F5 ha publicado actualizaciones fuera de ciclo para corregir vulnerabilidades críticas y de alta gravedad en NGINX y NGINX Gateway Fabric. Dos fallos con CVSS 9,2 permiten ataques remotos sin autenticación que pueden tumbar servicios y, en condiciones concretas, abrir la puerta a ejecución de código.
F5 publicó el 18 de junio de 2026 actualizaciones fuera de ciclo para corregir varios fallos de seguridad en NGINX, un pilar habitual en servidores web, proxies inversos y pasarelas de entrada. El aviso incluye dos vulnerabilidades críticas con CVSS 9,2 que un atacante puede activar de forma remota y sin autenticación, una combinación que obliga a priorizar el parcheo en servicios expuestos a Internet.
Los dos fallos más graves se identifican como CVE-2026-42530 y CVE-2026-42055. El primero permite desencadenar un use after free en módulos HTTP. El segundo provoca un desbordamiento de búfer en el heap también en módulos HTTP. En ambos casos, el efecto inmediato más probable es el reinicio del proceso worker de NGINX, lo que se traduce en denegación de servicio y caídas intermitentes que pueden resultar difíciles de diagnosticar si se confunden con problemas de carga.
El matiz inquietante llega con el escenario de explotación más ambicioso. Si ASLR está desactivado, o si un atacante logra sortear esa mitigación, estas vulnerabilidades pueden escalar desde una simple interrupción del servicio hasta la ejecución de código arbitrario. No es el camino más directo, pero convierte un fallo de disponibilidad en un riesgo potencial de toma de control.
El paquete de actualizaciones también cubre problemas en NGINX Gateway Fabric, un componente orientado a entornos Kubernetes. CVE-2026-11311 y CVE-2026-50107 permiten a atacantes autenticados inyectar directivas de configuración de NGINX. Ese tipo de inyección puede acabar exponiendo datos sensibles del sistema de ficheros del pod, desviando tráfico hacia destinos controlados por el atacante o bloqueando recargas de NGINX, otra vía para forzar una denegación de servicio.
Además, F5 corrige dos vulnerabilidades de gravedad media en NGINX que pueden divulgar contenido de memoria o provocar reinicios del proceso worker, con el consiguiente impacto en disponibilidad. En la información publicada no consta confirmación de explotación activa para CVE-2026-42530, CVE-2026-42055, CVE-2026-11311 y CVE-2026-50107, pero el vector remoto sin autenticación en los fallos críticos reduce el margen de maniobra.
La recomendación práctica es clara: actualizar NGINX Plus, NGINX Open Source y NGINX Gateway Fabric a las versiones corregidas publicadas por F5. Conviene comprobar también que ASLR permanece habilitado en los sistemas que ejecutan NGINX, porque desactivarlo eleva mucho el riesgo en caso de explotación. En el caso de NGINX Gateway Fabric, merece la pena revisar el control de acceso y la trazabilidad de cambios, ya que la inyección requiere autenticación y una buena supervisión puede acotar la ventana de abuso.
Más información
- securityweek.com – F5 Patches Critical, High-Severity NGINX Vulnerabilities : https://www.securityweek.com/f5-patches-critical-high-severity-nginx-vulnerabilities/
- docs.nginx.com – Releases NGINX Documentation : https://docs.nginx.com/nginx/releases/
Deja una respuesta