أصدرت شركة F5 تحديثات أمنية لمعالجة ثغرتين بالغتي الخطورة في NGINX Open Source، يمكن استغلالهما لتنفيذ تعليمات برمجية عن بُعد على الأنظمة المتأثرة. هذه الثغرات تحمل تصنيفًا عاليًا بخطورة 9.2 وفق معيار CVSS v4، ما يجعلها من بين أكثر التهديدات إلحاحًا في البنية التحتية السحابية والأنظمة المؤسسية.
تفاصيل الثغرات الأمنية
- CVE-2026-42530: ثغرة use-after-free في وحدة ngx_http_v3_module، يمكن استغلالها عبر جلسة HTTP/3 مصممة خصيصًا لإعادة فتح تدفق QPACK encoder. الهجوم يصبح ممكنًا على الأنظمة التي تم تعطيل فيها ASLR أو عند قدرة المهاجم على تجاوزها.
- CVE-2026-42055: ثغرة heap-based buffer overflow في وحدات ngx_http_proxy_v2_module وngx_http_grpc_module، تُستغل عند استخدام توجيهات proxy_http_version=2 أو grpc_pass مع تعطيل ignore_invalid_headers وضبط large_client_header_buffers بأكثر من 2 ميغابايت. هذا السيناريو يتيح تنفيذ تعليمات برمجية خبيثة في حال تعطيل أو تجاوز ASLR.
الإصدارات المتأثرة والتحديثات
- بالنسبة لـ CVE-2026-42530، تم إصلاح الثغرة في NGINX Open Source 1.31.2، إضافة إلى تحديثات في NGINX Gateway Fabric وNGINX Ingress Controller وInstance Manager.
- أما CVE-2026-42055، فقد شملت الإصلاحات NGINX Plus 37.0.2.1، وNGINX Open Source 1.30.3 و1.31.2، إلى جانب منتجات مثل F5 WAF for NGINX وNGINX App Protect WAF وNGINX App Protect DoS.
إجراءات التخفيف المؤقتة
- بالنسبة لـ CVE-2026-42530: ينصح بتعطيل بروتوكول HTTP/3 لحين تطبيق التحديثات.
- بالنسبة لـ CVE-2026-42055: إزالة توجيه ignore_invalid_headers=off من الإعدادات أو تقليل حجم large_client_header_buffers إلى أقل من 2 ميغابايت.
خلفيات الاستغلال السابق
ورغم أن F5 لم تشر إلى وجود استغلال نشط لهذه الثغرات حتى الآن، إلا أن تاريخ منتجاتها يظهر تعرضها المتكرر لهجمات استغلالية. ففي الشهر الماضي فقط، تم استغلال ثغرة حرجة أخرى في NGINX Plus وNGINX Open Source (CVE-2026-42945 والمعروفة باسم NGINX Rift) بعد أيام قليلة من الكشف عنها علنًا، ما يبرز الحاجة الملحة لتطبيق التحديثات فورًا وعدم الاعتماد على إجراءات التخفيف المؤقتة.






























