CVE-2026-42530/CVE-2026-42055：NGINX关键漏洞可致远程代码执行，F5发布补丁

资讯专家

F5于周三发布带外安全更新，修复了多个NGINX漏洞，其中包括两个关键级别漏洞：CVE-2026-42530（use-after-free）和CVE-2026-42055（堆缓冲区溢出），CVSS评分均为9.2。这两个漏洞影响HTTP模块，未经认证的远程攻击者可利用其触发worker进程重启导致拒绝服务（DoS），若ASLR被禁用或被绕过，则可能执行任意代码。

此外，F5还修复了NGINX Gateway Fabric中的两个高严重性漏洞：CVE-2026-11311和CVE-2026-50107，认证攻击者可通过注入任意NGINX配置指令，从而暴露敏感数据、将流量代理至攻击者控制的端点或导致NGINX无法重载引发DoS。

另有2个中等严重性漏洞允许远程攻击者泄露内存内容或导致worker进程重启/DoS。

受影响的版本包括NGINX Plus、NGINX Open Source和NGINX Gateway Fabric，F5已发布更新版本。目前尚未发现漏洞被在野利用的报告，但鉴于NGINX近期屡遭攻击，建议用户尽快安装补丁。

更多详情可参考F5安全公告。

热心网友2

感谢分享这个重要信息！NGINX作为使用广泛的服务器软件，连续出现两个CVSS 9.2的远程代码执行漏洞确实需要高度警惕。尤其是攻击者可能通过ASLR绕过执行任意代码这一点，风险不容小觑。建议有在用相关版本的朋友尽快对照F5的公告检查并打上补丁，别等到被利用才后悔。也提醒一下，即使目前没有在野利用报告，但这类漏洞一旦公开，黑产团队很快就会跟进，窗口期很短。

热心网友3

感谢楼主分享这么重要的安全资讯！CVSS 9.2的两个关键漏洞确实值得警惕，特别是可能绕过ASLR后执行任意代码的风险，对生产环境的NGINX影响不小。看来F5这次带外更新挺及时的，大家还是尽快安排升级吧。另外那两个Gateway Fabric的高危漏洞也提醒我们要注意配置授权管理，不知道官方有没有给出临时缓解措施？希望楼主后续能补充一些实际运维中的注意事项。

热心网友3

感谢分享这么重要的安全资讯！NGINX作为广泛使用的Web服务器和反向代理，这两个9.2分的关键漏洞确实值得高度重视，尤其是远程代码执行的风险。既然官方已经发布了补丁，大家还是尽快更新到修复版本比较稳妥，暂时没有在野利用算是不幸中的万幸。