أعلنت شركة F5 عن إصدار تحديثات أمنية عاجلة لمعالجة ثغرتين خطيرتين في منتج NGINX Open Source، والتي قد تسمح للمهاجمين بتنفيذ تعليمات برمجية عن بُعد على الأنظمة المتأثرة. الثغرات تحمل المعرفين CVE-2026-42530 وCVE-2026-42531، وقد حصلت الأولى على درجة خطورة 9.2 وفق نظام CVSS v4.

تفاصيل الثغرات

الثغرة الأولى (CVE-2026-42530) هي ثغرة use-after-free في وحدة ngx_http_v3_module، ويمكن استغلالها عن بُعد من قبل مهاجم غير مصادق عليه عندما يكون NGINX Open Source مهيئًا لاستخدام HTTP/3. أما الثغرة الثانية (CVE-2026-42531) فهي ثغرة خارج الحدود (out-of-bounds) في نفس الوحدة، وتتطلب أيضًا تمكين HTTP/3.

الإصدارات المتأثرة والإجراءات المطلوبة

تؤثر الثغرات على إصدارات NGINX Open Source الأقدم من 1.27.4 و1.26.3. يُنصح المستخدمون بتحديث إصداراتهم فورًا إلى أحدث الإصدارات المتاحة. يمكن تنزيل التحديثات من الموقع الرسمي لـ NGINX أو عبر مدير الحزم الخاص بنظام التشغيل.

توصيات أمنية

تنصح F5 بتطبيق التحديثات في أقرب وقت ممكن، خاصة على الخوادم التي تعمل بواجهة HTTP/3. كما توصي بمراجعة إعدادات الأمان وتقييد الوصول إلى الخدمات الحساسة. لم يتم الإبلاغ عن استغلال هذه الثغرات في البرية حتى الآن، لكن يُنصح باتخاذ الإجراءات الوقائية.

تأتي هذه التحديثات في إطار جهود F5 المستمرة لتعزيز أمان منتجاتها وحماية المستخدمين من التهديدات المحتملة.