Уразливість у NGINX Open Source HTTP/3 модулі (CVE-2026-42530)

Виявлено критичну уразливість в NGINX Open Source HTTP/3 модулі, що може призвести до виконання коду або перезапуску сервера.
CVE-2026-42530CVSS 9.2Web

Уразливість у NGINX Open Source HTTP/3 модулі (CVE-2026-42530)

Виявлено критичну уразливість в NGINX Open Source HTTP/3 модулі, що може призвести до виконання коду або перезапуску сервера.

CVSS
9.2 CRITICAL
EPSS
86.7%
Активно використовується
немає в KEV
Продукт
nginx gateway fabric

Що відомо

У модулі ngx_http_v3_module NGINX Open Source виявлено критичну уразливість, що дозволяє віддаленому неавторизованому атакуючому викликати Use-after-Free та перезапуск робочого процесу. За певних умов можлива також виконання коду на системах без ASLR або при обході ASLR.

Бізнес-вплив

Ця уразливість може призвести до відмови в обслуговуванні через перезапуск процесу NGINX або, у гіршому випадку, до виконання довільного коду, що ставить під загрозу безпеку серверів, які використовують HTTP/3 QUIC модуль. Власники інфраструктури повинні розглянути ризики для стабільності та безпеки своїх веб-сервісів.

Рекомендовані дії адміністратора

Рекомендується перевірити наявність оновлень від постачальника NGINX та оперативно застосувати їх. Якщо оновлення недоступні, слід обмежити використання HTTP/3 QUIC модуля, провести аудит логів на ознаки експлуатації та зменшити експозицію сервісів. Пріоритетність заходів має базуватися на ризиках для бізнесу.

Джерела