17 июня 2026 года NGINX выпустил две новые версии: 1.30.3 для стабильной ветки и 1.31.2 для основной ветки разработки. Обновления закрывают уязвимости в модулях ngx_http_proxy_v2_module, ngx_http_grpc_module, ngx_http_charset_module, а также в ngx_http_v3_module.
В релизе nginx.org указаны три CVE:
CVE-2026-42055 — переполнение буфера в ngx_http_proxy_v2_module и ngx_http_grpc_module;
CVE-2026-48142 — чтение за пределами буфера в ngx_http_charset_module;
CVE-2026-42530 — use-after-free в ngx_http_v3_module, исправлена в nginx 1.31.2.
CVE-2026-42530 затрагивает NGINX Open Source 1.31.0 и 1.31.1 при использовании HTTP/3/QUIC. Уязвимость находится в модуле ngx_http_v3_module.
Проблема связана с повторным открытием QPACK encoder stream в специально подготовленной HTTP/3-сессии. QPACK — механизм сжатия заголовков в HTTP/3. Он нужен для уменьшения объёма передаваемых данных, но ошибка в работе с потоком может привести к use-after-free.
Use-after-free — это ситуация, когда программа продолжает обращаться к участку памяти после его освобождения. В лучшем случае процесс падает. В худшем — атакующий получает возможность повлиять на выполнение кода, если совпали дополнительные условия.
F5 описывает сценарий как удалённую неаутентифицированную атаку, но с оговоркой: для эксплуатации нужны условия, которые не полностью контролируются атакующим. Практический риск выше у интернет-доступных серверов с включенным HTTP/3.
Базовый эффект — сбой worker-процесса NGINX. Worker обрабатывает пользовательские соединения. Если он падает, мастер-процесс обычно поднимает новый worker, но активные соединения могут разрываться. При частом повторении это уже похоже на отказ в обслуживании.
Более тяжелый вариант — выполнение кода. F5 указывает, что такой сценарий возможен на системах с отключенной ASLR или при обходе этой защиты. ASLR, Address Space Layout Randomization, перемешивает адреса памяти и усложняет эксплуатацию ошибок такого класса.
На обычном сервере с включенной ASLR риск выполнения кода ниже, но это не повод откладывать патч. Публичный HTTP/3-сервер остается удобной целью: к нему можно обращаться без учётной записи, а попытки эксплуатации идут через обычный сетевой трафик.
В nginx 1.30.3 исправлены CVE-2026-42055 и CVE-2026-48142.
CVE-2026-42055 связана с модулями ngx_http_proxy_v2_module и ngx_http_grpc_module. Первый отвечает за работу с PROXY protocol v2, второй — за проксирование gRPC-запросов. Для компаний это важные сценарии: PROXY protocol часто используют за балансировщиками и прокси, а gRPC активно применяется во внутренних API и микросервисах.
CVE-2026-48142 затрагивает ngx_http_charset_module. Такой модуль отвечает за работу с кодировками и преобразование символов. Уязвимости чтения за пределами буфера обычно опасны утечкой фрагментов памяти или падением процесса. Конкретный эффект зависит от конфигурации и условий обработки запроса.
В основной ветке 1.31.2 закрыты те же CVE плюс CVE-2026-42530 в HTTP/3.
В первую очередь нужно проверить серверы с NGINX Open Source 1.31.0 и 1.31.1, если на них включён HTTP/3/QUIC. Именно эта связка относится к CVE-2026-42530.
Отдельно нужно проверить окружения, где используются gRPC-проксирование, PROXY protocol v2 и модуль charset. Это касается и внешних прокси, и внутренних шлюзов, и Kubernetes-инфраструктуры, если в ней применяются компоненты на базе NGINX.
В зоне внимания — публичные сайты, API-шлюзы, CDN-узлы, edge-прокси, ingress-контроллеры, сервисы с HTTP/3, медиасервисы, высоконагруженные порталы и любые системы, где NGINX принимает запросы из интернета.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
