anonhaven

CVE-2026-28755

MEDIUM CVSS 4.0: 5,3 EPSS 0.01%
Обновлено 26 марта 2026
F5
Параметр Значение
CVSS 5,3 (MEDIUM)
Уязвимые версии 0.5.13 — 1.29.7
Устранено в версии 1.28.3
Тип уязвимости CWE-863 (Неправильная авторизация)
Поставщик F5
Публичный эксплойт Нет

NGINX Plus и NGINX Open Source имеют уязвимость в модуле ngx_stream_ssl_module из-за неправильной обработки отозванных сертификатов при настройке с помощью директив ssl_verify_client on и ssl_ocsp on, что позволяет успешному подтверждению TLS даже после того, как проверка OCSP идентифицирует сертификат как отозванный.   Примечание. Версии программного обеспечения, для которых завершена техническая поддержка (EoTS), не оцениваются.

Показать оригинальное описание (EN)

NGINX Plus and NGINX Open Source have a vulnerability in the ngx_stream_ssl_module module due to the improper handling of revoked certificates when configured with the ssl_verify_client on and ssl_ocsp on directives, allowing the TLS handshake to succeed even after an OCSP check identifies the certificate as revoked.   Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Характеристики атаки

Способ атаки
По сети
Атака возможна удалённо
Сложность
Низкая
Легко эксплуатировать
Условия для атаки
Не требуются
Нет дополнительных условий
Нужны права
Низкие
Нужны базовые права
Участие пользователя
Не требуется
Не нужно действие пользователя

Последствия

Конфиденциальность
Низкое
Частичная утечка данных
Целостность
Низкое
Частичная модификация данных
Доступность
Нет
Нет нарушения работы

Строка CVSS v4.0

Тип уязвимости (CWE)

CWE-863 Incorrect Authorization (Неправильная авторизация)

Уязвимые продукты 14

Конфигурация От (включительно) До (исключительно)
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r33:*:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r33:p1:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r33:p2:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r33:p3:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r34:*:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r34:p1:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r34:p2:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r35:p1:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r36:*:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r36:p1:*:*:*:*:*:*
F5 Nginx_Plus
cpe:2.3:a:f5:nginx_plus:r36:p2:*:*:*:*:*:*
F5 Nginx_Open_Source
cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*
 0.5.13 <= 0.9.7
F5 Nginx_Open_Source
cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*
 1.27.2 1.28.3
F5 Nginx_Open_Source
cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*
 1.29.0 1.29.7

Ссылки 1

https://my.f5.com/manage/s/article/K000160368
f5sirt@f5.com
Share Post Share Share Share

Связанные уязвимости

CVE-2026-32647

F5

8,5

CVE-2026-28753

F5

6,3

CVE-2026-27654

F5

8,8

CVE-2025-53521

F5

9,3

CVE-2025-1695

F5

6,9