NGINX lanza actualizaciones que corrigen tres vulnerabilidades en su servidor web.

Una sola petición mal procesada puede convertir un servidor web en un punto de entrada para un ataque. La empresa F5 reveló tres vulnerabilidades en NGINX Plus y NGINX de código abierto, que permiten provocar el fallo de procesos de trabajo, obtener fragmentos de datos de la memoria y, en ciertas condiciones, ejecutar código arbitrario.
Los problemas afectan no solo a las compilaciones principales de NGINX, sino también a los componentes basados en ellas, incluidos NGINX Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager. Para llevar a cabo dos de los ataques, el atacante no necesita una cuenta ni acceso previo al servidor.
La vulnerabilidad más peligrosa CVE-2026-42533 (9.2 Critical) aparece cuando se procesan expresiones regulares en la directiva map si la configuración accede a variables de captura en un orden determinado. Una solicitud especialmente diseñada puede provocar un desbordamiento de búfer en la memoria dinámica del proceso de trabajo de NGINX. Con mayor frecuencia el ataque terminará en una detención abrupta del proceso; sin embargo, en sistemas con la aleatorización del espacio de direcciones desactivada o eludida, el atacante podría potencialmente ejecutar su propio código. Como medida temporal, F5 aconseja usar grupos de captura con nombre en lugar de sin nombre.
La segunda vulnerabilidad, CVE-2026-60005 (8.8 High), está relacionada con el módulo ngx_http_slice_module, que por defecto está desactivado y se añade en la compilación con un parámetro separado. El fallo permite leer áreas de memoria no inicializadas cuando la directiva slice se utiliza junto con grupos de captura sin nombre o cuando la caché se actualiza en segundo plano. Como resultado, el atacante puede obtener un volumen limitado de datos de la memoria o provocar el reinicio del proceso de trabajo. Mientras no se instale la actualización, los desarrolladores también recomiendan cambiar a grupos de captura con nombre.
La tercera vulnerabilidad, CVE-2026-56434 (8.3 High), afecta al módulo de inclusiones del lado del servidor ngx_http_ssi_module. El fallo se manifiesta cuando el módulo se utiliza junto con la directiva proxy_pass y la bufferización del proxy está desactivada.
Un atacante capaz de interceptar la conexión y controlar las respuestas del servidor ascendente puede lograr que el servidor acceda a memoria ya liberada. El ataque permite modificar de forma limitada el contenido de la memoria o terminar el proceso de trabajo. No existe una medida temporal de protección, por lo que F5 recomienda instalar la versión corregida.
Las vulnerabilidades se corrigieron en NGINX Plus 37.0.3.1, así como en NGINX de código abierto 1.31.3 y 1.30.4. Las actualizaciones para Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager se publican por separado para cada rama compatible. Para algunas ramas, las correcciones todavía se estaban preparando en el momento de la publicación. Los productos BIG-IP, BIG-IQ, F5 Distributed Cloud, F5OS y F5 AI Gateway no están afectados por las vulnerabilidades. Los errores se encuentran en componentes de NGINX que procesan directamente el tráfico de red.
Se aconseja a los administradores, en primer lugar, actualizar los servidores donde la directiva map trabaja con expresiones regulares, esté habilitado el módulo SSI o esté activada la segmentación de respuestas para caché. NGINX está muy extendido, por lo que las vulnerabilidades son atractivas para ataques masivos, especialmente CVE-2026-42533, que potencialmente permite ejecutar código.