F5 ha rilasciato il 17 giugno 2026 patch out-of-band per due vulnerabilità critiche nel codice open source di NGINX. Entrambe le falle — CVE-2026-42530 e CVE-2026-42055, con punteggio CVSS v4.0 di 9.2 — consentono esecuzione remota di codice non autenticata su sistemi con Address Space Layout Randomization (ASLR) disabilitata o bypassata. Su sistemi con ASLR attiva, causano denial of service con restart del worker process.
- CVE-2026-42530 (CVSS 9.2): use-after-free nel modulo HTTP/3 QUIC, attivabile con sessione craftata che riapre uno stream QPACK encoder
- CVE-2026-42055 (CVSS 9.2): heap buffer overflow in HTTP/2 proxy/gRPC, richiede tre condizioni non-default contemporanee
- RCE condizionato: entrambe richiedono ASLR disabilitata o bypassata; altrimenti impatto limitato a DoS
- Versioni patchate: NGINX Open Source 1.31.2 e 1.30.3, NGINX Plus 37.0.2.1, Gateway Fabric 2.6.4; Instance Manager, Ingress Controller e App Protect ancora senza fix
- CVE-2026-42945 (NGINX Rift), precedente vulnerabilità critica, sfruttata attivamente a 3 giorni dalla disclosure
Dato chiaveCVSS v4.0: 9.2 per entrambe le CVE — punteggio massimo nella scala, classificazione CRITICAL. CVSS v3.1: 8.1 (HIGH).
Il meccanismo di CVE-2026-42530: use-after-free nel QUIC handshake
La vulnerabilità risiede nel modulo ngx_http_v3_module, responsabile della gestione di HTTP/3 over QUIC. Secondo l'advisory F5 citato da SecurityAffairs, un attaccante remoto non autenticato può utilizzare una sessione HTTP/3 appositamente costruita per riaprire uno stream QPACK encoder precedentemente chiuso. Questa riapertura innesca un use-after-free nel worker process NGINX.
L'impatto immediato è il restart del processo worker, con conseguente denial of service. L'escalation a esecuzione di codice avviene su sistemi con ASLR disabilitata o bypassata. L'advisory F5 non specifica tecniche di bypass ASLR né profili di deployment particolarmente a rischio.
CVE-2026-42055: heap buffer overflow con configurazioni non-default
Il secondo bug è un heap-based buffer overflow nei moduli ngx_http_proxy_v2_module e ngx_http_grpc_module. La condizione di attacco richiede tre configurazioni non-default simultanee: proxy_http_version 2 o grpc_pass attivo, ignore_invalid_headers off, e large_client_header_buffers oltre i 2 MB.
Secondo BleepingComputer, la configurazione di default di NGINX non è vulnerabile. Serve una deviazione esplicita dalla policy standard. I team che hanno personalizzato questi parametri per esigenze applicative devono verificare la loro esposizione.
Il ruolo dell'ASLR: condizione che determina l'impatto
L'advisory F5 specifica che l'RCE è condizionato a sistemi "con ASLR disabilitata o quando l'attaccante può bypassare l'ASLR". TechTimes ha analizzato questo aspetto nel contesto di deployment containerizzati e Kubernetes, ma non afferma che l'ASLR sia sistematicamente debole in tali ambienti. Il brief non contiene dati sulla frequenza effettiva di ASLR disabilitata o bypassabile nei deployment NGINX.
Il precedente CVE-2026-42945 (NGINX Rift), divulgato a maggio 2026, è stato attivamente sfruttato a 3 giorni dalla pubblicazione. Il brief non conferma che tale exploitation abbia bypassato ASLR; riporta solo la tempistica di sfruttamento. Questo precedente costituisce contesto storico, non prova di tecniche applicabili alle CVE di giugno.
La superficie di attacco: chi ha patch e chi resta esposto
F5 ha pubblicato patch per i prodotti core: NGINX Open Source mainline 1.31.2 e stable 1.30.3, NGINX Plus 37.0.2.1, NGINX Gateway Fabric 2.6.4. SecurityAffairs riporta la citazione esplicita dell'advisory: "There is no control plane exposure; this is a data plane issue only".
Almeno quattro prodotti non dispongono ancora di fix: NGINX Instance Manager (versioni 2.17.0-2.22.0), NGINX Ingress Controller (5.0.0-5.5.0), NGINX App Protect WAF e NGINX App Protect DoS. Secondo GBHackers, per questi prodotti la colonna fix riporta "None (no fix yet)".
Cosa fare adesso
Per CVE-2026-42530: rimuovere "quic" dalle direttive listen se HTTP/3 non è necessario, in attesa del patching.
Per CVE-2026-42055: verificare la presenza di ignore_invalid_headers off e valutare la rimozione; ridurre large_client_header_buffers sotto i 2 MB se possibile senza impatto applicativo.
Aggiornare alle versioni patchate dove disponibili: NGINX Open Source 1.31.2 (mainline) o 1.30.3 (stable), NGINX Plus 37.0.2.1, Gateway Fabric 2.6.4.
Per i prodotti senza patch — Instance Manager, Ingress Controller, App Protect WAF/DoS — monitorare gli advisory F5 per aggiornamenti. Non sono documentate mitigazioni alternative per questi prodotti nel brief.
Contesto di rischio
F5 gestisce una base di 23.000+ clienti, inclusi 48/50 Fortune 50 e l'80% delle Fortune Global 500. CISA ha segnalato 7 vulnerabilità F5 come attivamente sfruttate, 4 in attacchi ransomware. Non ci sono conferme di exploit in-the-wild per CVE-2026-42530 e CVE-2026-42055 al momento della pubblicazione.
Il breach subito da F5 nell'agosto 2025, divulgato nell'ottobre 2025, ha coinvolto vulnerabilità BIG-IP e source code. F5 ha specificato che NGINX non era tra i dati accessi.
Chiusura editoriale
Le patch out-of-band del 17 giugno 2026 rispondono a una combinazione rara: CVSS massimo, RCE condizionato ma concreto, e un precedente di exploitation rapida nel medesimo ecosistema. La condizione ASLR non è un dettaglio tecnico secondario ma il discriminante tra DoS gestibile e compromissione remota. I team che gestiscono NGINX in configurazioni non-default — HTTP/3 attivo o proxy HTTP/2 con header buffer estesi — devono trattare questa advisory con priorità elevata, tenendo conto che la disponibilità di patch è disomogenea tra i prodotti della famiglia.
Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.
Fonti
- https://thehackernews.com/2026/06/f5-patches-two-critical-nginx-open.html
- https://www.bleepingcomputer.com/news/security/f5-issues-out-of-band-patches-for-critical-nginx-vulnerabilities/
- https://gbhackers.com/f5-patches-nginx-vulnerability/amp/
- https://securityaffairs.com/193842/security/f5-patches-critical-nginx-vulnerabilities-enabling-unauthenticated-code-execution.html
- https://www.techtimes.com/articles/318683/20260619/nginx-vulnerability-patch-f5-fixes-critical-http-3-http-2-remote-code-execution-flaws.htm
- https://www.securityweek.com/f5-patches-critical-high-severity-nginx-vulnerabilities/
- https://www.cve.org/CVERecord?id=CVE-2026-42530
- https://thehackernews.com/p/upcoming-hacker-news-webinars.html
- https://thehackernews.com/search/label/Threat%20Intelligence