2026年6月17日,F5公司以"带外安全更新"形式紧急披露NGINX生态系统中6个安全漏洞,其中CVE-2026-42530(HTTP/3模块释放后使用漏洞)和CVE-2026-42055(HTTP/2代理模块堆缓冲区溢出漏洞)被评为最高威胁等级,CVSS 4.0评分达9.2。两个漏洞均可在无认证情况下被远程利用,可能导致服务崩溃甚至远程代码执行。目前F5已发布修复版本,建议使用NGINX的企业尽快升级至安全版本,或按官方指引采取临时缓解措施。
【一、漏洞概述】
2026年6月17日,F5公司打破常规补丁发布节奏,以"带外安全更新"形式一次性披露了NGINX生态系统中的6个安全漏洞。这种非例行发布方式本身即说明事态严重性——F5通常仅在漏洞具备远程利用潜力且严重性评分极高时才会启动此特殊流程。
【二、两个高危漏洞详解】
【漏洞一:CVE-2026-42530】HTTP/3模块释放后使用漏洞(Use-After-Free)
• 影响版本:NGINX Open Source 1.31.0~1.31.1
• 危害:无需认证,远程攻击者可导致工作进程崩溃,特定条件下可实现远程代码执行
• 修复版本:升级至 NGINX Open Source 1.31.2
• 临时缓解:禁用HTTP/3(移除listen指令中的quic参数)
【漏洞二:CVE-2026-42055】HTTP/2代理模块堆缓冲区溢出漏洞
• 影响版本:NGINX Plus 37.0.0~37.0.1、NGINX Open Source 1.30.0~1.31.1
• 危害:在特定配置组合下,攻击者可通过发送超大型HTTP头部触发缓冲区溢出,导致服务崩溃或远程代码执行
• 修复版本:升级至 NGINX Plus 37.0.2.1 或 NGINX Open Source 1.31.2 / 1.30.3
• 临时缓解:恢复ignore_invalid_headers为默认开启状态,将large_client_header_buffers调整至2MB以内
【三、影响范围】
NGINX是目前全球市场占有率最高的Web服务器软件之一,广泛应用于互联网企业、政企网站及各类Web服务场景。此次漏洞影响NGINX Open Source、NGINX Plus及基于其构建的衍生产品(包括NGINX Ingress Controller、NGINX Gateway Fabric等),潜在影响范围极广。
【四、建议措施】
① 【立即排查】检查当前使用的NGINX版本是否在受影响范围内
② 【尽快升级】升级至官方已修复版本(1.31.2或1.30.3)
③ 【临时缓解】无法立即升级的,按上述临时方案调整配置
④ 【持续监控】关注NGINX工作进程异常重启、异常请求等迹象
【五、昊群安全服务提示】
漏洞响应能力是衡量企业网络安全韧性的核心指标。【昊群】可为客户提供安全漏洞预警、系统补丁管理及安全加固服务,助力企业降低安全风险。如有相关需求,欢迎联系昊群安全服务团队。
(信息来源:威易网 / F5官方安全公告)


