El 17 de juny de 2026 nginx va publicar una correcció per a CVE-2026-42055, un desbordament de buffer al heap que apareix quan el servidor fa de proxy de trànsit HTTP/2 cap a un backend. El problema és a dos mòduls concrets: ngx_http_proxy_v2_module, que parla HTTP/2 amb l’upstream quan es fa servir proxy_http_version 2, i ngx_http_grpc_module, que s’encarrega del grpc_pass.
Què falla exactament
Quan nginx construeix la petició cap al backend, gestiona malament les capçaleres de mida gran. Si un client remot i sense autenticar envia capçaleres prou grans, aquestes dades acaben provocant un desbordament de buffer basat en heap dins del procés worker. L’efecte immediat és la caiguda i el reinici del worker, és a dir, una denegació de servei. A les màquines on ASLR està deshabilitat, o on un atacant aconsegueix esquivar aquesta protecció, el desbordament pot arribar a permetre execució de codi.
No és una configuració per defecte. Perquè la condició es dispari calen diversos ingredients alhora segons l’avís de F5: que el proxy cap a l’upstream faci servir HTTP/2 (proxy_http_version 2) o gRPC, que ignore_invalid_headers estigui a off i que large_client_header_buffers estigui configurat per sobre de 2 MB. Si el teu nginx fa de proxy invers clàssic en HTTP/1.1, aquest camí de codi ni tan sols s’activa.
A qui afecta
El problema és present a nginx Open Source des de la 1.13.10 fins a la 1.31.1, i també a NGINX Plus quan es compleix la configuració descrita. Val la pena revisar qualsevol desplegament que faci de passarel·la gRPC o que faci de proxy d’aplicacions modernes per HTTP/2 cap al backend, perquè és aquí on es concentra el risc real.
La gravetat s’ha catalogat com a mitjana. No és un RCE garantit contra qualsevol instal·lació, però un reinici repetit del worker n’hi ha prou per tombar un servei exposat, i el component és accessible sense credencials.
Com protegir-se
La via neta és actualitzar. F5 corregeix el problema a la branca estable 1.31.2 i a la branca mainline anterior 1.30.3. A Ubuntu, Canonical va publicar el paquet corregit a USN-8458-1, cobrint les versions amb suport (26.04, 25.10, 24.04 LTS i 22.04 LTS); n’hi ha prou amb aplicar les actualitzacions de seguretat habituals i recarregar el servei.
Si no pots aplicar el pedaç de seguida, mira la configuració abans de res. Baixar large_client_header_buffers al seu valor per defecte, deixar ignore_invalid_headers a on o evitar el proxy HTTP/2 i gRPC cap a l’upstream trenca la cadena de condicions que el desbordament necessita. Són canvis reversibles que serveixen de mitigació temporal mentre planifiques l’actualització.
Aquesta no és l’única correcció recent al servidor: la mateixa setmana es va pedaçar un use-after-free crític al mòdul HTTP/3 QUIC, així que si gestiones nginx val la pena revisar tots dos avisos alhora.
Font
- Ubuntu Security – CVE-2026-42055: https://ubuntu.com/security/CVE-2026-42055
- NVD – CVE-2026-42055: https://nvd.nist.gov/vuln/detail/CVE-2026-42055