CVE-2026-42530: Grave Vulnerabilità in NGINX HTTP/3 Può Causare DoS e Possibile RCE

F5 ha rilasciato aggiornamenti di sicurezza out-of-band per affrontare diverse vulnerabilità di NGINX, tra cui CVE-2026-42530, un problema critico nel modulo ngx_http_v3_module che può essere sfruttato da un attaccante remoto non autenticato. Il difetto è una condizione use-after-free nell’implementazione HTTP/3 di NGINX che può causare il riavvio dei processi worker e il denial of service, e in ambienti in cui l’ASLR è disabilitato o può essere bypassato, può anche aprire la strada all’esecuzione arbitraria di codice.

La questione è particolarmente importante perché interessa le deployment NGINX esposte a internet che utilizzano HTTP/3 QUIC, che sempre più spesso si trovano al margine dell’infrastruttura web moderna. Segnalazioni pubbliche evidenziano anche un secondo bug critico, CVE-2026-42055, nei moduli ngx_http_proxy_v2_module e ngx_http_grpc_module, rafforzando l’urgenza più ampia rispetto alla necessità di aggiornare le attuali release di NGINX.

Esplora Rilevamenti

Analisi di CVE-2026-42530

Per l’analisi di CVE-2026-42530, il problema centrale è un bug use-after-free nel modulo ngx_http_v3_module. Secondo quanto segnalato pubblicamente, un attaccante remoto può attivare il difetto riaprendo uno stream encoder QPACK tramite una sessione HTTP/3 appositamente costruita quando NGINX Open Source è configurato per utilizzare il modulo HTTP/3 QUIC. Se riuscito, l’attacco può costringere il processo worker di NGINX a riavviare, creando una condizione di denial of service.

La CVE-2026-42530 diventa più grave in ambienti indeboliti o meno solidi. F5 afferma che l’esecuzione arbitraria di codice è possibile se l’ASLR è disabilitato o se un attaccante può aggirarlo, rendendo il difetto più di un semplice problema di stabilità in alcune installazioni.

La CVE-2026-42530 è una vulnerabilità più circoscritta di quanto suggerisce un titolo generico “tutti i server NGINX sono vulnerabili”. Le versioni Open Source affette sono 1.31.0 e 1.31.1, e l’esposizione dipende dall’attivazione del supporto HTTP/3. Al contrario, il difetto correlato CVE-2026-42055 interessa il percorso proxy HTTP/2 e gRPC sotto un insieme separato di condizioni, inclusi uso delle proxy_http_version 2 o grpc_pass.

Al momento della stesura, le fonti citate non indicano una PoC pubblica per CVE-2026-42530 o IoC concreti per CVE-2026-42530. I dettagli attualmente disponibili per CVE-2026-42530 si concentrano sul modulo vulnerabile, le versioni affette e le condizioni che aumentano la probabilità di esecuzione di codice oltre i semplici crash dei worker.

Mitigazione di CVE-2026-42530

La mitigazione più efficace per CVE-2026-42530 è l’aggiornamento immediato a una release corretta. Per NGINX Open Source, ciò significa passare alla versione 1.31.2 o successiva. Le organizzazioni che utilizzano distribuzioni supportate da F5 come NGINX Plus e altri prodotti correlati dovrebbero applicare gli aggiornamenti di sicurezza emessi dal fornitore il prima possibile.

Per il rilevamento di CVE-2026-42530, i difensori dovrebbero prima inventariare tutti i sistemi NGINX e determinare se HTTP/3 QUIC è abilitato. I team di sicurezza dovrebbero dare priorità ai sistemi connessi a internet che eseguono NGINX Open Source 1.31.0 o 1.31.1, specialmente dove HTTP/3 è esposto a client non attendibili.

Per proteggere l’ambiente mentre l’installazione delle patch è in corso, i team dovrebbero anche rivedere se HTTP/3 sia necessario su ogni servizio esposto e limitare l’esposizione a protocolli non necessari dove possibile. Poiché le segnalazioni pubbliche non forniscono indicatori di sfruttamento stabili, il modo più pratico per rilevare il rischio è identificare versioni e configurazioni vulnerabili piuttosto che fare affidamento solo sul rilevamento basato su firme.