Разработчики F5 выпустили внеплановые патчи для двух критических уязвимостей NGINX (CVE‑2026‑42530 и CVE‑2026‑42055) с оценкой 9,2 по CVSS. Первая – use‑after‑free в модуле ngx_http_v3_module, эксплуатируется через специально сформированную HTTP/3‑сессию; вторая – переполнение буфера в модулях proxy_v2 и grpc, активируется при проксировании HTTP/2 с параметрами ignore_invalid_headers off и large_client_header_buffers > 2 МБ. Оба бага позволяют неаутентифицированному атакующему вызвать DoS или выполнить произвольный код, особенно при отключённом ASLR. Исправления включены в NGINX Open Source 1.31.2 (и ветки 1.30.3, Plus 37.0.2.1, Gateway Fabric 2.6.4); до их установки рекомендуется отключить HTTP/3 и/или изменить параметры ignore_invalid_headers и large_client_header_buffers.
