Šta se desilo?

F5 je objavio tri visoko-ozbiljne bezbednosne ranjivosti u NGINX Plus i NGINX Open Source. Ranjivosti omogućavaju napada­čima bez autentifikacije da izazovu oštećenje memorije, pad radnih procesa ili čak izvršavanje proizvolj­nog koda na zahvaćenim sistemima. Ozbiljnosti se kreću od visokog do kritičnog nivoa prema CVSS skalama verzije 3.1 i 4.0.

Koga pogađa?

Organizacije koje koriste NGINX Plus verzije 37.x, NGINX Open Source verzije 1.x, kao i sve komponente napravljene na NGINX osnovi - Ingress Controller, Gateway Fabric, App Protect WAF i Instance Manager. NGINX predstavlja ozbiljnu infrastrukturu internet sajtova svetski, što čini ove ranjivosti kritičnim za veliki broj veb servisa i aplikacija.

Kako se zaštititi?

  • Hitno ažurirajte NGINX Plus na verziju 37.0.3.1 ili noviju
  • Ažurirajte NGINX Open Source na verziju 1.31.3 ili 1.30.4 ili noviju
  • Ažurirajte Ingress Controller, Gateway Fabric, App Protect WAF i Instance Manager prema dostupnim zakrkama za vašu granu
  • Ako koristite map direktive sa regex hvatanjem, prebacite se na imenovane regex hvate umesto neimenovanih
  • Onemogućite Server-Side Includes modul ako ga ne koristite aktivno
  • Redovno pratite sigurnosne saopštenja F5 za dodatne zakrpe

Tehnički detalji

CVE-2026-42533 - Heap Buffer Overflow (CVSS 8.1/9.2) - Najveća pretnja uključuje buffer overflow u NGINX radnom procesu koji može dovesti do izvršavanja koda ako je ASLR onemogućen. Problem nastaje zbog nepravilnog rukovanja map direktive sa regex hvatanjem capture promenljivih. Zahvaćeni su NGINX Plus 37.x i NGINX Open Source 1.x.

CVE-2026-60005 - Uninitialized Memory Disclosure (CVSS 8.2/8.8) - Ranjivost u ngx_http_slice_module omogućava pristup neinicijalizovanoj memoriji. Modul nije omogućen podrazumevanom i zahteva build flagove. Zahvata istu liniju proizvoda.

CVE-2026-56434 - Use-After-Free (CVSS 6.5/8.3) - Pogađa ngx_http_ssi_module kada se Server-Side Includes koriste sa proxy_pass i proxy_buffering isključenim. Man-in-the-middle napadač može izazvati use-after-free uz limitiranu mogućnost modifikovanja memorije ili pada servisa.

Preporuka Sajber Radara

Ako vaša organizacija koristi bilo koju verziju NGINX-a za kritične servise, hitnost ažuriranja je maksimalna - naročito ako koristi map direktive ili SSI modul. Preporučujemo da odmah proverite inventar infrastrukture i prioritizujete primenu zakrpi na sve javno dostupne NGINX instance.