NGINX Corrige Duas Vulnerabilidades Críticas de Execução Remota de Código (RCE)
Desenvolvedores da F5 lançaram patches emergenciais para duas falhas críticas no NGINX que, sob certas condições, permitem a execução remota de código. As vulnerabilidades, identificadas como CVE-2026-42530 e CVE-2026-42055, possuem pontuações CVSS de 9.2 e representam um risco significativo para a segurança.
MundiX News·19 de junho de 2026·4 min de leitura·👁 4 views
A F5, empresa por trás do NGINX, divulgou atualizações emergenciais para corrigir duas vulnerabilidades críticas que afetam o popular servidor web. As falhas, que receberam os identificadores CVE-2026-42530 e CVE-2026-42055, foram classificadas com uma pontuação de 9.2 na escala CVSS (Common Vulnerability Scoring System), indicando um alto nível de risco. Em condições específicas, essas vulnerabilidades podem permitir que um atacante remoto não autenticado cause uma negação de serviço (DoS) ou execute código arbitrário no servidor comprometido.
A primeira vulnerabilidade, CVE-2026-42530, está relacionada ao módulo ngx_http_v3_module e é classificada como um problema do tipo use-after-free. A exploração desta falha ocorre através de uma sessão HTTP/3 especialmente elaborada em servidores que utilizam o módulo HTTP/3 QUIC. A segunda falha, CVE-2026-42055, afeta os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module, sendo um bug de estouro de buffer no heap. A exploração é possível se o servidor estiver proxyando tráfego HTTP/2 através de proxy_http_version 2 ou grpc_pass, com o parâmetro ignore_invalid_headers configurado para off e o large_client_header_buffers excedendo 2 MB.
Em ambos os cenários de exploração bem-sucedida, o resultado imediato é a falha e o reinício do processo de trabalho do NGINX. É crucial notar que, em sistemas onde a ASLR (Address Space Layout Randomization) está desativada, os atacantes podem não apenas causar uma negação de serviço, mas também obter a execução de código arbitrário. Essas vulnerabilidades representam um perigo para diversas ofertas da família NGINX, incluindo NGINX Open Source, NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e outros produtos relacionados. As correções para CVE-2026-42530 estão incluídas no NGINX Open Source 1.31.2 e NGINX Gateway Fabric 2.6.4. Já os patches para CVE-2026-42055 estão disponíveis no NGINX Open Source 1.31.2 e 1.30.3, além do NGINX Plus 37.0.2.1 e outras branches suportadas.
Para aqueles que ainda não podem aplicar os patches imediatamente, os desenvolvedores recomendam medidas de mitigação temporárias. Para proteger contra CVE-2026-42530, sugere-se desativar o HTTP/3 e remover o parâmetro quic das diretivas listen. No caso de CVE-2026-42055, a recomendação é remover a diretiva ignore_invalid_headers off ou reduzir o valor de large_client_header_buffers para menos de 2 MB. Embora não haja relatos de exploração dessas novas falhas em ataques reais até o momento, produtos da F5 já foram alvos de hackers e grupos APT no passado. É importante lembrar que, no mês anterior, atacantes começaram a explorar ativamente a vulnerabilidade crítica NGINX Rift (CVE-2026-42945) poucos dias após sua divulgação pública. Portanto, administradores de sistemas são fortemente encorajados a não adiar a aplicação dos patches de segurança.
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
A F5, empresa por trás do NGINX, divulgou atualizações emergenciais para corrigir duas vulnerabilidades críticas que afetam o popular servidor web. As falhas, que receberam os identificadores CVE-2026-42530 e CVE-2026-42055, foram classificadas com uma pontuação de 9.2 na escala CVSS (Common Vulnerability Scoring System), indicando um alto nível de risco. Em condições específicas, essas vulnerabilidades podem permitir que um atacante remoto não autenticado cause uma negação de serviço (DoS) ou execute código arbitrário no servidor comprometido.
A primeira vulnerabilidade, CVE-2026-42530, está relacionada ao módulo ngx_http_v3_module e é classificada como um problema do tipo use-after-free. A exploração desta falha ocorre através de uma sessão HTTP/3 especialmente elaborada em servidores que utilizam o módulo HTTP/3 QUIC. A segunda falha, CVE-2026-42055, afeta os módulos ngx_http_proxy_v2_module e ngx_http_grpc_module, sendo um bug de estouro de buffer no heap. A exploração é possível se o servidor estiver proxyando tráfego HTTP/2 através de proxy_http_version 2 ou grpc_pass, com o parâmetro ignore_invalid_headers configurado para off e o large_client_header_buffers excedendo 2 MB.
Em ambos os cenários de exploração bem-sucedida, o resultado imediato é a falha e o reinício do processo de trabalho do NGINX. É crucial notar que, em sistemas onde a ASLR (Address Space Layout Randomization) está desativada, os atacantes podem não apenas causar uma negação de serviço, mas também obter a execução de código arbitrário. Essas vulnerabilidades representam um perigo para diversas ofertas da família NGINX, incluindo NGINX Open Source, NGINX Plus, NGINX Gateway Fabric, NGINX Instance Manager, NGINX Ingress Controller e outros produtos relacionados. As correções para CVE-2026-42530 estão incluídas no NGINX Open Source 1.31.2 e NGINX Gateway Fabric 2.6.4. Já os patches para CVE-2026-42055 estão disponíveis no NGINX Open Source 1.31.2 e 1.30.3, além do NGINX Plus 37.0.2.1 e outras branches suportadas.
Para aqueles que ainda não podem aplicar os patches imediatamente, os desenvolvedores recomendam medidas de mitigação temporárias. Para proteger contra CVE-2026-42530, sugere-se desativar o HTTP/3 e remover o parâmetro quic das diretivas listen. No caso de CVE-2026-42055, a recomendação é remover a diretiva ignore_invalid_headers off ou reduzir o valor de large_client_header_buffers para menos de 2 MB. Embora não haja relatos de exploração dessas novas falhas em ataques reais até o momento, produtos da F5 já foram alvos de hackers e grupos APT no passado. É importante lembrar que, no mês anterior, atacantes começaram a explorar ativamente a vulnerabilidade crítica NGINX Rift (CVE-2026-42945) poucos dias após sua divulgação pública. Portanto, administradores de sistemas são fortemente encorajados a não adiar a aplicação dos patches de segurança.
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
