CVE-2026-42055: Критична вразливість DoS у NGINX при обробці HTTP/2 заголовків

Вразливість CVE-2026-42055 у NGINX може спричинити DoS та виконання коду через обробку великих HTTP/2 заголовків. Рекомендовано оновлення та перевірку конфігурації.
CVE-2026-42055CVSS 9.2Web

CVE-2026-42055: Критична вразливість DoS у NGINX при обробці HTTP/2 заголовків

Вразливість CVE-2026-42055 у NGINX може спричинити DoS та виконання коду через обробку великих HTTP/2 заголовків. Рекомендовано оновлення та перевірку конфігурації.

CVSS
9.2 CRITICAL
EPSS
84.94%
Активно використовується
немає в KEV
Продукт
dos

Що відомо

У NGINX Plus та Open Source виявлено критичну вразливість у модулях ngx_http_proxy_v2_module та ngx_http_grpc_module, що може призвести до аварійного перезапуску через переповнення буфера при обробці великих HTTP/2 заголовків. Уразливість може також дозволити виконання коду на системах без ASLR або при обході ASLR.

Бізнес-вплив

Ця вразливість створює ризик відмови в обслуговуванні (DoS) для веб-серверів на базі NGINX, що використовують HTTP/2 проксі з певними налаштуваннями. Аварійні перезапуски можуть призвести до простоїв сервісів, а в окремих випадках — до компрометації системи, що критично для інфраструктур з високими вимогами до доступності та безпеки.

Рекомендовані дії адміністратора

Адміністраторам рекомендується перевірити використання директив proxy_http_version, grpc_pass, ignore_invalid_headers та large_client_header_buffers у конфігурації NGINX. Необхідно оновити програмне забезпечення до останніх версій, які містять виправлення, або, якщо оновлення недоступне, обмежити розмір заголовків і активувати ignore_invalid_headers. Також слід переглянути журнали на предмет підозрілої активності та зменшити експозицію сервера в мережі.

Джерела