NGINX ha lanzado un parche urgente (versión 1.25.4) para abordar dos vulnerabilidades de severidad alta que afectan a la implementación experimental de HTTP/3. Las vulnerabilidades fueron identificadas como CVE-2024-24989 (CVSS: 7.5) y CVE-2024-24990 (CVSS: 7.5).
Cuando NGINX Plus o NGINX OSS están configurados para usar el módulo HTTP/3 QUIC, las solicitudes no divulgadas pueden hacer que los procesos de trabajo de NGINX finalicen, lo que permitiría a un atacante remoto no autenticado provocar una denegación de servicio (DoS) en el sistema NGINX.
Productos afectados:
- NGINX entre 1.25.0 y 1.25.3.
Recomendación:
- Se recomienda actualizar a la versión 1.25.4 o superiores, lo antes posible.
Referencias:
https://nginx.org/en/security_advisories.html
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24989
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-24990