This post is also available in: Português
As vulnerabilidades CVE-2026-42530 e CVE-2026-42055 chamaram a atenção da comunidade de segurança após a divulgação de atualizações emergenciais pela F5 para corrigir falhas críticas no NGINX Open Source e no NGINX Plus. Ambas receberam pontuação CVSS de 9,2, classificadas como críticas, e podem permitir que atacantes remotos não autenticados provoquem negação de serviço ou, em cenários específicos, executem código arbitrário nos sistemas afetados.
As duas vulnerabilidades afetam componentes distintos da plataforma, mas compartilham características preocupantes. Em ambos os casos, a exploração pode levar à corrupção de memória nos processos worker do NGINX. Embora a execução remota de código dependa de condições adicionais, como a desativação do mecanismo ASLR ou a capacidade do invasor de contorná-lo, o risco é considerado elevado devido à ampla adoção do NGINX em ambientes corporativos, aplicações web, APIs e infraestruturas em nuvem.
O que é o NGINX?
O NGINX é uma das plataformas mais utilizadas do mundo para hospedagem de aplicações web, balanceamento de carga, proxy reverso e entrega de conteúdo. Desenvolvido originalmente como um servidor web de alto desempenho, tornou-se peça fundamental em arquiteturas modernas, sendo amplamente utilizado em ambientes corporativos, provedores de serviços, aplicações em nuvem e infraestruturas críticas.
Atualmente, o projeto possui duas principais versões. O NGINX Open Source, distribuído gratuitamente, e o NGINX Plus, versão comercial mantida pela F5, que adiciona recursos avançados de monitoramento, gerenciamento e suporte empresarial.
Devido à sua presença em milhões de servidores expostos à internet, qualquer vulnerabilidade crítica envolvendo o NGINX pode representar riscos significativos para organizações de todos os portes.
Entendendo a CVE-2026-42530
A CVE-2026-42530 é uma vulnerabilidade de Use-After-Free, catalogada como CWE-416, presente no módulo ngx_http_v3_module do NGINX Open Source. O problema afeta especificamente implementações que utilizam HTTP/3 por meio do protocolo QUIC.
O defeito ocorre quando uma sessão HTTP/3 especialmente construída consegue reabrir um fluxo de codificação QPACK já encerrado. Como consequência, o processo worker do NGINX pode acessar áreas de memória previamente liberadas, gerando corrupção de memória e reinicialização do serviço.
O cenário caracteriza uma falha clássica de Use-After-Free, na qual um software continua utilizando um ponteiro que faz referência a uma região de memória que já não deveria estar acessível. Esse tipo de vulnerabilidade é especialmente perigoso porque pode abrir caminho para a execução arbitrária de código quando explorado de forma sofisticada.
Impacto da vulnerabilidade
A exploração bem-sucedida pode causar interrupções no serviço devido à reinicialização dos processos worker. Em ambientes onde mecanismos de proteção de memória são insuficientes ou podem ser contornados, existe também a possibilidade de execução remota de código.
Por se tratar de uma vulnerabilidade explorável remotamente e sem necessidade de autenticação, administradores que utilizam HTTP/3 devem considerar a aplicação das correções como prioridade máxima.
Produtos afetados
A vulnerabilidade afeta o NGINX Open Source quando configurado para utilizar o módulo HTTP/3 QUIC. Segundo as informações divulgadas pela F5, versões entre 1.31.0 e 1.31.1 estão vulneráveis. A correção foi disponibilizada na versão 1.31.2.
Entendendo a CVE-2026-42055
A CVE-2026-42055 é uma vulnerabilidade de Heap-Based Buffer Overflow, classificada como CWE-122, encontrada nos módulos ngx_http_proxy_v2_module e ngx_http_grpc_module. O problema afeta tanto o NGINX Open Source quanto o NGINX Plus.
A falha ocorre durante o processamento de requisições HTTP/2 encaminhadas para servidores upstream. Em determinadas configurações específicas, um invasor remoto pode enviar cabeçalhos excessivamente grandes, provocando um estouro de buffer na memória heap do processo worker do NGINX.
Para que a exploração seja possível, algumas condições devem estar presentes simultaneamente. Entre elas estão a utilização da diretiva proxy_http_version configurada para HTTP/2 ou da diretiva grpc_pass, a configuração ignore_invalid_headers definida como off e buffers de cabeçalhos superiores a 2 MB por meio da diretiva large_client_header_buffers.
Impacto da vulnerabilidade
Assim como ocorre na CVE-2026-42530, a consequência mais imediata é a interrupção do serviço devido à reinicialização dos processos worker. Entretanto, a corrupção de memória gerada pelo estouro de buffer pode permitir a execução remota de código em sistemas vulneráveis que não possuam mecanismos adequados de proteção de memória.
Embora a configuração necessária para exploração seja relativamente específica, especialistas alertam que o cenário é plausível em ambientes corporativos que utilizam NGINX como proxy HTTP/2 ou gateway para serviços gRPC.
Produtos afetados
A CVE-2026-42055 afeta implementações do NGINX Open Source e do NGINX Plus que utilizam os módulos vulneráveis em conjunto com as configurações descritas pela F5.
CVSS 9.2: por que a severidade é tão alta?
Tanto a CVE-2026-42530 quanto a CVE-2026-42055 receberam pontuação 9,2 na escala CVSS 4.0, sendo classificadas como vulnerabilidades críticas.
Essa classificação leva em consideração diversos fatores, incluindo a exploração remota pela rede, a ausência de necessidade de autenticação, o potencial comprometimento da confidencialidade, integridade e disponibilidade dos sistemas afetados e a possibilidade de execução arbitrária de código em determinadas circunstâncias.
Embora a exploração exija condições específicas e apresente alta complexidade técnica, o impacto potencial justifica a classificação crítica atribuída pelos responsáveis pela divulgação das falhas.
Como mitigar os riscos
A principal recomendação é atualizar imediatamente as instâncias vulneráveis do NGINX para versões corrigidas disponibilizadas pela F5. Organizações devem identificar servidores que utilizam HTTP/3, QUIC, HTTP/2 proxy ou integrações gRPC, avaliando cuidadosamente as configurações em uso.
Também é recomendável revisar configurações relacionadas aos módulos afetados, validar a necessidade de buffers de cabeçalho muito grandes e manter mecanismos de proteção de memória, como o ASLR, devidamente habilitados nos sistemas operacionais.
Além da aplicação dos patches, organizações devem reforçar seus processos de gerenciamento de vulnerabilidades, monitoramento contínuo e resposta a incidentes para reduzir a janela de exposição diante de ameaças emergentes.
This post is also available in: Português
