Die schwerwiegendsten der jetzt geschlossenen Lücken sind CVE-2026-42530 und CVE-2026-42055. F5 beschreibt beide als kritische Schwachstellen in HTTP-Modulen von NGINX. Die eine kann einen Use-after-free auslösen, die andere einen Heap-basierten Pufferüberlauf. Beide Angriffe sind laut Hersteller ohne Authentifizierung aus der Ferne möglich.
Im Erfolgsfall startet der NGINX-Worker-Prozess neu, was zu einem Denial-of-Service führt. F5 weist zudem darauf hin, dass unter bestimmten Bedingungen auch die Ausführung beliebigen Codes möglich ist: nämlich dann, wenn ASLR deaktiviert ist oder sich die Schutzfunktion umgehen lässt.
Bereitgestellt wurden abgesicherte Versionen für NGINX Plus, NGINX Open Source und NGINX Gateway Fabric. Die Updates erschienen laut F5 außerplanmäßig.
Zusätzlich hat das Unternehmen die beiden Schwachstellen CVE-2026-11311 und CVE-2026-50107 in NGINX Gateway Fabric behoben. Diese beiden Fehler stuft F5 als Schwachstellen mit hoher Schwere ein. Sie könnten authentifizierten Angreifern ermöglichen, beliebige NGINX-Konfigurationsdirektiven einzuschleusen.
F5 erläutert die möglichen Folgen dieser beiden Lücken genauer: Eine erfolgreiche Ausnutzung könne dazu führen, dass ein Angreifer sensible Daten aus dem Dateisystem des NGINX-Pods offenlegt, Datenverkehr an vom Angreifer kontrollierte Endpunkte weiterleitet oder einen Denial-of-Service verursacht, indem er eine Konfiguration einschleust, die das Neuladen von NGINX verhindert.
Darüber hinaus hat F5 noch zwei NGINX-Schwachstellen mittlerer Schwere gepatcht. Diese ermöglichen laut Unternehmen, dass entfernte Angreifer Speicherinhalte offenlegen oder den NGINX-Worker-Prozess neu starten und damit einen Denial-of-Service-Zustand auslösen.
Hinweise auf eine aktive Ausnutzung dieser Schwachstellen nennt F5 nicht. Das Unternehmen verweist für weitere Details auf seine Sicherheitsmitteilung. Zugleich heißt es im Bericht, dass NGINX zuletzt Ziel von Angriffen gewesen sei.