Origine : bjCSIRT

Numéro : 2026/ALERTE/058

APERÇU :

De multiples vulnérabilités ont été découvertes dans NGINX, permettant à un acteur malveillant non authentifié d’exécuter du code arbitraire à distance et de provoquer une interruption du service.

DESCRIPTION

NGINX est un serveur web et un proxy inverse open source, également utilisé comme répartiteur de charge et cache HTTP, et largement déployé pour l’hébergement de sites web et la diffusion d’applications.

Cette solution est affectée par plusieurs vulnérabilités libellées comme suit :

CVE-2026-42530 : Cette vulnérabilité est due à une utilisation de mémoire après libération (use-after-free) au sein du module QUIC HTTP/3 (ngx_http_v3_module). L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer le redémarrage du processus worker et d’exécuter du code arbitraire à distance.

Elle est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1.

CVE-2026-42055 : Cette vulnérabilité résulte d’un débordement de tampon dans le tas (heap buffer overflow) au sein des modules ngx_http_proxy_v2_module et ngx_http_grpc_module lors du relais de trafic HTTP/2. L’exploitation de cette vulnérabilité permettrait à un acteur malveillant non authentifié de provoquer le redémarrage du processus worker et d’excuter du code arbitraire à distance.

Elle est classée élevée avec un score de sévérité de 8.1 selon le CVSS v3.1.

IMPACT

• Exécution de code arbitraire à distance;
• Compromission du serveur web;
• Atteinte à la confidentialité, à l’intégrité et à la disponibilité des données.

SYSTEMES AFFECTÉS 

• CVE-2026-42530 : NGINX Open Source versions 1.31.0 à 1.31.1 ;
• CVE-2026-42055 : NGINX Plus et NGINX Open Source versions 1.13.10 à 1.31.1.

 MESURES À PRENDRE :

• Mettre à jour NGINX (Open Source et Plus) vers la dernière version stable corrigée en fonction de la branche déployée ;
• Restreindre ou désactiver les modules HTTP/3 (QUIC) et HTTP/2 s’ils ne sont pas nécessaires ;
• Faire une revue des journaux afin de détecter toute activité anormale ou tout redémarrage inattendu des processus worker.

RÉFÉRENCES :

• https://nginx.org/en/security_advisories.html
• https://my.f5.com/manage/s/article/K000161614
• https://my.f5.com/manage/s/article/K000161616
• https://nvd.nist.gov/vuln/detail/CVE-2026-42530
• https://nvd.nist.gov/vuln/detail/CVE-2026-42055