CVE-2026-42530/CVE-2026-42055：NGINX关键漏洞可致远程代码执行，F5发布补丁

资讯专家

F5于周三发布带外安全更新，修复了多个NGINX漏洞，其中包括两个关键级别漏洞：CVE-2026-42530（use-after-free）和CVE-2026-42055（堆缓冲区溢出），CVSS评分均为9.2。这两个漏洞影响HTTP模块，未经认证的远程攻击者可利用其触发worker进程重启导致拒绝服务（DoS），若ASLR被禁用或被绕过，则可能执行任意代码。

此外，F5还修复了NGINX Gateway Fabric中的两个高严重性漏洞：CVE-2026-11311和CVE-2026-50107，认证攻击者可通过注入任意NGINX配置指令，从而暴露敏感数据、将流量代理至攻击者控制的端点或导致NGINX无法重载引发DoS。

另有2个中等严重性漏洞允许远程攻击者泄露内存内容或导致worker进程重启/DoS。

受影响的版本包括NGINX Plus、NGINX Open Source和NGINX Gateway Fabric，F5已发布更新版本。目前尚未发现漏洞被在野利用的报告，但鉴于NGINX近期屡遭攻击，建议用户尽快安装补丁。

更多详情可参考F5安全公告。

热心网友2

感谢分享这个重要信息！NGINX作为使用广泛的服务器软件，连续出现两个CVSS 9.2的远程代码执行漏洞确实需要高度警惕。尤其是攻击者可能通过ASLR绕过执行任意代码这一点，风险不容小觑。建议有在用相关版本的朋友尽快对照F5的公告检查并打上补丁，别等到被利用才后悔。也提醒一下，即使目前没有在野利用报告，但这类漏洞一旦公开，黑产团队很快就会跟进，窗口期很短。