F5 ha publicado un advisory de emergencia fuera del ciclo habitual de parches para múltiples vulnerabilidades de severidad crítica y alta en NGINX. Las fallas afectan a NGINX Open Source, NGINX Plus, NGINX Gateway Fabric y NGINX Ingress Controller. El CVE más grave CVE-2026-42530 alcanza un puntaje de 9.2 en CVSS v4 y podría permitir ejecución remota de código mediante corrupción de memoria en el módulo HTTP/3. También se reportan fallas que permiten ataques de denegación de servicio (DoS) sin autenticación..
CVE y severidad
| CVE | Severidad | Componente afectado | Versiones afectadas | CVSS (v4.0) |
|---|---|---|---|---|
| CVE-2026-42530 | Crítica | ngx_http_v3_module | NGINX Open Source 1.31.0–1.31.1 | 9.2 |
| CVE-2026-42055 | Crítica | ngx_http_proxy_v2_module, ngx_http_grpc_module | NGINX Open Source ≤1.31.1; NGINX Plus ≤37.0.1 | No disponible |
| CVE-2026-11311 | Alta | NGINX Gateway Fabric | 2.3.0–2.6.3 | No disponible |
| CVE-2026-50107 | Alta | NGINX Gateway Fabric | 2.3.0–2.6.3 | No disponible |
| CVE-2026-48142 | Media | ngx_http_charset_module | NGINX Open Source ≤1.31.1; NGINX Plus ≤37.0.1 | No disponible |
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| NGINX | NGINX Open Source | ngx_http_v3_module | 1.30.0–1.31.1 | Linux, Windows, macOS |
| NGINX | NGINX Open Source | ngx_http_proxy_v2_module, ngx_http_grpc_module | 1.30.0–1.31.1 | Linux, Windows, macOS |
| NGINX | NGINX Plus | ngx_http_proxy_v2_module, ngx_http_grpc_module | ≤37.0.1, R36 P5 | Linux, Windows |
| F5 | NGINX Gateway Fabric | Controlador de API | 2.3.0–2.6.3 | Kubernetes |
| F5/NGINX | NGINX Instance Manager | Interfaz de administración | Versiones afectadas por componentes subyacentes | Linux, Windows |
| F5/NGINX | NGINX App Protect | Módulos de protección | Versiones afectadas por NGINX Plus/Open Source | Linux, Windows |
| F5 | F5 WAF para NGINX | Reglas de seguridad | Versiones afectadas por NGINX Plus/Open Source | Linux, Windows |
Solución
Actualizar NGINX Open Source a versiones 1.30.3 o 1.31.2, NGINX Plus a 37.0.2.1 o R36 P6, y NGINX Gateway Fabric a 2.6.4. Para productos sin parches directos (ej. NGINX Instance Manager), aplicar mitigaciones temporales y monitorear configuraciones hasta que se dispongan actualizaciones.
Recomendaciones
Priorizar la actualización inmediata de sistemas expuestos a internet, especialmente en entornos críticos. Configurar ventanas de mantenimiento para aplicar parches en entornos de producción. Implementar restricciones de acceso a servicios afectados (ej. deshabilitar módulos vulnerables como ngx_http_v3_module) y revisar logs en busca de actividad sospechosa. En entornos Kubernetes, evaluar el impacto de Gateway Fabric en pods críticos antes de actualizar.
Workarounds
- Deshabilitar módulos afectados (ej.
ngx_http_v3_module) mediante configuración de NGINX. - Restringir el acceso a puertos y servicios expuestos mediante firewalls o políticas de red.
- Monitorear logs de NGINX y sistemas de detección de intrusos (IDS) para patrones de DoS o actividad anómala.