Der Webserver Nginx weist zwei kritische Sicherheitslücken auf. Das Unternehmen F5 schließt diese mit Updates.

Über die von F5 beschriebenen Lücken (CVE-2026-42530 und CVE-2026-42055) lässt sich ein Angriff auf den Webserver ausführen und unter Umständen auch Code einschleusen. Die Aktualisierung auf Nginx 1.31.2 oder 1.30.3 schließt die Lücken.

Beim CVE-2026-42530 steckt das Problem von Nginx Open Source laut Advisory im Modul „ngx_http_v3_module“. Ist Nginx Open Source für die Verwendung des HTTP/3-QUIC-Moduls konfiguriert, kann ein nicht authentifizierter Angreifer aus der Ferne unter bestimmten, außerhalb seiner Kontrolle liegenden Bedingungen mithilfe einer speziell gestalteten HTTP/3-Sitzung einen QPACK-Encoder-Stream erneut öffnen. Dies kann zu einem „Use-After-Free“-Fehler im Nginx-Worker-Prozess führen, was einen Neustart zur Folge hat. Darüber hinaus können Angreifer Code auf Systemen ausführen, auf denen die Adressraum-Layout-Randomisierung (ASLR) deaktiviert ist oder wenn der Angreifer ASLR umgehen kann.

Zudem weisen Nginx Plus und Nginx Open Source eine Sicherheitslücke in den Modulen „ngx_http_proxy_v2_module“ und „ngx_http_grpc_module“ auf. Diese Sicherheitslücke (CVE-2026-42055) tritt laut dem Advisory auf, wenn die Direktiven „proxy_http_version“ auf „2“ oder „grpc_pass“ verwendet werden, um HTTP/2-Datenverkehr zu vermitteln, die Direktive „ignore_invalid_headers“ auf „off“ gesetzt ist und die Größe der Direktive „large_client_header_buffers“ größer als 2 MByte ist. Ein entfernter, nicht authentifizierter Angreifer könnte unter bestimmten, außerhalb seiner Kontrolle liegenden Bedingungen beim Erstellen einer Upstream-Anfrage große Header senden. Dies kann einen heap-basierten Pufferüberlauf im NGINX-Worker-Prozess verursachen, der zu einem Neustart führt. Darüber hinaus können Angreifer Code auf Systemen ausführen, auf denen die Adressraum-Layout-Zufallszuordnung (ASLR) deaktiviert ist oder wenn der Angreifer ASLR umgehen kann.