A F5, empresa responsável pelo NGINX, divulgou correções para três vulnerabilidades de alta gravidade que afetam componentes usados em servidores web, balanceamento de carga e proteção de aplicações.
As falhas foram publicadas em 15 de julho de 2026 e atingem produtos amplamente usados em infraestrutura web, incluindo NGINX Ingress Controller, Gateway Fabric, App Protect WAF e Instance Manager.
A vulnerabilidade mais grave é a CVE-2026-42533, que recebeu pontuação CVSS 8.1 na versão 3.1 e 9.2 na versão 4.0. O problema envolve uma falha de memória acionada por requisições HTTP especialmente criadas.
Em caso de exploração, o processo responsável por atender conexões pode travar. A F5 também alerta que, se certas proteções do sistema estiverem desativadas ou forem contornadas, o invasor pode conseguir executar código no servidor afetado.
As versões corrigidas incluem NGINX Plus 37.0.3.1 e NGINX Open Source 1.31.3 e 1.30.4. Componentes relacionados, como Ingress Controller e Gateway Fabric, também recebem correções conforme cada linha de versão. As empresas devem atualizar as instalações vulneráveis, e revisar configurações com diretivas de mapa e processos do NGINX.



