Vulnerabilidades en productos Nginx

Se han descubierto múltiples vulnerabilidades en productos Nginx. Entre ellas, dos críticas y una de severidad alta. Un actor malicioso podría provocar una denegación de servicio del sistema o realizar una manipulación de tráfico no autorizada.

Productos afectados

  • NGINX Open Source versiones 1.30.x (anteriores a 1.30.3) y 1.31.x (anteriores a 1.31.2)
  • NGINX Plus versiones 37.x (anteriores a 37.0.2.1) y versiones R33 a R36 P6
  • NGINX Instance Manager versiones 2.17.0 a 2.22.0
  • NGINX Gateway Fabric versiones 1.3.0 a 1.6.2 y 2.x (anteriores a 2.6.4)
  • NGINX Ingress Controller versiones 3.5.0 a 3.7.2, 4.0.0 a 4.0.1 y 5.x (anteriores a 5.5.1)
  • F5 WAF para NGINX versiones 5.9.0 a 5.13.1
  • NGINX App Protect WAF versiones 4.10.0 a 4.16.0 y 5.2.0 a 5.8.0
  • F5 DoS para NGINX versión 4.9.0
  • NGINX App Protect DoS versiones 4.3.0 a 4.7.0

Impacto

Las vulnerabilidades se han identificado como:

CVE-2026-42055: con una puntuación de 9.2 en CVSS v4.0. Existe una vulnerabilidad de desbordamiento de búfer basado en montón en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module de NGINX. Un actor malicioso remoto no autenticado podría explotar esta deficiencia enviando encabezados de gran tamaño en una solicitud, provocando el colapso del servicio o la ejecución de código en el sistema.

CVE-2026-42530: con una puntuación de 9.2 en CVSS v4.0. Existe una vulnerabilidad de uso de memoria después de su liberación en el módulo ngx_http_v3_module de NGINX Open Source. Un actor malicioso remoto no autenticado podría explotar esta deficiencia utilizando una sesión HTTP/3 diseñada para reabrir un flujo del codificador QPACK provocando el colapso del proceso worker o la ejecución de código en el sistema.

CVE-2026-11311: con una puntuación de 8.6 en CVSS v4.0. Existe una vulnerabilidad de inyección de directivas debido a una neutralización inadecuada de entradas en el componente generador de configuración de NGINX Gateway Fabric. Un actor malicioso remoto autenticado podría aprovechar esta deficiencia para inyectar directivas arbitrarias de NGINX.

Recomendación

Actualizar a la última versión disponible a través del sitio web oficial del fabricante.

Referencias

https://www.cve.org/CVERecord?id=CVE-2026-42055
https://www.cve.org/CVERecord?id=CVE-2026-42530
https://www.cve.org/CVERecord?id=CVE-2026-11311
https://my.f5.com/manage/s/article/K000161584
https://my.f5.com/manage/s/article/K000161616