NOUTATI

F5 corecteaza doua vulnerabilitati critice in NGINX care pot duce la executie de cod si blocarea serverului

01 Iulie 2026  | 

Compania F5 a publicat pe 17 iunie 2026 un aviz de securitate out-of-band, in afara ciclului obisnuit de actualizari, prin care corecteaza doua vulnerabilitati critice in serverul web NGINX. Ambele au primit un scor CVSS de 9.2 si pot fi exploatate de la distanta, fara autentificare, ducand la blocarea proceselor serverului si, in anumite conditii, la executia de cod arbitrar.

Faptul ca F5 a ales o lansare de urgenta, situatie rara pentru aceasta companie, indica gravitatea problemei. NGINX este unul dintre cele mai raspandite servere web si servere proxy din lume, fiind folosit pe aproximativ 38% dintre site-urile active, ceea ce transforma acest incident intr-o stire importanta pentru intreaga industrie de hosting.

Prima vulnerabilitate, identificata drept CVE-2026-42530, este o eroare de tip use-after-free in modulul care gestioneaza HTTP/3 (QUIC). Un atacator o poate declansa trimitand trafic HTTP/3 special conceput, ceea ce duce la blocarea repetata a proceselor de lucru ale serverului si, acolo unde protectiile de memorie sunt dezactivate sau pot fi ocolite, la executia de cod. A doua, CVE-2026-42055, este o depasire de buffer in modulele folosite pentru a face proxy catre trafic HTTP/2 si gRPC, cu efecte similare. Este important de precizat ca ambele vulnerabilitati se manifesta doar in configuratii specifice, care nu sunt cele implicite: prima necesita activarea HTTP/3, iar a doua o anumita configurare a modulului de proxy. Pe langa acestea, F5 a corectat si doua probleme de gravitate ridicata in componenta NGINX Gateway Fabric.

Actualizarile sunt deja disponibile: NGINX Open Source a fost corectat in versiunea 1.31.2, iar NGINX Plus in versiunile 37.0.2.1 si R36 P6. Desi F5 nu a raportat exploatari active pana la momentul publicarii, produsele companiei sunt tinte frecvente, iar o vulnerabilitate critica similara din NGINX a inceput sa fie exploatata la doar trei zile de la dezvaluire. Administratorilor li se recomanda sa aplice patch-urile fara sa astepte o fereastra de mentenanta programata. Acolo unde actualizarea imediata nu este posibila, riscul poate fi redus temporar prin dezactivarea HTTP/3 in prima situatie si prin ajustarea configuratiei de proxy in a doua, precum si prin verificarea faptului ca protectiile de memorie ale sistemului sunt active.

Noi, echipa Gazduire.Net, mentionam ca infrastructura noastra de gazduire partajata ruleaza pe serverul web LiteSpeed, nu pe NGINX, prin urmare aceste vulnerabilitati nu afecteaza direct serverele partajate pe care le administram. Situatia este insa diferita pentru clientii care ruleaza propriul NGINX pe servere VPS sau dedicate: in acest caz, aplicarea actualizarilor tine de fiecare client, iar noi le recomandam sa verifice cat mai repede versiunea instalata si sa treaca la una corectata. Continuam sa monitorizam avizele de securitate din industrie pentru a mentine mediile pe care le gestionam in siguranta.

Incidentul reaminteste ca serverul web este una dintre cele mai expuse componente ale oricarei infrastructuri online, iar o singura configuratie vulnerabila poate deschide calea catre blocarea serviciului sau executia de cod. Actualizarile prompte si revizuirea periodica a configuratiilor raman esentiale, indiferent de serverul web folosit.

01 Iulie 2026
Preturile afisate pe acest site NU INCLUD TVA! TVA 21% se adauga la facturare Curs valutar: 1 EUR = 5.24380 Lei conform BNR