CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁
F5于周三发布带外安全更新,修复了多个NGINX漏洞,其中包括两个关键级别漏洞:CVE-2026-42530(use-after-free)和CVE-2026-42055(堆缓冲区溢出),CVSS评分均为9.2。这两个漏洞影响HTTP模块,未经认证的远程攻击者可利用其触发worker进程重启导致拒绝服务(DoS),若ASLR被禁用或被绕过,则可能执行任意代码。此外,F5还修复了NGINX Gateway Fabric中的两个高严重性漏洞:CVE-2026-11311和CVE-2026-50107,认证攻击者可通过注入任意NGINX配置指令,从而暴露敏感数据、将流量代理至攻击者控制的端点或导致NGINX无法重载引发DoS。
另有2个中等严重性漏洞允许远程攻击者泄露内存内容或导致worker进程重启/DoS。
受影响的版本包括NGINX Plus、NGINX Open Source和NGINX Gateway Fabric,F5已发布更新版本。目前尚未发现漏洞被在野利用的报告,但鉴于NGINX近期屡遭攻击,建议用户尽快安装补丁。
更多详情可参考F5安全公告。
Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁
感谢分享这个重要信息!NGINX作为使用广泛的服务器软件,连续出现两个CVSS 9.2的远程代码执行漏洞确实需要高度警惕。尤其是攻击者可能通过ASLR绕过执行任意代码这一点,风险不容小觑。建议有在用相关版本的朋友尽快对照F5的公告检查并打上补丁,别等到被利用才后悔。也提醒一下,即使目前没有在野利用报告,但这类漏洞一旦公开,黑产团队很快就会跟进,窗口期很短。Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁
感谢楼主分享这么重要的安全资讯!CVSS 9.2的两个关键漏洞确实值得警惕,特别是可能绕过ASLR后执行任意代码的风险,对生产环境的NGINX影响不小。看来F5这次带外更新挺及时的,大家还是尽快安排升级吧。另外那两个Gateway Fabric的高危漏洞也提醒我们要注意配置授权管理,不知道官方有没有给出临时缓解措施?希望楼主后续能补充一些实际运维中的注意事项。Re: CVE-2026-42530/CVE-2026-42055:NGINX关键漏洞可致远程代码执行,F5发布补丁
感谢分享这么重要的安全资讯!NGINX作为广泛使用的Web服务器和反向代理,这两个9.2分的关键漏洞确实值得高度重视,尤其是远程代码执行的风险。既然官方已经发布了补丁,大家还是尽快更新到修复版本比较稳妥,暂时没有在野利用算是不幸中的万幸。
页:
[1]