Cайт веб-разработчика, программиста Ruby on Rails ESV Corp. Екатеринбург, Москва, Санкт-Петербург, Новосибирск, Первоуральск

Пароль не нужен, доступ не нужен — только один «правильный» запрос. NGINX исправляет уязвимости в своих системах

Один неудачно обработанный запрос может превратить веб-сервер в точку входа для атаки. Компания F5 раскрыла три уязвимости в NGINX Plus и NGINX Open Source, которые позволяют вызвать сбой рабочих процессов, получить фрагменты данных из памяти, а при определённых условиях выполнить произвольный код.

Проблемы затрагивают не только основные сборки NGINX, но и созданные на их базе компоненты, включая NGINX Ingress Controller, Gateway Fabric, App Protect WAF и Instance Manager. Чтобы провести две атаки, злоумышленнику не нужна учётная запись или предварительный доступ к серверу.

Самая опасная уязвимость CVE-2026-42533 (9.2 Critical) возникает, когда обрабатываются регулярные выражения в директиве map, если конфигурация обращается к переменным захвата в определённой последовательности. Специально подготовленный запрос может вызвать переполнение буфера в динамической памяти рабочего процесса NGINX. Чаще всего атака завершится аварийной остановкой процесса, однако на системах с отключённой или обойдённой рандомизацией адресного пространства злоумышленник потенциально сможет запустить собственный код. В качестве временной защиты F5 советует использовать именованные группы захвата вместо безымянных.

Вторая уязвимость, CVE-2026-60005 (8.8 High), связана с модулем ngx_http_slice_module, который по умолчанию отключён и добавляется при сборке отдельным параметром. Ошибка позволяет прочитать неинициализированные участки памяти, когда директива slice используется вместе с безымянными группами захвата или когда кэш обновляется в фоне. В результате атакующий может получить ограниченный объём данных из памяти либо вызвать перезапуск рабочего процесса. Пока обновление не установлено, разработчики также рекомендуют перейти на именованные группы захвата.

Третья уязвимость, CVE-2026-56434 (8.3 High), затрагивает модуль серверных включений ngx_http_ssi_module. Ошибка проявляется, когда модуль используют вместе с директивой proxy_pass и отключённой буферизацией прокси-сервера. Злоумышленник, способный перехватывать соединение и управлять ответами вышестоящего сервера, может добиться того, что сервер обратится к уже освобождённой памяти. Атака позволяет ограниченно изменять содержимое памяти или завершать рабочий процесс. Временного способа защиты нет, поэтому F5 рекомендует установить исправленную версию.

Уязвимости устранены в NGINX Plus 37.0.3.1, а также в NGINX Open Source 1.31.3 и 1.30.4. Обновления для Ingress Controller, Gateway Fabric, App Protect WAF и Instance Manager выходят отдельно для каждой поддерживаемой ветки. Для некоторых веток исправления на момент публикации ещё готовятся. Продукты BIG-IP, BIG-IQ, F5 Distributed Cloud, F5OS и F5 AI Gateway уязвимостям не подвержены. Ошибки находятся в компонентах NGINX, которые непосредственно обрабатывают сетевой трафик.

Администраторам советуют в первую очередь обновить серверы, где директива map работает с регулярными выражениями, задействован модуль SSI или включена нарезка ответов для кеширования. NGINX широко распространён, поэтому уязвимости привлекательны для массовых атак, особенно CVE-2026-42533, которая потенциально позволяет выполнить код.

SecurityLab