F5 - CVE-2026-42530

Date de publication :

Il s'agit d'une vulnérabilité de type use-after-free dans le module ngx_http_v3_module de NGINX Open Source.

NGINX Open Source est un serveur web et reverse proxy haute performance, largement utilisé pour la gestion du trafic HTTP/HTTPS, la répartition de charge et la terminaison TLS dans les infrastructures applicatives.

Lorsque le support HTTP/3 QUIC est activé, un attaquant distant non authentifié peut envoyer une session HTTP/3 spécialement forgée afin de rouvrir un flux QPACK encoder déjà libéré en mémoire. Cette condition déclenche un accès à une zone mémoire libérée dans le processus worker NGINX, provoquant son redémarrage. Sur les systèmes où l'ASLR est désactivé ou contournable, la vulnérabilité peut être exploitée pour une exécution de code arbitraire.

Elle permet à un attaquant distant non authentifié de provoquer un déni de service du processus worker ou, sous conditions, une exécution de code arbitraire à distance.

CVE-2026-42530

[Score CVSS v3.1 : 8.1]

Informations

La faille est activement exploitée : Non

Un correctif existe : Oui

Une mesure de contournement existe : Oui

Risques

•   Exécution de code arbitraire (à distance)
•   Déni de service (à distance)

Exploitation

La vulnérabilité exploitée est du type
CWE-416 : Use After Free

Détails sur l'exploitation
•   Vecteur d'attaque : Réseau
•   Complexité de l'attaque : Élevée
•   Privilèges nécessaires pour réaliser l'attaque : Aucun
•   Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•   L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Actuellement, aucune preuve de concept n'est disponible en sources ouvertes.

Systèmes ou composants affectés

•   NGINX Open Source versions 1.31.0 jusqu'à 1.31.1
•   NGINX Instance Manager versions 2.17.0 jusqu'à 2.22.0 (aucun correctif disponible à ce jour)
•   NGINX Gateway Fabric versions 2.0.0 jusqu'à 2.6.3
•   NGINX Gateway Fabric versions 1.3.0 jusqu'à 1.6.2 (aucun correctif disponible à ce jour)
•   NGINX Ingress Controller versions 3.5.0 jusqu'à 3.7.2, 4.0.0 jusqu'à 4.0.1, 5.0.0 jusqu'à 5.5.0 (aucun correctif disponible à ce jour)

Contournement provisoire

Désactiver HTTP/3 en supprimant le paramètre quic de toutes les directives listen dans la configuration NGINX

Solutions ou recommandations

•   NGINX Open Source version 1.31.2 et supérieures
•   NGINX Gateway Fabric version 2.6.4 et supérieures

Liens