CVE-2026-42055: Критична вразливість DoS у NGINX при обробці HTTP/2 заголовків
Вразливість CVE-2026-42055 у NGINX може спричинити DoS та виконання коду через обробку великих HTTP/2 заголовків. Рекомендовано оновлення та перевірку конфігурації.
- CVSS
- 9.2 CRITICAL
- EPSS
- 84.94%
- Активно використовується
- немає в KEV
- Продукт
- dos
Що відомо
У NGINX Plus та Open Source виявлено критичну вразливість у модулях ngx_http_proxy_v2_module та ngx_http_grpc_module, що може призвести до аварійного перезапуску через переповнення буфера при обробці великих HTTP/2 заголовків. Уразливість може також дозволити виконання коду на системах без ASLR або при обході ASLR.
Бізнес-вплив
Ця вразливість створює ризик відмови в обслуговуванні (DoS) для веб-серверів на базі NGINX, що використовують HTTP/2 проксі з певними налаштуваннями. Аварійні перезапуски можуть призвести до простоїв сервісів, а в окремих випадках — до компрометації системи, що критично для інфраструктур з високими вимогами до доступності та безпеки.
Рекомендовані дії адміністратора
Адміністраторам рекомендується перевірити використання директив proxy_http_version, grpc_pass, ignore_invalid_headers та large_client_header_buffers у конфігурації NGINX. Необхідно оновити програмне забезпечення до останніх версій, які містять виправлення, або, якщо оновлення недоступне, обмежити розмір заголовків і активувати ignore_invalid_headers. Також слід переглянути журнали на предмет підозрілої активності та зменшити експозицію сервера в мережі.