
F5 ha divulgado tres vulnerabilidades de alta gravedad en los componentes NGINX Plus y NGINX Open Source, que permiten a atacantes no autenticados provocar desbordamiento de búfer en el montón, cerrar procesos o ejecutar código de forma remota. Las fallas afectan a versiones 37.x de NGINX Plus y 1.x de NGINX Open Source, así como a los módulos Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager. El vector de ataque se basa en expresiones de captura regex no nombradas y en el módulo SSI, y la explotación tiene como objetivo la ejecución remota de código cuando ASLR está desactivado.
CVE y severidad
- CVE-2026-42533: CVSS v3.1 8.1 (Alta), CVSS v4.0 9.2 (Crítica); desbordamiento de búfer en la directiva
mapcon captura regex; posible ejecución de código cuando ASLR está desactivado. - CVE-2026-60005: CVSS v3.1 8.2 (Alta), CVSS v4.0 8.8 (Crítica); divulgación de memoria no inicializada en el módulo
ngx_http_slice_module; explotación limitada a filtración de datos o reinicio del trabajador. - CVE-2026-56434: CVSS v3.1 6.5 (Media), CVSS v4.0 8.3 (Alta); uso posterior a liberar en el módulo
ngx_http_ssi_module; posible modificación de memoria por ataquesMan-in-the-Middle.
Productos afectados
| Fabricante | Producto | Componente | Versiones afectadas | Plataformas/SO |
|---|---|---|---|---|
| NGINX, Inc. | NGINX Plus | Núcleo (directiva map) |
37.x (hasta 37.0.3.1) | Linux |
| NGINX, Inc. | NGINX Open Source | Núcleo (módulo slice) |
1.31.3, 1.30.4 | Linux |
| F5 Networks | NGINX Ingress Controller | Ingress Controller | Versiones por rama (parche pendiente) | Kubernetes (Linux) |
| F5 Networks | Gateway Fabric | Gateway Fabric | Versiones por rama (parche pendiente) | Kubernetes (Linux) |
| F5 Networks | App Protect WAF | App Protect WAF | Versiones por rama (parche pendiente) | Kubernetes (Linux) |
| F5 Networks | Instance Manager | Instance Manager | Versiones por rama (parche pendiente) | Kubernetes (Linux) |
Solución
Actualizar a la versión 37.0.3.1 de NGINX Plus, a 1.31.3 o 1.30.4 de NGINX Open Source y aplicar los parches correspondientes en Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager.
Recomendaciones
Priorizar la instalación del parche en los sistemas afectados antes de que los atacantes exploten CVE-2026-42533; programar una ventana de mantenimiento y validar el funcionamiento tras la actualización, especialmente en entornos Kubernetes donde se emplean Ingress Controller y Gateway Fabric.
Workarounds
Como mitigación temporal, sustituir las expresiones de captura regex no nombradas por capturas con nombre en las directivas map y slice, y desactivar el módulo SSI cuando no sea necesario.
Referencias
- https://cybersecuritynews.com/f5-patches-multiple-nginx-vulnerabilities/
- https://nvd.nist.gov/vuln/detail/CVE-2026-42533
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-42533
- https://nvd.nist.gov/vuln/detail/CVE-2026-60005
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-60005
- https://nvd.nist.gov/vuln/detail/CVE-2026-56434
- https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2026-56434
- https://www.bleepingcomputer.com/news/security/f5-patches-critical-nginx-vulnerabilities-leading-to-code-execution
