F5 corrige falhas críticas no NGINX: CVE-2026-42530 e CVE-2026-42055 permitem RCE e DoS via HTTP/3 e HTTP/2

<p>A F5 divulgou em 18 de junho de 2026 um aviso de segurança out-of-band (K000161614) corrigindo quatro vulnerabilidades no NGINX, sendo duas classificadas como críticas.</p> <h2>CVEs críticos</h2> <ul> <li><strong>CVE-2026-42530</strong> (CVSS 8.1 NVD / 9.2 F5): afeta o módulo <code>ngx_http_v3_module</code> quando HTTP/3 QUIC está habilitado. Uma condição use-after-free no fluxo encoder QPACK permite a atacantes remotos travar workers do NGINX (DoS) ou potencialmente executar código em sistemas com ASLR desabilitado ou contornável.</li> <li><strong>CVE-2026-42055</strong> (CVSS 8.1 NVD / 9.2 F5): afeta <code>ngx_http_proxy_v2_module</code> e <code>ngx_http_grpc_module</code> no NGINX Plus e Open Source. Tráfego HTTP/2 ou gRPC malicioso pode causar erros de gerenciamento de memória (heap-buffer-overflow), levando a crash ou RCE.</li> </ul> <h2>CVEs de alta severidade adicionais</h2> <ul> <li><strong>CVE-2026-11311</strong> e <strong>CVE-2026-50107</strong> (High): afetam o NGINX Gateway Fabric e permitem injeção de diretivas de configuração NGINX arbitrárias por atacantes autenticados.</li> </ul> <h2>Produtos afetados</h2> <ul> <li>NGINX Open Source 1.31.0–1.31.1</li> <li>NGINX Plus (versões com HTTP/3 ou HTTP/2 habilitados)</li> <li>NGINX Gateway Fabric 2.0.0–2.6.3</li> <li>NGINX Ingress Controller 5.0.0–5.5.0</li> <li>NGINX Instance Manager</li> </ul> <h2>Versões corrigidas</h2> <p>NGINX Open Source 1.31.2 | NGINX Gateway Fabric 2.6.4</p> <h2>Mitigação imediata</h2> <ul> <li>Atualizar para as versões corrigidas imediatamente</li> <li>Desabilitar HTTP/3 QUIC: remover <code>listen ... quic</code> da configuração</li> <li>Restringir exposição de backends HTTP/2 e gRPC</li> <li>Implementar controles de acesso para reduzir superfície de ataque</li> </ul> <p><strong>Fonte:</strong> BleepingComputer (18/06/2026) | F5 Security Advisory K000161614</p>