzione remota di codice arbitrario. Le vulnerabilità, CVE-2026-42530 e CVE-2026-42055, colpiscono vari moduli e possono causare DoS o esecuzione di codice. Gli amministratori sono invitati a installare le patch immediatamente per evitare attacchi.

I sviluppatori di F5 hanno rilasciato patch per due vulnerabilità critiche in NGINX, che possono permettere l’esecuzione remota di codice arbitrario in  determinate condizioni.

Le vulnerabilità, identificate con i codici CVE-2026-42530 e CVE-2026-42055, hanno entrambe un punteggio di 9.2 sulla scala CVSS. Queste vulnerabilità consentono a un attaccante remoto non autenticato di provocare un denial of service (DoS) o eseguire codice arbitrario.

La prima vulnerabilità, CVE-2026-42530, è legata al modulo ngx_http_v3_module e rappresenta un problema di tipo use-after-free. L’esploit avviene tramite una sessione HTTP/3 appositamente preparata sui server che utilizzano il modulo HTTP/3 QUIC.

La seconda vulnerabilità, CVE-2026-42055, colpisce i moduli ngx_http_proxy_v2_module e ngx_http_grpc_module. In questo caso, il bug è legato a un heap buffer overflow. L’exploit è possibile se il server proxy HTTP/2 tramite proxy_http_version 2 o grpc_pass, con il parametro ignore_invalid_headers impostato su off, e la dimensione large_client_header_buffers supera i 2 MB.

In entrambi i casi, un attacco riuscito porta al crash del processo di lavoro NGINX e al suo riavvio. Inoltre, in sistemi senza ASLR attivato, gli aggressori possono ottenere non solo il DoS ma anche l’esecuzione di codice arbitrario.

Le vulnerabilità rappresentano un pericolo per NGINX Open Source, NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e una serie di prodotti aggiuntivi dell’ecosistema. Le correzioni per il CVE-2026-42530 sono incluse in NGINX Open Source 1.31.2 e NGINX Gateway Fabric 2.6.4, mentre le patch per il CVE-2026-42055 sono disponibili in NGINX Open Source 1.31.2 e 1.30.3, nonché in NGINX Plus 37.0.2.1 e altre versioni supportate.

Per chi non può ancora installare le patch, gli sviluppatori consigliano di adottare misure temporanee di protezione.

Per difendersi dagli exploit che sfruttano il CVE-2026-42530 è consigliato disattivare HTTP/3 e rimuovere il parametro quic dalla direttiva listen. Nel caso invece del bug monitorato con il CVE-2026-42055, si suggerisce di eliminare la direttiva ignore_invalid_headers off o ridurre il valore di large_client_header_buffers a meno di 2 MB.

Nonostante non siano stati ancora rilevati casi di sfruttamento delle nuove vulnerabilità in attacchi reali, i prodotti della società sono già stati bersaglio di hacker e gruppi APT. Inoltre, lo scorso mese gli aggressori hanno iniziato a utilizzare la vulnerabilità critica NGINX Rift (CVE-2026-42945) solo pochi giorni dopo la divulgazione pubblica. Pertanto, agli amministratori è fortemente consigliato non rimandare l’installazione delle patch.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.