F5 emite alerta urgente para NGINX e BIG-IP com seis CVEs e dois patches emergenciais
A F5 divulgou um aviso de segurança não planejado para múltiplos produtos NGINX e BIG-IP, abordando seis vulnerabilidades, algumas de criticidade elevada. A empresa já lançou atualizações para mitigar os riscos.
MundiX News·21 de junho de 2026·4 min de leitura·👁 1 views
A F5, renomada fornecedora de soluções de segurança e entrega de aplicações, emitiu um alerta de segurança fora do cronograma regular, cobrindo diversas vulnerabilidades críticas em seus produtos baseados em NGINX e BIG-IP. Ao todo, seis falhas de segurança (CVEs) foram detalhadas, com algumas delas apresentando um alto índice de perigo e já tendo sido corrigidas em versões mais recentes dos softwares. A rápida resposta da F5 sublinha a gravidade das descobertas e a importância da aplicação imediata dos patches.
A principal vulnerabilidade identificada, rastreada como CVE-2026-42530 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), afeta o módulo ngx_http_v3_module no NGINX Open Source. Esta falha impacta as versões 1.31.0 e 1.31.1 do NGINX Open Source, sendo a versão 1.31.2 a que corrige o problema. Além do NGINX Open Source, a vulnerabilidade também se estende a outros produtos da F5, como NGINX Instance Manager, NGINX Gateway Fabric e NGINX Ingress Controller, exigindo atenção redobrada dos administradores de sistemas.
Outra falha de alta criticidade, CVE-2026-42055 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), está relacionada aos módulos ngx_http_proxy_v2_module e ngx_http_grpc_module. Esta vulnerabilidade afeta uma ampla gama de produtos, incluindo NGINX Plus, NGINX Open Source, NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric e NGINX Ingress Controller. A correção foi implementada nas versões 1.31.2 e 1.30.3 do NGINX Open Source, e nas versões 37.0.2.1 e R36 P6 do NGINX Plus.
A F5 também destacou duas vulnerabilidades específicas no NGINX Gateway Fabric. A CVE-2026-11311 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) afeta as versões 2.5.0 a 2.6.3, enquanto a CVE-2026-50107 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) impacta as versões 2.3.0 a 2.6.3. Ambas as falhas foram corrigidas na versão 2.6.4 do NGINX Gateway Fabric.
Adicionalmente, foram identificadas as vulnerabilidades CVE-2026-48142 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N — 6.3 Medium), ligada ao módulo ngx_http_charset_module e presente em NGINX Plus, NGINX Open Source, NGINX Instance Manager, produtos de segurança para NGINX, NGINX Gateway Fabric e NGINX Ingress Controller; e CVE-2026-32682 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N — 7.1 High), que afeta o NGINX Gateway Fabric nas versões 1.3.0–1.6.2 e 2.0.0–2.6.3, também corrigida na versão 2.6.4.
A F5 enfatizou que as verificações foram realizadas apenas em produtos que ainda se encontram dentro do período de suporte técnico. Recomenda-se enfaticamente que os administradores de sistemas verifiquem as versões dos produtos F5 NGINX e BIG-IP em uso, comparando-as com as listas de versões afetadas e vulneráveis divulgadas, e apliquem as atualizações disponíveis o mais rápido possível. A prioridade deve ser dada a sistemas que expõem NGINX e seus componentes associados ao ambiente externo ou que gerenciam serviços de missão crítica, onde o risco de exploração de vulnerabilidades é significativamente maior.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A F5, renomada fornecedora de soluções de segurança e entrega de aplicações, emitiu um alerta de segurança fora do cronograma regular, cobrindo diversas vulnerabilidades críticas em seus produtos baseados em NGINX e BIG-IP. Ao todo, seis falhas de segurança (CVEs) foram detalhadas, com algumas delas apresentando um alto índice de perigo e já tendo sido corrigidas em versões mais recentes dos softwares. A rápida resposta da F5 sublinha a gravidade das descobertas e a importância da aplicação imediata dos patches.
A principal vulnerabilidade identificada, rastreada como CVE-2026-42530 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), afeta o módulo ngx_http_v3_module no NGINX Open Source. Esta falha impacta as versões 1.31.0 e 1.31.1 do NGINX Open Source, sendo a versão 1.31.2 a que corrige o problema. Além do NGINX Open Source, a vulnerabilidade também se estende a outros produtos da F5, como NGINX Instance Manager, NGINX Gateway Fabric e NGINX Ingress Controller, exigindo atenção redobrada dos administradores de sistemas.
Outra falha de alta criticidade, CVE-2026-42055 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), está relacionada aos módulos ngx_http_proxy_v2_module e ngx_http_grpc_module. Esta vulnerabilidade afeta uma ampla gama de produtos, incluindo NGINX Plus, NGINX Open Source, NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric e NGINX Ingress Controller. A correção foi implementada nas versões 1.31.2 e 1.30.3 do NGINX Open Source, e nas versões 37.0.2.1 e R36 P6 do NGINX Plus.
A F5 também destacou duas vulnerabilidades específicas no NGINX Gateway Fabric. A CVE-2026-11311 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) afeta as versões 2.5.0 a 2.6.3, enquanto a CVE-2026-50107 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) impacta as versões 2.3.0 a 2.6.3. Ambas as falhas foram corrigidas na versão 2.6.4 do NGINX Gateway Fabric.
Adicionalmente, foram identificadas as vulnerabilidades CVE-2026-48142 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N — 6.3 Medium), ligada ao módulo ngx_http_charset_module e presente em NGINX Plus, NGINX Open Source, NGINX Instance Manager, produtos de segurança para NGINX, NGINX Gateway Fabric e NGINX Ingress Controller; e CVE-2026-32682 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N — 7.1 High), que afeta o NGINX Gateway Fabric nas versões 1.3.0–1.6.2 e 2.0.0–2.6.3, também corrigida na versão 2.6.4.
A F5 enfatizou que as verificações foram realizadas apenas em produtos que ainda se encontram dentro do período de suporte técnico. Recomenda-se enfaticamente que os administradores de sistemas verifiquem as versões dos produtos F5 NGINX e BIG-IP em uso, comparando-as com as listas de versões afetadas e vulneráveis divulgadas, e apliquem as atualizações disponíveis o mais rápido possível. A prioridade deve ser dada a sistemas que expõem NGINX e seus componentes associados ao ambiente externo ou que gerenciam serviços de missão crítica, onde o risco de exploração de vulnerabilidades é significativamente maior.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
