F5 publica múltiples vulnerabilidades críticas en componentes NGINX [RCE y DoS]
F5 ha emitido un aviso de seguridad fuera de banda que agrupa varias vulnerabilidades de alta y media severidad en componentes de NGINX que pueden permitir ejecución remota de código (RCE) y denegación de servicio (DoS) en determinadas configuraciones. La notificación (K000161614) y sus actualizaciones describen fallos en NGINX Open Source, NGINX Plus, NGINX Instance Manager, NGINX Gateway Fabric, NGINX Ingress Controller y módulos asociados de App Protect WAF/DoS. F5 resalta especialmente el riesgo en las rutas de manejo de tráfico HTTP/2, HTTP/3 y gRPC, y recomienda aplicar parches o actualizar las implementaciones afectadas de inmediato.
El problema más destacado es CVE-2026-42530, que impacta el módulo ngx_http_v3_module cuando NGINX está configurado con soporte HTTP/3/QUIC. Un atacante remoto no autenticado puede enviar tráfico HTTP/3 especialmente manipulado para reabrir un stream del codificador QPACK, provocando un use-after-free en el proceso worker de NGINX que puede causar fallos repetidos (DoS) y, en entornos donde ASLR está deshabilitado o puede eludirse, posibilitar la ejecución de código. F5 asigna a este fallo un CVSS v3.1 base de 8.1 y CVSS v4.0 de 9.2.
Otro fallo crítico es CVE-2026-42055, que afecta NGINX Plus y NGINX Open Source cuando se usan el módulo ngx_http_proxy_v2_module o backend gRPC con HTTP/2. Si proxy_http_version está establecido en 2 o si hay upstreams gRPC, flujos HTTP/2/gRPC malformados pueden provocar problemas de gestión de memoria que deriven en caídas y, potencialmente, ejecución remota según el endurecimiento del entorno. F5 también reporta múltiples vulnerabilidades de alta severidad en Gateway Fabric (por ejemplo CVE-2026-11311 y CVE-2026-50107) que pueden provocar inestabilidad en el enrutamiento y afectaciones a la disponibilidad en despliegues de malla de servicios y gateways.
F5 recomienda actualizar NGINX Open Source a 1.31.2, NGINX Plus a 37.0.2.1 o R36 P6, y NGINX Gateway Fabric a 2.6.4; para Ingress Controller y App Protect indica alinear esos componentes con las próximas versiones parcheadas. Como medidas temporales para quienes no puedan parchear de inmediato, sugiere desactivar HTTP/3 y QUIC, reducir exposición de HTTP/2 y gRPC, aplicar controles de acceso estrictos y reforzar mitigaciones como ASLR. Se aconseja también monitorear los canales oficiales de F5 y CERTs nacionales para actualizaciones y estado de explotación.
Versiones Afectadas
Producto |
Versiones afectadas |
Versiones no afectadas |
|---|---|---|
NGINX Open Source |
Versiones anteriores a 1.31.2 |
1.31.2 y superiores |
NGINX Plus |
Versiones anteriores a 37.0.2.1 o R36 P6 |
37.0.2.1, R36 P6 y superiores |
NGINX Gateway Fabric |
Varias releases 2.x anteriores a 2.6.4 |
2.6.4 y superiores |
NGINX Ingress Controller |
Versiones previas a los parches anunciados |
Versiones parcheadas cuando estén disponibles (ver F5) |
App Protect WAF/DoS |
Versiones previas a los parches anunciados |
Versiones parcheadas cuando estén disponibles (ver F5) |
Recomendaciones
- Aplicar parches o actualizar cuanto antes a las versiones corregidas indicadas por F5.
- Si no es posible parchear de inmediato, desactivar HTTP/3 y QUIC en las entradas expuestas.
- Limitar y controlar el uso de HTTP/2 y gRPC públicamente; restringir a redes internas o túneles confiables.
- Habilitar ASLR y otras mitigaciones de explotación a nivel de sistema operativo.
- Revisar configuraciones de proxy y módulos ngx_http_proxy_v2 y gRPC para minimizar exposición.
- Monitorizar canales oficiales de F5 y avisos de CERT para cambios en el estado de explotación y nuevos parches.
- Considerar reglas adicionales en WAF y controles de tasa para mitigar intentos de explotación y reducir impacto de DoS.
CVEs
CVE-2026-42055, CVE-2026-42530, CVE-2026-11311, CVE-2026-50107
Referencias
https://my.f5.com/manage/s/article/K000161616
https://nvd.nist.gov/vuln/detail/CVE-2026-42530
https://access.redhat.com/security/cve/cve-2026-42530
