F5 heeft buiten de reguliere planning om beveiligingsupdates uitgerold voor meerdere kwetsbaarheden in NGINX, waaronder twee kritieke lekken. Die stellen aanvallers in staat om code uit te voeren op kwetsbare systemen met niet-standaard configuraties.
De kwetsbaarheden zitten in de modules ngx_http_v3_module (CVE-2026-42530) en ngx_http_proxy_v2_module/ngx_http_grpc_module (CVE-2026-42055). Het gaat om twee kritieke lekken die ernstige gevolgen kunnen hebben. Ongeauthenticeerde aanvallers kunnen die misbruiken voor een denial-of-service-aanval of code-executie op systemen waar Address Space Layout Randomization (ASLR) is uitgeschakeld.
F5 heeft patches uitgebracht voor NGINX Plus, NGINX Open Source, NGINX Gateway Fabric en NGINX Instance Manager. Beheerders die de updates niet direct kunnen installeren, kunnen CVE-2026-42530 mitigeren door HTTP/3 uit te schakelen en CVE-2026-42055 door de ignore_invalid_headers off-directive te verwijderen en de large_client_header_buffers-grootte onder 2 MB te brengen.
Twee hoogrisico-lekken in NGINX Gateway Fabric
Daarnaast zijn er twee hoogrisico-kwetsbaarheden in NGINX Gateway Fabric (CVE-2026-11311 en CVE-2026-50107). Die kunnen door geauthenticeerde aanvallers worden gebruikt om willekeurige NGINX-configuratieregels in te voegen.
F5 meldt dat geen van deze lekken momenteel actief worden uitgebuit. In het verleden zijn kwetsbaarheden in F5-producten wel misbruikt voor inbraken, het plaatsen van data-wis-malware, het in kaart brengen van interne servers en diefstal van gevoelige documenten.
Historische context en risico’s
In oktober 2025 onthulde F5 dat staatssponsors in augustus 2025 zijn systemen had gecompromitteerd en onbekende BIG-IP-kwetsbaarheden en broncode had gestolen. De Amerikaanse CISA heeft de afgelopen jaren zeven F5-kwetsbaarheden als actief uitgebuit bestempeld, waarvan vier in ransomware-aanvallen.