CVE-2026-42530

Nome do Software Vulnerável e Versões Afetadas NGINX Open Source versões 1.31.0 a 1.31.1

Description Uma falha de use-after-free existe no módulo ngx http v3 module quando o NGINX Open Source está configurado para usar o módulo HTTP/3 QUIC. Um invasor remoto não autenticado pode usar uma sessão HTTP/3 especialmente criada para reabrir um fluxo de codificador QPACK, o que pode causar a reinicialização do processo worker do NGINX, resultando em uma negação de serviço. Além disso, este problema pode levar à execução remota de código em sistemas onde a Randomização do Layout do Espaço de Endereçamento (ASLR)—uma técnica de segurança que organiza aleatoriamente as posições do espaço de endereçamento de áreas de dados importantes de um processo—está desativada ou pode ser burlada. A exploração depende de certas condições fora do controle do invasor.

Recommendations Atualize para a versão 1.31.2. Como medida paliativa temporária, considere desativar o módulo ngx http v3 module para minimizar o risco de exploração.