3 kritische Sicherheitslücken in NGINX-Produkten
- Sicherheitshinweis
Die CSBW warnt vor 3 kritischen Schwachstellen in den Produkten NGINX Open Source, Plus, Gateway Fabric und Ingress Controller. Der Hersteller F5 stellt abgesicherte Versionen zur Verfügung, die die Lücken schließen.
© Timon - stock.adobe.com
Code-Ausführung möglich
Das Unternehmen F5 veröffentlichte am 22. Mai und am 17. Juni 2026 insgesamt drei Warnmeldungen zu den folgenden kritischen Sicherheitslücken in seinen Produkten NGINX Open Source, NGINX Plus, NGINX Gateway Fabric und NGINX Ingress Controller:
- CVE-2026-42530 (EUVD-2026-37717) mit einem CVSS-Score von 9.2/10 ermöglicht Angreifenden, Systemneustarts herbeizuführen und im Nachgang maliziösen Code auszuführen.
- CVE-2026-42055 (EUVD-2026-37718) mit einem CVSS-Score von 9.2/10 ermöglicht Angreifenden, Heap-Based-Buffer Overflows herbeizuführen und im Nachgang maliziösen Code auszuführen.
- CVE-2026-9256 (EUVD-2026-31444) mit einem CVSS-Score von 9.2/10 ermöglicht Angreifenden ebenfalls, Heap-Based-Buffer Overflows herbeizuführen und im Nachgang maliziösen Code auszuführen.
Mit den nachfolgenden Versionen des jeweiligen Produkts schließt F5 die Lücken:
- NGINX Plus 37.0.2.1 oder R36 P6 (je nach Konfiguration)
- NGINX Open Source 1.31.2
- NGINX Gateway Fabric 2.6.4
- NGINX Ingress Controller 5.5.1
Empfehlungen
Installieren Sie umgehend die folgenden Versionen des jeweiligen Produkts:
- NGINX Plus 37.0.2.1 oder R36 P6 (je nach Konfiguration)
- NGINX Open Source 1.31.2
- NGINX Gateway Fabric 2.6.4
- NGINX Ingress Controller 5.5.1