F5 lanza alerta urgente para NGINX y BIG-IP tras seis CVE y dos parches de emergencia
Vulnerabilidades afectan a casi toda la gama de productos NGINX de F5.
F5 emitió una advertencia de seguridad no programada para varios productos relacionados con NGINX y BIG-IP. La empresa describió seis vulnerabilidades, algunas de las cuales recibieron una alta calificación de gravedad y ya fueron corregidas en versiones nuevas.
El problema principal afecta al módulo ngx_http_v3_module en NGINX Open Source. La vulnerabilidad CVE-2026-42530 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical). El fallo afecta a las versiones NGINX Open Source 1.31.0 y 1.31.1, y la vulnerabilidad se solucionó en la versión 1.31.2. También se vieron afectados NGINX Instance Manager, NGINX Gateway Fabric y NGINX Ingress Controller.
Otra, CVE-2026-42055 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N — 9.2 Critical), está relacionada con los módulos ngx_http_proxy_v2_module y ngx_http_grpc_module. El problema afecta a NGINX Plus, NGINX Open Source, NGINX Instance Manager, F5 WAF for NGINX, NGINX App Protect WAF, F5 DoS for NGINX, NGINX App Protect DoS, NGINX Gateway Fabric y NGINX Ingress Controller. La vulnerabilidad se cerró en NGINX Open Source versiones 1.31.2 y 1.30.3, y para NGINX Plus en 37.0.2.1 y R36 P6.
Además, F5 informó sobre dos vulnerabilidades en NGINX Gateway Fabric. CVE-2026-11311 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) afecta a las versiones 2.5.0–2.6.3, y CVE-2026-50107 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N — 8.6 High) a las versiones 2.3.0–2.6.3. Ambos problemas se solucionaron en NGINX Gateway Fabric 2.6.4.
Otras dos:
CVE-2026-48142 (CVSS:4.0/AV:N/AC:H/AT:N/PR:N/UI:N/VC:L/VI:N/VA:L/SC:N/SI:N/SA:N — 6.3 Medium) está relacionada con el módulo ngx_http_charset_module y afecta a NGINX Plus, NGINX Open Source, NGINX Instance Manager, las soluciones de protección para NGINX, NGINX Gateway Fabric y NGINX Ingress Controller.
CVE-2026-32682 (CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N — 7.1 High) afecta a NGINX Gateway Fabric en las versiones 1.3.0–1.6.2 y 2.0.0–2.6.3. También se solucionó en la versión 2.6.4.
F5 precisó que comprobó solo las versiones de los productos que aún no han alcanzado el fin del soporte técnico. A los administradores se les recomienda verificar las versiones en uso con la lista publicada e instalar las actualizaciones disponibles, especialmente en sistemas donde NGINX y los componentes relacionados funcionan en el perímetro externo o atienden servicios críticos.