Two 9.2s in stock NGINX: inside the HTTP/3 QPACK use-after-free and the gRPC heap overflow F5 just patched
19/06/2026-09:29 19/06/2026-09:30 מחשבים וטכנולוגיה CyberSec Guru דיווח
Five weeks after NGINX Rift had half the internet scrambling, F5 pushed another out-of-band advisory. Two critical bugs this time, both scoring 9.2 on CVSS v4, both remotely exploitable without authentication. One lives in the HTTP/3 code path. The o
סיכום מאמרפגיעויות אבטחה קריטיות התגלו במוצרי F5, כולל NGINX, וקיבלו עדכון חוץ-סדרתי. שני באגים קריטיים, שקיבלו ציון 9.2 ב-CVSS v4, נמצאו במוצרים, והם ניתנים לניצול מרחוק ללא צורך באימות. אחת הפגיעויות נמצאת בקוד ה-HTTP/3 וכוללת שימוש לאחר שחרור (use-after-free) ב-QPACK, בעוד שהשנייה היא גלישה של הערימה (heap overflow) ב-gRPC. הפגיעויות הללו עלולות לאפשר לתוקפים לגרום נזק משמעותי ללא זיהוי. F5 פרסמה עדכון אבטחה כדי לתקן את הבעיות הללו, והמשתמשים ממליצים לעדכן את המוצרים שלהם בהקדם. הפגיעויות הללו מדגימות את החשיבות של עדכוני אבטחה מתמידים ושל שמירה על רמת אבטחה גבוהה. עדכון המוצרים הוא קריטי כדי למנוע ניצול של הפגיעויות הללו.
