Компанія F5 випустила термінові оновлення безпеки для усунення двох критичних помилок у вебсервері NGINX Open Source. Обидві проблеми отримали оцінку 9.2 за шкалою CVSS v4 і дозволяють віддаленим зловмисникам без авторизації виконувати довільний код на серверах. Перша вразливість пов’язана з обробкою протоколу HTTP/3, де спеціально сформована сесія викликає збій пам’яті через модуль архівації заголовків QPACK.

Друга помилка є переповненням буфера в модулях проксіювання трафіку HTTP/2 та gRPC. Вона спрацьовує, якщо в налаштуваннях вимкнено ігнорування некоректних заголовків, а розмір буфера перевищує 2 МБ. F5 підтвердила випуск виправлень для NGINX Open Source, NGINX Plus та контролерів Gateway Fabric. Попередній аналогічний дефект місячної давнини хакери почали активно експлуатувати вже за кілька днів після релізу.