NGINX 1.31.2: aggiornamento straordinario risolve ulteriori vulnerabilità critiche in HTTP/3 e HTTP/2 (aggiornato: 19 giugno 2026, ore 08:56)

Quando il web server più diffuso al mondo presenta falle che permettono l'esecuzione di codice arbitrario da remoto, la questione smette di essere un bollettino di sicurezza qualsiasi e diventa un problema infrastrutturale su scala globale. È esattamente quello che è successo il 17 giugno 2026, quando F5 ha pubblicato un avviso straordinario - fuori dal consueto ciclo trimestrale - per correggere vulnerabilità multiple ad alta e critica severità che colpiscono NGINX Open Source, NGINX Plus, NGINX Gateway Fabric e altri componenti dell'ecosistema. Nessuna delle falle risulta sfruttata attivamente al momento della divulgazione, ma il profilo di rischio è tale che diversi CERT nazionali hanno immediatamente rilanciato l'allarme.

Due falle critiche, due protocolli moderni

Il cuore dell'avviso (identificativo K000161614, aggiornato il 18 giugno) ruota attorno a due vulnerabilità con punteggio CVSS v4.0 di 9.2 - soglia critica - entrambe sfruttabili da attaccanti remoti non autenticati e limitate al piano dati, senza esposizione del piano di controllo.

La prima, CVE-2026-42530, è un use-after-free nel modulo ngx_http_v3_module. Un attaccante può inviare traffico HTTP/3 appositamente confezionato per riaprire un flusso encoder QPACK, innescando l'uso di memoria già liberata nel processo worker di NGINX. Il risultato: crash ripetuti del worker - e quindi denial of service - oppure, nei sistemi in cui ASLR è disabilitato o aggirabile, esecuzione di codice arbitrario. F5 è stato diretto sul punto: «Questa vulnerabilità può consentire ad attaccanti remoti di provocare un denial of service sul sistema NGINX o di innescare potenzialmente l'esecuzione di codice. Non c'è esposizione del piano di controllo; si tratta esclusivamente di un problema sul piano dati».

Il prerequisito è che HTTP/3 con QUIC sia abilitato nella configurazione. Non è il comportamento predefinito, ma l'adozione di QUIC è in crescita costante negli ambienti di produzione - e questo amplia sensibilmente la superficie d'attacco reale. Le versioni colpite includono NGINX Open Source dalla 1.31.0 alla 1.31.1, NGINX Gateway Fabric dalla 2.0.0 alla 2.6.3 e NGINX Ingress Controller dalla 5.0.0 alla 5.5.0.

La seconda vulnerabilità critica, CVE-2026-42055, è un buffer overflow basato su heap nei moduli ngx_http_proxy_v2_module e ngx_http_grpc_module. L'attaccante invia header sovradimensionati tramite flussi HTTP/2 o gRPC, provocando corruzione della memoria nel processo worker. L'impatto è analogo - DoS o esecuzione di codice - ma le condizioni di sfruttamento sono più stringenti: serve che il proxy HTTP/2 sia attivo, che la validazione degli header sia disabilitata (ignore_invalid_headers off) e che large_client_header_buffers sia impostato su dimensioni insolitamente grandi. Le installazioni con configurazione predefinita non sono vulnerabili.

F5 lo ha esplicitato: «Questa vulnerabilità può consentire ad attaccanti remoti di provocare un denial of service sul sistema NGINX o di innescare potenzialmente l'esecuzione di codice; tuttavia, lo sfruttamento richiede una configurazione non predefinita».

Precedenti che pesano

Le vulnerabilità nei prodotti F5 hanno una storia di sfruttamento attivo da parte di gruppi criminali e attori statali.

» Leggi: Nuova vulnerabilità NGINX "Rift": un bug critico nascosto da 18 anni nel modulo rewrite consente l'esecuzione di codice da remoto

Nessuna delle vulnerabilità NGINX attuali è stata osservata in fase di sfruttamento attivo. Il precedente storico spiega però perché i CERT nazionali abbiano reagito con urgenza: il tempo tra la pubblicazione di un avviso e la comparsa di exploit funzionanti si è accorciato drasticamente negli ultimi anni.

Cosa fare, adesso

Le versioni corrette sono già disponibili: NGINX Open Source 1.31.2 (e 1.30.3 per il ramo stabile precedente), NGINX Plus 37.0.2.1 e NGINX Gateway Fabric 2.6.4. L'aggiornamento è la risposta definitiva.

Per chi non può applicare le patch immediatamente, F5 indica mitigazioni intermedie concrete:

• Per CVE-2026-42530: rimuovere quic da tutte le direttive listen, disabilitando di fatto HTTP/3.
• Per CVE-2026-42055: eliminare la direttiva ignore_invalid_headers off e ridurre il valore di large_client_header_buffers al di sotto di 2 MB.
• In generale: limitare l'esposizione di HTTP/2 e gRPC, applicare controlli di accesso e monitorare le notifiche di sicurezza di F5 per eventuali aggiornamenti successivi.

Il messaggio è semplice: se avete NGINX esposto a Internet con HTTP/3 abilitato, la finestra per agire è ora. Le condizioni per CVE-2026-42530 - remoto, non autenticato, nessun requisito di configurazione particolare oltre a QUIC attivo - sono esattamente il tipo di combinazione che attira attenzione rapida da parte di chi sviluppa exploit. Non aspettate il prossimo bollettino trimestrale.

Fonti: bleepingcomputer.com, securityweek.com, gbhackers.com