F5 phát hành bản vá cho hai lỗ hổng nghiêm trọng trên NGINX, nguy cơ thực thi mã từ xa

F5 Networks vừa phát đi cảnh báo và phát hành bản vá cho hai lỗ hổng bảo mật nghiêm trọng trong NGINX Open Source. Các lỗ hổng này có thể bị kẻ tấn công không cần xác thực khai thác để thực thi mã từ xa (RCE) trên các hệ thống bị ảnh hưởng.

Chi tiết các lỗ hổng

• CVE-2026-42530 (Điểm CVSS v4: 9.2): Đây là lỗ hổng use-after-free nằm trong module ngx_http_v3_module. Kẻ tấn công có thể khai thác bằng cách gửi các phiên HTTP/3 được thiết kế đặc biệt để mở lại luồng QPACK encoder, từ đó thực thi mã nếu hệ thống không được bảo vệ bởi ASLR (Address Space Layout Randomization) hoặc kẻ tấn công có khả năng bypass cơ chế này.
• CVE-2026-42055 (Điểm CVSS v4: 9.2): Lỗ hổng tràn bộ đệm (heap-based buffer overflow) xuất hiện trong các module ngx_http_proxy_v2_module và ngx_http_grpc_module. Lỗ hổng này xảy ra khi cấu hình NGINX sử dụng proxy cho lưu lượng HTTP/2, thiết lập ignore_invalid_headers ở trạng thái off và kích thước large_client_header_buffers vượt quá 2 MB.

Khuyến nghị và biện pháp giảm thiểu

F5 đã phát hành các bản cập nhật cho nhiều phiên bản NGINX Open Source, NGINX Plus, NGINX Gateway Fabric, NGINX Ingress Controller và các sản phẩm liên quan khác. Người dùng cần kiểm tra phiên bản hiện tại và cập nhật lên bản vá mới nhất ngay lập tức.

Trong trường hợp chưa thể cập nhật ngay, F5 đề xuất các biện pháp giảm thiểu tạm thời:

• Đối với CVE-2026-42530: Vô hiệu hóa HTTP/3.
• Đối với CVE-2026-42055: Loại bỏ chỉ thị ignore_invalid_headers off khỏi cấu hình hoặc điều chỉnh kích thước large_client_header_buffers xuống dưới 2 MB.

Mặc dù chưa có báo cáo cụ thể về việc các lỗ hổng này đang bị khai thác trong thực tế, nhưng với mức độ nghiêm trọng cao, các quản trị viên hệ thống cần ưu tiên triển khai bản vá để bảo vệ hạ tầng máy chủ khỏi các nguy cơ tấn công tiềm ẩn.

Nguồn tham khảo: The Hacker News