F5 revela tres vulnerabilidades críticas en NGINX

F5 ha divulgado tres vulnerabilidades de alta gravedad en los componentes NGINX Plus y NGINX Open Source, que permiten a atacantes no autenticados provocar desbordamiento de búfer en el montón, cerrar procesos o ejecutar código de forma remota. Las fallas afectan a versiones 37.x de NGINX Plus y 1.x de NGINX Open Source, así como a los módulos Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager. El vector de ataque se basa en expresiones de captura regex no nombradas y en el módulo SSI, y la explotación tiene como objetivo la ejecución remota de código cuando ASLR está desactivado.

CVE y severidad

  • CVE-2026-42533: CVSS v3.1 8.1 (Alta), CVSS v4.0 9.2 (Crítica); desbordamiento de búfer en la directiva map con captura regex; posible ejecución de código cuando ASLR está desactivado.
  • CVE-2026-60005: CVSS v3.1 8.2 (Alta), CVSS v4.0 8.8 (Crítica); divulgación de memoria no inicializada en el módulo ngx_http_slice_module; explotación limitada a filtración de datos o reinicio del trabajador.
  • CVE-2026-56434: CVSS v3.1 6.5 (Media), CVSS v4.0 8.3 (Alta); uso posterior a liberar en el módulo ngx_http_ssi_module; posible modificación de memoria por ataquesMan-in-the-Middle.

Productos afectados

Fabricante Producto Componente Versiones afectadas Plataformas/SO
NGINX, Inc. NGINX Plus Núcleo (directiva map) 37.x (hasta 37.0.3.1) Linux
NGINX, Inc. NGINX Open Source Núcleo (módulo slice) 1.31.3, 1.30.4 Linux
F5 Networks NGINX Ingress Controller Ingress Controller Versiones por rama (parche pendiente) Kubernetes (Linux)
F5 Networks Gateway Fabric Gateway Fabric Versiones por rama (parche pendiente) Kubernetes (Linux)
F5 Networks App Protect WAF App Protect WAF Versiones por rama (parche pendiente) Kubernetes (Linux)
F5 Networks Instance Manager Instance Manager Versiones por rama (parche pendiente) Kubernetes (Linux)

Solución

Actualizar a la versión 37.0.3.1 de NGINX Plus, a 1.31.3 o 1.30.4 de NGINX Open Source y aplicar los parches correspondientes en Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager.

Recomendaciones

Priorizar la instalación del parche en los sistemas afectados antes de que los atacantes exploten CVE-2026-42533; programar una ventana de mantenimiento y validar el funcionamiento tras la actualización, especialmente en entornos Kubernetes donde se emplean Ingress Controller y Gateway Fabric.

Workarounds

Como mitigación temporal, sustituir las expresiones de captura regex no nombradas por capturas con nombre en las directivas map y slice, y desactivar el módulo SSI cuando no sea necesario.

Referencias