- 27,681
- 46
- 8 Ноя 2022
Уязвимости затронули почти всю линейку NGINX-продуктов F5.
F5 выпустила внеплановое предупреждение о безопасности сразу для нескольких продуктов, связанных с NGINX и BIG-IP . Компания описала шесть уязвимостей, часть из которых получила высокую оценку опасности и уже закрыта в новых версиях.
Главная проблема затрагивает модуль ngx_http_v3_module в NGINX Open Source. Уязвимость CVE-2026-42530 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical). Ошибка затрагивает версии NGINX Open Source 1.31.0 и 1.31.1, а уязвимость устранили в версии 1.31.2. Также под удар попали NGINX Instance Manager, NGINX Gateway Fabric и NGINX Ingress Controller.
Ещё одна, CVE-2026-42055 (CVSS:4.0/AV:N/AC:H/AT
/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), связана с модулями ngx_http_proxy_v2_module и ngx_http_grpc_module. Проблема затрагивает NGINX Plus, NGINX Open Source, NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric и NGINX Ingress Controller. Уязвимость закрыли в NGINX Open Source версий 1.31.2 и 1.30.3, а для NGINX Plus – в 37.0.2.1 и R36 P6.
Отдельно F5 сообщила о двух уязвимостях в NGINX Gateway Fabric. CVE-2026-11311 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) затрагивает версии 2.5.0–2.6.3, а CVE-2026-50107 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) – версии 2.3.0–2.6.3. Обе проблемы компания закрыла в NGINX Gateway Fabric 2.6.4.
Ещё две:
CVE-2026-48142 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N — 6.3 Medium) связана с модулем ngx_http_charset_module и затрагивает NGINX Plus, NGINX Open Source, NGINX Instance Manager, продукты защиты для NGINX, NGINX Gateway Fabric и NGINX Ingress Controller.
CVE-2026-32682 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N — 7.1 High) затрагивает NGINX Gateway Fabric версий 1.3.0–1.6.2 и 2.0.0–2.6.3. Их также закрыли в версии 2.6.4.
F5 уточнила, что проверяла только версии продуктов, которые ещё не достигли конца срока технической поддержки. Администраторам рекомендуют сверить используемые версии с опубликованным списком и установить доступные обновления, особенно для систем, где NGINX и связанные компоненты работают на внешнем контуре или обслуживают критичные сервисы.
F5 выпустила внеплановое предупреждение о безопасности сразу для нескольких продуктов, связанных с NGINX и BIG-IP . Компания описала шесть уязвимостей, часть из которых получила высокую оценку опасности и уже закрыта в новых версиях.
Главная проблема затрагивает модуль ngx_http_v3_module в NGINX Open Source. Уязвимость CVE-2026-42530 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical). Ошибка затрагивает версии NGINX Open Source 1.31.0 и 1.31.1, а уязвимость устранили в версии 1.31.2. Также под удар попали NGINX Instance Manager, NGINX Gateway Fabric и NGINX Ingress Controller.
Ещё одна, CVE-2026-42055 (CVSS:4.0/AV:N/AC:H/AT
/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), связана с модулями ngx_http_proxy_v2_module и ngx_http_grpc_module. Проблема затрагивает NGINX Plus, NGINX Open Source, NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric и NGINX Ingress Controller. Уязвимость закрыли в NGINX Open Source версий 1.31.2 и 1.30.3, а для NGINX Plus – в 37.0.2.1 и R36 P6. Отдельно F5 сообщила о двух уязвимостях в NGINX Gateway Fabric. CVE-2026-11311 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) затрагивает версии 2.5.0–2.6.3, а CVE-2026-50107 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) – версии 2.3.0–2.6.3. Обе проблемы компания закрыла в NGINX Gateway Fabric 2.6.4.
Ещё две:
CVE-2026-48142 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N — 6.3 Medium) связана с модулем ngx_http_charset_module и затрагивает NGINX Plus, NGINX Open Source, NGINX Instance Manager, продукты защиты для NGINX, NGINX Gateway Fabric и NGINX Ingress Controller.
CVE-2026-32682 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N — 7.1 High) затрагивает NGINX Gateway Fabric версий 1.3.0–1.6.2 и 2.0.0–2.6.3. Их также закрыли в версии 2.6.4.
F5 уточнила, что проверяла только версии продуктов, которые ещё не достигли конца срока технической поддержки. Администраторам рекомендуют сверить используемые версии с опубликованным списком и установить доступные обновления, особенно для систем, где NGINX и связанные компоненты работают на внешнем контуре или обслуживают критичные сервисы.
- Источник новости
- www.securitylab.ru
