PT-2026-60178 · F5 · Nginx Plus+1

CVE-2026-42533

·

Publicado

2026-07-15

·

Atualizado

2026-07-16

CVSS v3.1

8.1

Alta

VetorAV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H
Nome do Software Vulnerável e Versões Afetadas NGINX Plus versões anteriores a 37.0.3.1 NGINX Open Source versões anteriores a 1.31.3 NGINX Open Source versões anteriores a 1.30.4 NGINX Ingress Controller (versões afetadas não especificadas) Gateway Fabric (versões afetadas não especificadas) App Protect WAF (versões afetadas não especificadas) Instance Manager (versões afetadas não especificadas)
Description Um problema ocorre quando uma diretiva map utiliza correspondência de regex e uma expressão de string referencia as variáveis de captura de regex do mapa antes de referenciar a variável de saída do mapa. Isso também pode acontecer ao usar uma variável não cacheável em uma expressão de string sob certas condições. Um invasor não autenticado pode explorar isso enviando requisições HTTP manipuladas, potencialmente causando um estouro de buffer de heap (heap buffer overflow) no processo worker do NGINX. Isso pode resultar em uma negação de serviço (DoS) através do reinício do processo ou permitir a execução remota de código em sistemas onde o Address Space Layout Randomization (ASLR)—uma técnica de segurança que randomiza endereços de memória para evitar explorações—está desativado ou é contornado.
Recommendations Atualize o NGINX Plus para a versão 37.0.3.1. Atualize o NGINX Open Source para a versão 1.31.3. Atualize o NGINX Open Source para a versão 1.30.4. Como mitigação temporária, altere para capturas de regex nomeadas. No momento, não há informações sobre uma versão mais recente que contenha a correção para NGINX Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager.

Correção

DoS

RCE

Heap Based Buffer Overflow

Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾

Enumeração de Fraquezas

Identificadores relacionados

CVE-2026-42533

Produtos afetados

Nginx Open Source
Nginx Plus