F5針對Nginx發布緊急安全更新，揭露與修補兩個重大漏洞

從嚴重程度來看，CVE-2026-42530與CVE-2026-42055最高，CVSS 3.1評分均為8.1，CVSS 4.0評分均為9.2，問題分別出在NginxOpen Source的ngx_http_v3_module，以及Nginx Plus與Nginx Open Source的ngx_http_proxy_v2_module與ngx_http_grpc_module，兩個漏洞皆是資料層（data plane）處理的議題，而非控制層（control plane）暴露的狀況。

這兩個漏洞還有其他共通點，包括攻擊者可造成記憶體存取不良的問題，促成 Nginx重新啟動，攻擊者也能在停用或繞過「記憶體位址空間隨機配置（ASLR）」的系統，藉此發動遠端程式碼執行的活動。

用戶若不修補這兩個漏洞，F5警告遠端攻擊者可能藉此造成Nginx系統面臨服務遭阻斷（DoS），或觸發程式碼執行等狀況（若要利用CVE-2026-42055，需搭配Nginx已修改預設組態的狀況才能成立）。

單就CVE-2026-42530而言，屬於記憶體釋放後卻仍遭存取（UAF）類型的漏洞，可能面臨攻擊的狀況在於，當Nginx Open Source設定使用HTTP/3 QUIC模組時，遠端攻擊者不需通過身分驗證，可使用特製的HTTP/2連線階段重新開啟QPACK編碼器的資料串流，此舉將導致Nginx的工作者處理程序發生UAF，進而促使系統重新啟動。

CVE-2026-42530目前影響的產品，主要是Nginx Open Source的1.31.0與1.31.1版，F5最新釋出的1.31.2版已修補此漏洞。CVE-2026-42530也影響Nginx Instance Manager、Nginx Gateway Fabric、Nginx Ingress Controller，因為這三個產品皆基於Nginx Open Source而成，目前F5已針對Nginx Gateway Fabric 2.x版提供修補CVE-2026-42530的版本2.6.4，但對於Nginx Instance Manager 2.x、Nginx Gateway Fabric 1.x、Nginx Ingress Controller 3.x至5.x，F5尚未釋出修補的版本。

關於CVE-2026-42055，屬於堆積型緩衝區溢位（Heap-based Buffer Overflow）類型的漏洞，可能遭致攻擊的狀況在於，Nginx Plus與Nginx Open Source的proxy_http_version參數設定為2，或grpc_pass指令用於HTTP/2 傳輸流量的代理，且ignore_invalid_headers指令設為停用，以及large_client_header_buffers指令的容量大於2 MB，此時，遠端攻擊者可在建立上游請求時，傳送多個大型HTTP標頭，如此一來，將促使Nginx的工作者處理程序發生堆積型緩衝區溢位的狀況，進而導致系統重新啟動。

細部檢視CVE-2026-42055目前影響的產品，F5表示，主要是Nginx Plus 37.0.0至37.0.1版與R33至R36版，以及Nginx Open Source 1.31.1版與1.30.0至1.30.2版，而在最新釋出的Nginx Plus 37.0.2.1版與R36 P6版，以及Nginx Open Source 1.31.2至1.30.3版，已修補此漏洞。

CVE-2026-42055也影響其他產品，像是基於Nginx Open Source而成的產品，包括Nginx Instance Manager、Nginx Gateway Fabric、Nginx Ingress Controller，以及基於Nginx Plus而成的產品，包括F5 WAF for Nginx、F5 DoS for Nginx、Nginx App Protect WAF、Nginx App Protect DoS。目前F5僅針對Nginx Gateway Fabric與Nginx Ingress Controller的新世代版本提供修補，分別是2.6.4版與5.5.1版。

用戶若不方便將Nginx更新至已修補的版本，或目前所用的Nginx相關產品尚未釋出這類更新版，F5也在公告中列出緩解方法，以CVE-2026-42530為例，用戶可先停用HTTP/3，將quic模組從所有listen指令中移除；若要緩解CVE-2026-42055，F5建議用戶從組態設定移除ignore_invalid_headers off的指令，並且將large_client_header_buffers指令的容量減少至2 MB以下。