F5 zakrpava tri ozbiljne ranjivosti u NGINX-u - rizik od izvršavanja koda
F5 zakrpava tri ranjivosti u NGINX-u sa CVSS skorovima do 9.2 koje omogućavaju izvršavanje koda na sistemima bez autentifikacije.
Šta se desilo?
F5 je objavio tri visoko-ozbiljne bezbednosne ranjivosti u NGINX Plus i NGINX Open Source. Ranjivosti omogućavaju napadačima bez autentifikacije da izazovu oštećenje memorije, pad radnih procesa ili čak izvršavanje proizvoljnog koda na zahvaćenim sistemima. Ozbiljnosti se kreću od visokog do kritičnog nivoa prema CVSS skalama verzije 3.1 i 4.0.
Koga pogađa?
Organizacije koje koriste NGINX Plus verzije 37.x, NGINX Open Source verzije 1.x, kao i sve komponente napravljene na NGINX osnovi - Ingress Controller, Gateway Fabric, App Protect WAF i Instance Manager. NGINX predstavlja ozbiljnu infrastrukturu internet sajtova svetski, što čini ove ranjivosti kritičnim za veliki broj veb servisa i aplikacija.
Kako se zaštititi?
- Hitno ažurirajte NGINX Plus na verziju 37.0.3.1 ili noviju
- Ažurirajte NGINX Open Source na verziju 1.31.3 ili 1.30.4 ili noviju
- Ažurirajte Ingress Controller, Gateway Fabric, App Protect WAF i Instance Manager prema dostupnim zakrkama za vašu granu
- Ako koristite map direktive sa regex hvatanjem, prebacite se na imenovane regex hvate umesto neimenovanih
- Onemogućite Server-Side Includes modul ako ga ne koristite aktivno
- Redovno pratite sigurnosne saopštenja F5 za dodatne zakrpe
Tehnički detalji
CVE-2026-42533 - Heap Buffer Overflow (CVSS 8.1/9.2) - Najveća pretnja uključuje buffer overflow u NGINX radnom procesu koji može dovesti do izvršavanja koda ako je ASLR onemogućen. Problem nastaje zbog nepravilnog rukovanja map direktive sa regex hvatanjem capture promenljivih. Zahvaćeni su NGINX Plus 37.x i NGINX Open Source 1.x.
CVE-2026-60005 - Uninitialized Memory Disclosure (CVSS 8.2/8.8) - Ranjivost u ngx_http_slice_module omogućava pristup neinicijalizovanoj memoriji. Modul nije omogućen podrazumevanom i zahteva build flagove. Zahvata istu liniju proizvoda.
CVE-2026-56434 - Use-After-Free (CVSS 6.5/8.3) - Pogađa ngx_http_ssi_module kada se Server-Side Includes koriste sa proxy_pass i proxy_buffering isključenim. Man-in-the-middle napadač može izazvati use-after-free uz limitiranu mogućnost modifikovanja memorije ili pada servisa.
Preporuka Sajber Radara
Ako vaša organizacija koristi bilo koju verziju NGINX-a za kritične servise, hitnost ažuriranja je maksimalna - naročito ako koristi map direktive ili SSI modul. Preporučujemo da odmah proverite inventar infrastrukture i prioritizujete primenu zakrpi na sve javno dostupne NGINX instance.