PT-2026-6052 · F5+5 · F5 Big-Ip+7
Jan Schaumann
·
Publicado
2026-01-01
·
Atualizado
2026-06-03
·
CVE-2026-1642
CVSS v4.0
8.2
Alta
| Vetor | AV:N/AC:L/AT:P/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:X/R:X/V:X/RE:X/U:X |
Nome do Software Vulnerável e Versões Afetadas
NGINX OSS e NGINX Plus (versões afetadas não especificadas)
F5 BIG-IP (versões afetadas não especificadas)
Descrição
Existe uma falha no NGINX OSS e no NGINX Plus quando utilizados para fazer proxy para servidores upstream de Transport Layer Security (TLS). Um atacante posicionado em uma configuração de homem-no-meio (MITM) no lado do servidor upstream, juntamente com condições específicas fora do controle do atacante, pode ser capaz de injetar dados em texto simples na resposta de um servidor upstream proxyado. A F5 identificou vulnerabilidades no BIG-IP, NGINX e serviços de contêiner que criam riscos de negação de serviço, particularmente em ambientes de alto tráfego como firewalls de aplicação web e ingress do Kubernetes. Essas vulnerabilidades podem permitir que atacantes sobrecarreguem os serviços remotamente, causando interrupções na disponibilidade do serviço. Uma vulnerabilidade específica, CVE-2026-1642, permite ataques de negação de serviço adjacentes à rede por meio de solicitações manipuladas.
Recomendações
No momento, não há informações sobre uma versão mais recente que contenha uma correção para esta vulnerabilidade.
DoS
Insufficient Verification of Data Authenticity
Encontrou algum problema na descrição? Tem algo a acrescentar? Fique à vontade para nos escrever 👾
Identificadores relacionados
Produtos afetados
F5 Big-Ip
Linuxmint
Nginx Oss
Nginx Plus
Nginx
Red Os
Rocky Linux
Ubuntu