Las nuevas vulnerabilidades afectan a componentes clave del servidor web.
Los administradores de sistemas que utilizan NGINX deberían revisar cuanto antes el estado de sus servidores tras la publicación de varias actualizaciones de seguridad que corrigen vulnerabilidades críticas, algunas de ellas con posibilidad de derivar en ejecución remota de código (RCE) en determinadas configuraciones.
Las correcciones, distribuidas por F5, afectan tanto a NGINX Open Source como a NGINX Plus y abarcan distintos módulos relacionados con HTTP/2, HTTP/3 y gRPC. Debido a su severidad, la compañía ha publicado estos parches mediante una actualización extraordinaria (out-of-band), un mecanismo reservado para incidencias que requieren una respuesta inmediata.
Dos vulnerabilidades críticas
Las vulnerabilidades más relevantes son CVE-2026-42530 y CVE-2026-42055, ambas con una puntuación CVSS de 9.2, lo que las sitúa dentro de la categoría de criticidad alta.
La primera afecta al módulo ngx_http_v3_module, encargado de la implementación de HTTP/3. Se trata de un error de tipo use-after-free que puede provocar la caída de los procesos de trabajo (worker processes) y, en determinados escenarios donde las protecciones de memoria estén deshabilitadas o puedan ser eludidas, abrir la puerta a la ejecución de código arbitrario.
La segunda vulnerabilidad reside en los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module. En este caso, un desbordamiento de búfer en el heap puede ser explotado por un atacante remoto sin necesidad de autenticación cuando concurren determinadas configuraciones relacionadas con HTTP/2, el uso de gRPC y parámetros específicos del servidor.
La configuración determina el nivel de exposición
A diferencia de otras vulnerabilidades que afectan a todas las instalaciones por igual, estos fallos únicamente son explotables cuando se cumplen determinadas condiciones de configuración.
Por ejemplo, CVE-2026-42530 requiere que el servidor tenga habilitado HTTP/3, mientras que CVE-2026-42055 depende del uso de funciones de proxy HTTP/2 o gRPC junto con determinados parámetros avanzados de configuración.
Esto significa que no todas las instalaciones de NGINX presentan el mismo nivel de riesgo, aunque los fabricantes recomiendan aplicar igualmente las actualizaciones de seguridad para eliminar cualquier posibilidad de explotación.
Versiones corregidas
Las correcciones ya están disponibles en las versiones más recientes del software.
En el caso de NGINX Open Source, las vulnerabilidades han sido solucionadas en las versiones 1.31.2 y 1.30.3, dependiendo de la rama utilizada. Asimismo, F5 ha publicado actualizaciones para distintos productos basados en NGINX, entre ellos NGINX Plus, NGINX Ingress Controller, NGINX Gateway Fabric, NGINX Instance Manager y las soluciones NGINX App Protect y F5 WAF for NGINX.
Recomendaciones para administradores
La medida prioritaria consiste en actualizar NGINX a una versión corregida siguiendo las recomendaciones del fabricante.
Mientras la actualización no pueda realizarse, F5 propone algunas medidas de mitigación temporales:
- Deshabilitar HTTP/3 en aquellos servidores donde no sea imprescindible, reduciendo la exposición a CVE-2026-42530.
Revisar la configuración de los servicios que utilizan HTTP/2 y gRPC, eliminando configuraciones especialmente permisivas relacionadas con las cabeceras HTTP cuando sea posible.
Un recordatorio sobre la importancia de mantener actualizado el software de infraestructura
NGINX continúa siendo uno de los servidores web y reverse proxy más utilizados en Internet, formando parte de la infraestructura de millones de sitios web, aplicaciones corporativas, plataformas de comercio electrónico y servicios en la nube.
Aunque por el momento no existen evidencias públicas de explotación activa de estas vulnerabilidades, la publicación de los detalles técnicos incrementa significativamente la probabilidad de que aparezcan herramientas de ataque en las próximas semanas. Por ello, las organizaciones que utilicen NGINX, especialmente en servicios expuestos a Internet, deberían verificar la versión instalada y planificar la actualización con la mayor prioridad posible.
