Im Mittelpunkt des Updates steht CVE-2026-42533 in NGINX Plus und NGINX Open Source. F5 beschreibt die Ursache als fehlerhaftes Verhalten, wenn eine map-Direktive reguläre Ausdrücke verwendet und ein Zeichenkettenausdruck auf die Regex-Erfassungsvariablen der map verweist, bevor auf die Ausgabevariable der map zugegriffen wird. Dasselbe Ergebnis könne unter bestimmten Bedingungen auch durch eine nicht zwischenspeicherbare Variable in einem Zeichenkettenausdruck erreicht werden.

Die Lücke ist laut F5 ohne Authentifizierung ausnutzbar, allerdings nur unter Bedingungen, die ein Angreifer nicht kontrollieren kann. Auf Systemen, auf denen die Address Space Layout Randomization (ASLR) deaktiviert ist, kann die Schwachstelle zur Ausführung von Code führen. Unabhängig davon kann sie einen Heap-Buffer-Overflow verursachen und den NGINX-Worker-Prozess neu starten.

Darüber hinaus beheben die Patches mehrere hochriskante NGINX-Fehler, darunter Schwachstellen in den Modulen ngx_http_slice_module und ngx_http_ssi_module, die sich ebenfalls ohne Authentifizierung ausnutzen lassen. Eine erfolgreiche Ausnutzung kann nach Angaben von F5 dazu führen, dass Speicherinhalte offengelegt werden, der NGINX-Worker-Prozess neu startet oder ein Use-after-free im NGINX-Worker-Prozess ausgelöst wird, um Speicher zu verändern oder den Prozess neu zu starten.

Zwei weitere hochriskante Schwachstellen betreffen den NGINX Ingress Controller. Authentifizierte Angreifer könnten darüber beliebige NGINX-Konfigurationsdirektiven einschleusen, um Dateien zu löschen und Dienste zu deaktivieren. Außerdem könnten sie Ingress- oder TransportServer-Ressourcen erstellen oder verändern und so einen Denial-of-Service-Zustand verursachen.

Auch BIG-IP ist von einer hochriskanten Schwachstelle betroffen. F5 zufolge kann ein entfernter, nicht authentifizierter Angreifer den Speicherverbrauch erhöhen, wenn auf einem virtuellen Server ein HTTP/2-Profil konfiguriert ist. Das kann in einem Denial-of-Service-Zustand enden.

F5 erwähnt nicht, dass eine der nun geschlossenen Schwachstellen bereits aktiv ausgenutzt wird. Weitere technische Details verweist das Unternehmen auf seine außerplanmäßige Sicherheitsmitteilung.