Planetahost VPS
Перейти к основному контенту

Уязвимость в NGINX HTTP/3 (CVE-2026-42530)

intro_uyazvimost_v_nginx_http_3_cve_2026_42530_planetahost.png

Информация об уязвимости
Дата публикации 17 июня 2026
CVE CVE-2026-42530
Продукт NGINX Open Source
Затронутый компонент ngx_http_v3_module (HTTP/3 / QUIC)
Тип уязвимости Use-After-Free (CWE-416)
Уровень опасности Высокий
Вектор атаки Удалённо через HTTP/3 (QUIC)
Требуется аутентификация Нет
Уязвимые версии NGINX Open Source 1.31.0–1.31.1 (при использовании HTTP/3)
Исправлено в NGINX Open Source 1.31.2

Введение

В веб-сервере NGINX Open Source обнаружена уязвимость CVE-2026-42530, затрагивающая модуль HTTP/3 (QUIC).

Проблема позволяет удалённому неаутентифицированному злоумышленнику вызвать аварийное завершение рабочего процесса NGINX. В определённых условиях, например при отключённой технологии ASLR или возможности её обхода, эксплуатация также может привести к выполнению произвольного кода на сервере.

Что произошло

Уязвимость вызвана ошибкой типа Use-After-Free в модуле ngx_http_v3_module.

При обработке специально сформированной HTTP/3-сессии сервер некорректно повторно открывает поток кодировщика QPACK, после чего обращается к уже освобождённой области памяти.

Это приводит к повреждению памяти процесса NGINX и аварийному завершению рабочего процесса. При благоприятных для атакующего условиях ошибка может использоваться для выполнения произвольного кода.

Особенности эксплуатации

Для успешной атаки должны выполняться следующие условия:

  • используется NGINX Open Source версии 1.31.0 или 1.31.1;
  • включена поддержка HTTP/3 (QUIC);
  • сервер доступен по HTTP/3 из сети.

Важно отметить, что HTTP/3 не включён в NGINX по умолчанию. Уязвимость затрагивает только серверы, где администратор явно активировал поддержку QUIC в конфигурации.

Почему это опасно

Основным последствием эксплуатации является отказ в обслуживании (DoS), поскольку рабочий процесс NGINX аварийно завершается и перезапускается.

Однако на системах, где отключена технология рандомизации адресного пространства (ASLR) или существуют способы её обхода, исследователи допускают возможность выполнения произвольного кода.

Наибольшему риску подвержены:

  • публичные веб-серверы;
  • API-сервисы;
  • обратные прокси;
  • балансировщики нагрузки;
  • инфраструктура, использующая HTTP/3 для обслуживания клиентов.
Решение

Уязвимость устранена в NGINX Open Source 1.31.2.

Рекомендуемые действия:

  • обновить NGINX до версии 1.31.2 или новее;
  • если HTTP/3 не используется - отключить модуль QUIC;
  • убедиться, что на сервере включена технология ASLR;
  • контролировать журналы на наличие аномального количества HTTP/3-соединений;
  • при необходимости временно отключить поддержку HTTP/3 до установки обновления.

Дополнительно

Уязвимость затрагивает исключительно модуль HTTP/3 (QUIC). Серверы NGINX, работающие только по HTTP/1.1 или HTTP/2 без включённого HTTP/3, данной проблеме не подвержены.

На момент публикации подтверждённых случаев эксплуатации CVE-2026-42530 в реальных атаках не зафиксировано. Тем не менее администраторам рекомендуется установить обновление как можно скорее, особенно если HTTP/3 уже используется на публичных сервисах.

Наверх