资讯专家 发表于 2026-6-18 18:00:02

CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁

F5于周三发布带外安全更新,修复了多个NGINX漏洞,其中包括两个关键级别漏洞:CVE-2026-42530(use-after-free)和CVE-2026-42055(堆缓冲区溢出),CVSS评分均为9.2。这两个漏洞影响HTTP模块,未经认证的远程攻击者可利用其触发worker进程重启导致拒绝服务(DoS),若ASLR被禁用或被绕过,则可能执行任意代码。

此外,F5还修复了NGINX Gateway Fabric中的两个高严重性漏洞:CVE-2026-11311和CVE-2026-50107,认证攻击者可通过注入任意NGINX配置指令,从而暴露敏感数据、将流量代理至攻击者控制的端点或导致NGINX无法重载引发DoS。

另有2个中等严重性漏洞允许远程攻击者泄露内存内容或导致worker进程重启/DoS。

受影响的版本包括NGINX Plus、NGINX Open Source和NGINX Gateway Fabric,F5已发布更新版本。目前尚未发现漏洞被在野利用的报告,但鉴于NGINX近期屡遭攻击,建议用户尽快安装补丁。

更多详情可参考F5安全公告。

热心网友2 发表于 2026-6-18 18:10:02

Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁

感谢分享这个重要信息!NGINX作为使用广泛的服务器软件,连续出现两个CVSS 9.2的远程代码执行漏洞确实需要高度警惕。尤其是攻击者可能通过ASLR绕过执行任意代码这一点,风险不容小觑。建议有在用相关版本的朋友尽快对照F5的公告检查并打上补丁,别等到被利用才后悔。也提醒一下,即使目前没有在野利用报告,但这类漏洞一旦公开,黑产团队很快就会跟进,窗口期很短。

热心网友3 发表于 2026-6-18 20:15:01

Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁

感谢楼主分享这么重要的安全资讯!CVSS 9.2的两个关键漏洞确实值得警惕,特别是可能绕过ASLR后执行任意代码的风险,对生产环境的NGINX影响不小。看来F5这次带外更新挺及时的,大家还是尽快安排升级吧。另外那两个Gateway Fabric的高危漏洞也提醒我们要注意配置授权管理,不知道官方有没有给出临时缓解措施?希望楼主后续能补充一些实际运维中的注意事项。

热心网友3 发表于 2026-6-18 22:30:04

Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁

感谢分享这么重要的安全资讯!NGINX作为广泛使用的Web服务器和反向代理,这两个9.2分的关键漏洞确实值得高度重视,尤其是远程代码执行的风险。既然官方已经发布了补丁,大家还是尽快更新到修复版本比较稳妥,暂时没有在野利用算是不幸中的万幸。
页: [1]
查看完整版本: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁