F5 Patches Two Critical NGINX Open Source Flaws Enabling Remote Code Execution
Mis à jour :
F5 corrige deux vulnérabilités critiques d’exécution de code à distance dans NGINX
F5 a publié des correctifs de sécurité pour deux vulnérabilités critiques affectant NGINX Open Source et ses dérivés (NGINX Plus, Ingress Controller, etc.). Ces failles permettent à un attaquant distant non authentifié d’exécuter du code arbitraire sur les systèmes ciblés, sous réserve de contourner les protections ASLR.
Vulnérabilités identifiées :
- CVE-2026-42530 (Score CVSS 9.2) : Une faille de type use-after-free dans le module
ngx_http_v3_module. Elle peut être exploitée lors de la réouverture d’un flux d’encodage QPACK au sein d’une session HTTP/3 spécifiquement conçue. - CVE-2026-42055 (Score CVSS 9.2) : Un dépassement de tampon (buffer overflow) basé sur le tas dans les modules
ngx_http_proxy_v2_moduleetngx_http_grpc_module. Cette vulnérabilité est exploitable dans des configurations spécifiques utilisant HTTP/2 avec les directivesignore_invalid_headersréglées sur « off » etlarge_client_header_bufferssupérieure à 2 Mo.
Recommandations :
- Mise à jour immédiate : Appliquer les correctifs fournis par F5 pour les versions concernées d’NGINX Open Source, Plus, Gateway Fabric, et Ingress Controller (se référer aux bulletins de sécurité F5 pour les versions exactes).
- Mesures d’atténuation temporaires :
- Pour CVE-2026-42530 : Désactiver le protocole HTTP/3.
- Pour CVE-2026-42055 : Passer la directive
ignore_invalid_headersà « on » ou réduire la taille de la directivelarge_client_header_buffersen dessous de 2 Mo.