أطلقت شركة F5 تحديثات أمنية طارئة لمعالجة ثغرتين أمنيتين شديدتي الخطورة في برنامج NGINX Open Source. تتيح هاتان الثغرتان للمهاجمين غير المصرح لهم تنفيذ برمجيات خبيثة عن بُعد على الأنظمة المتضررة، وذلك ضمن ظروف تشغيلية وبيئات عمل محددة.
يكمن الخلل في الثغرة الأولى (CVE-2026-42530 بتقييم CVSS 4.0 عند 9.2) في معالجة الذاكرة من نوع (Use-after-Free) داخل وحدة ngx_http_v3_module. ويحدث الاستغلال عندما يكون خادم NGINX Open Source مفعلاً للعمل بوحدة HTTP/3 QUIC؛ حيث يستغل المهاجم جلسة بروتوكول HTTP/3 مصممة خصيصاً لإعادة فتح مسار مشفر QPACK encoder، يتسبب في انهيار عملية التشغيل الفردية (NGINX worker)، أو الوصول إلى صلاحية تنفيذ الأوامر عن بعد في حال إيقاف تفعيل ميزة توزيع مساحة عنوان الذاكرة العشوائي أو النجاح في تخطيها.
أما الثغرة الثانية (CVE-2026-42055 بتقييم CVSS 4.0 عند 9.2) فتعود إلى فيضان في المخزن المؤقت للذاكرة ضمن وحدتي التشغيل ngx_http_proxy_v2_module وngx_http_grpc_module. ويتطلب نجاح هذا الهجوم توفر إعدادات هيكلية معينة في الخادم، مثل تعيين التوجيه proxy_http_version 2.0 أو استخدام grpc_pass لتمرير حركة مرور البيانات الخاصة ببروتوكول HTTP/2، شريطة تعطيل خاصية تجاهل الرؤوس غير الصالحة (ignore_invalid_headers)، وتجاوز حجم سعة المخازن المؤقتة لرؤوس العملاء حاجز 2 ميغابايت.
شملت المعالجات التقنية إطلاق الإصدارين الآمنين NGINX Open Source 1.31.2 و1.30.3 بناء على خطوط الإصدارات المتأثرة. وامتدت التحديثات والإصدارات المصححة لتغطي المنتجات والأنظمة المرتبطة بالمنظومة، ومنها NGINX Plus، وNGINX Gateway Fabric، ومكونات مختارة من وحاويات NGINX Ingress Controller، بالإضافة إلى NGINX Instance Manager، ونظام الحماية F5 WAF for NGINX.
وفرت شركة F5 حلولاً بديلة وتدابير وقائية مؤقتة للمؤسسات التي تواجه صعوبة في ترقية أنظمتها بشكل فوري. وتتضمن هذه الخطوات إيقاف تشغيل بروتوكول HTTP/3 لتحييد مخاطر الثغرة الأولى، إلى جانب حذف توجيه إيقاف فحص الرؤوس أو تقليص حجم الذاكرة المخصصة للتوجيه ليكون دون 2 ميغابايت، وذلك للوقاية من مخاطر الثغرة الثانية.
وعلى الرغم من غياب المؤشرات الحالية التي تثبت استغلال هاتين الثغرتين في هجمات فعلية، فإن مستوى الخطورة المرتفع وطبيعة عمل الأنظمة المستهدفة يفرضان ضرورة الإسراع في تطبيق هذه التحديثات. وتتضاعف هذه الأهمية في بيئات العمل الرقمية التي تعتمد على خوادم NGINX كبوابات للتطبيقات، أو كخوادم وكيلة عكسية، وكذلك ضمن بيئات الحوسبة السحابية والحاويات البرمجية التي تدمج مكونات NGINX في بنيتها التحتية.
