CVE-2026-42055: krytyczna luka DoS w NGINX Plus i Open Source

Krytyczna luka CVE-2026-42055 w NGINX umożliwia atak DoS i wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie konfiguracji proxy HTTP/2.
CVE-2026-42055CVSS 9.2Web

CVE-2026-42055: krytyczna luka DoS w NGINX Plus i Open Source

Krytyczna luka CVE-2026-42055 w NGINX umożliwia atak DoS i wykonanie kodu. Zalecane szybkie aktualizacje i monitorowanie konfiguracji proxy HTTP/2.

CVSS
9.2 CRITICAL
EPSS
84.94%
Aktywnie wykorzystywana
brak w KEV
Produkt
dos

Co wiadomo

W NGINX Plus i NGINX Open Source wykryto krytyczną lukę w modułach ngx_http_proxy_v2_module i ngx_http_grpc_module, umożliwiającą zdalny atak DoS poprzez przepełnienie bufora sterty. Luka pojawia się przy użyciu HTTP/2 z określonymi ustawieniami nagłówków i może prowadzić do restartu procesu lub wykonania kodu na systemach bez ASLR.

Wpływ biznesowy

Atakujący może zdalnie wywołać awarię usługi NGINX, co skutkuje przestojem aplikacji webowych i potencjalnym wpływem na dostępność usług. W systemach bez włączonego ASLR istnieje ryzyko wykonania złośliwego kodu, co może prowadzić do poważnych naruszeń bezpieczeństwa i utraty kontroli nad infrastrukturą.

Rekomendowane działania administratora

Zaleca się pilne przejrzenie i zastosowanie dostępnych aktualizacji od dostawcy NGINX. W przypadku braku łat, należy ograniczyć ekspozycję usług proxy HTTP/2, zweryfikować konfigurację dyrektyw proxy_http_version, grpc_pass, ignore_invalid_headers oraz large_client_header_buffers, a także monitorować logi pod kątem nietypowych nagłówków i nieautoryzowanych prób ataku. Priorytetowo traktować incydenty związane z przepełnieniem bufora.

Źródła