Krytyczna luka w NGINX Open Source HTTP/3 (CVE-2026-42530)
Krytyczna luka w NGINX Open Source HTTP/3 pozwala na zdalny atak i wykonanie kodu. Zalecane szybkie aktualizacje i ograniczenie ekspozycji.
- CVSS
- 9.2 CRITICAL
- EPSS
- 86.7%
- Aktywnie wykorzystywana
- brak w KEV
- Produkt
- nginx gateway fabric
Co wiadomo
W module ngx_http_v3_module NGINX Open Source wykryto krytyczną lukę umożliwiającą zdalnemu, nieautoryzowanemu atakującemu wywołanie błędu Use-after-Free, co może prowadzić do restartu procesu lub wykonania kodu na systemach bez ASLR. Luka dotyczy konfiguracji z włączonym modułem HTTP/3 QUIC.
Wpływ biznesowy
Eksploatacja tej luki może skutkować niestabilnością serwera NGINX, przestojami usług oraz potencjalnym przejęciem kontroli nad systemem, szczególnie jeśli ASLR jest wyłączony lub obejściowy. Operatorzy infrastruktury powinni traktować tę lukę jako krytyczną, zważywszy na wysoki współczynnik CVSS i możliwość zdalnego ataku bez uwierzytelnienia.
Rekomendowane działania administratora
Zaleca się niezwłoczne sprawdzenie dostępności aktualizacji od dostawcy NGINX oraz ich wdrożenie. W przypadku braku łatki, ograniczyć ekspozycję serwera na ruch HTTP/3, monitorować logi pod kątem podejrzanej aktywności i priorytetyzować działania zabezpieczające w środowiskach bez ASLR.