Уразливість у NGINX Open Source HTTP/3 модулі (CVE-2026-42530)
Виявлено критичну уразливість в NGINX Open Source HTTP/3 модулі, що може призвести до виконання коду або перезапуску сервера.
- CVSS
- 9.2 CRITICAL
- EPSS
- 86.7%
- Активно використовується
- немає в KEV
- Продукт
- nginx gateway fabric
Що відомо
У модулі ngx_http_v3_module NGINX Open Source виявлено критичну уразливість, що дозволяє віддаленому неавторизованому атакуючому викликати Use-after-Free та перезапуск робочого процесу. За певних умов можлива також виконання коду на системах без ASLR або при обході ASLR.
Бізнес-вплив
Ця уразливість може призвести до відмови в обслуговуванні через перезапуск процесу NGINX або, у гіршому випадку, до виконання довільного коду, що ставить під загрозу безпеку серверів, які використовують HTTP/3 QUIC модуль. Власники інфраструктури повинні розглянути ризики для стабільності та безпеки своїх веб-сервісів.
Рекомендовані дії адміністратора
Рекомендується перевірити наявність оновлень від постачальника NGINX та оперативно застосувати їх. Якщо оновлення недоступні, слід обмежити використання HTTP/3 QUIC модуля, провести аудит логів на ознаки експлуатації та зменшити експозицію сервісів. Пріоритетність заходів має базуватися на ризиках для бізнесу.