CVE-2026-42530

Nome do Software Vulnerável e Versões Afetadas NGINX Open Source versões 1.31.0 até 1.31.1

Descrição Uma falha de use-after-free existe no módulo ngx http v3 module quando o software está configurado para usar o módulo HTTP/3 QUIC. Um invasor remoto não autenticado pode usar uma sessão HTTP/3 especialmente criada para reabrir um fluxo de codificador QPACK, o que pode causar a reinicialização do processo worker do NGINX. Este problema também pode levar à execução de código em sistemas onde a Randomização do Layout do Espaço de Endereçamento (ASLR)—uma técnica de segurança que organiza aleatoriamente as posições do espaço de endereçamento de áreas de dados principais de um processo—está desativada ou é ignorada. A exploração depende de condições fora do controle do invasor.

Recomendações No momento, não há informações sobre uma versão mais recente que contenha a correção para esta vulnerabilidade.