it

F5, NGINX 오픈소스 2개Critical 취약점 원격 코드 실행 허용 버그 패치

발행: (2026년 6월 19일 AM 02:32 GMT+9)
4 분 소요
원문: The Hacker News

Source: The Hacker News

Ravie Lakshmanan Jun 18, 2026Vulnerability / Cloud Security

[![](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxYclMMaAOBe1jlW_s0S1SfdX3sPrGB9MZ7R9Hfo2ktoF9DiLqPA5ZYmFAyGmzws5eNmqopdPw7bBV7TTO8KgS2C8CJU8cgHNXw0ERAvk8sGRLYXH7M98eqxDM9c- rQTU0Hlj8ISEmSWMCnw6OqJMyhgxxLHCFPwP1JugZ3bCJow7AfTZ40kOo8XpY3WdF/s1700-e365/f5.jpg)](https://blogger.googleusercontent.com/img/b/R29vZ2xl/AVvXsEhxYclMMaAOBe1jlW_s0S1SfdX3sPrGB9MZ7R9Hfo2ktoF9DiLqPA5ZYmFAyGmzws5eNmqopdPw7bBV7TTO8KgS2C8CJU8cgHNXw0ERAvk8sGRLYXH7M98eqxDM9c- rQTU0Hlj8ISEmSWMCnw6OqJMyhgxxLHCFPwP1JugZ3bCJow7AfTZ40kOo8XpY3WdF/s1700-e365/f5.jpg)

F5는 NGINX Open Source에 포함된 두 개의 치명적인 보안 취약점을 해결하기 위한 보안 업데이트를 출시했습니다. 이 취약점들은 원격 공격자가 코드 실행을 수행할 수 있게 만들 수 있습니다.

취약점은 다음과 같이 나열됩니다.

  • CVE-2026-42530 (CVSS v4 점수: 9.2) - ngx_http_v3_module에 있는 use‑after‑free 취약점이 HTTP/3 QUIC 모듈을 사용하도록 NGINX Open Source가 설정될 때, specially crafted HTTP/3 세션으로 QPACK 인코더 스트림을 재개함으로써 원격 무인 공격자가 트리거할 수 있으며, ASLR이 비활성화된 시스템이나 공격자가 ASLR을 우회할 경우 코드 실행을 수행할 수 있습니다.

  • CVE-2026-42055 (CVSS v4 점수: 9.2) - ngx_http_proxy_v2_module 및 ngx_http_grpc_module 모듈에 있는 힙 기반 버퍼 오버플로우 취약점이, proxy_http_version를 2로 설정하거나 grpc_pass 디렉티브를 사용해 HTTP/2 트래픽을 프록시할 때, ignore_invalid_headers 지침을 off 로 설정한 경우, large_client_header_buffers 지시문 크기가 2 MB보다 클 때 원격 무인 공격자가 트리거하여 코드 실행을 수행할 수 있습니다. 이 역시 ASLR이 비활성화된 시스템이나 공격자가 ASLR을 우회할 경우에 적용됩니다.

두 취약점 모두 다음 버전에서 패치되었습니다.

CVE-2026-42530

  • NGINX Open Source 1.31.0 ~ 1.31.1 (수정됨: 1.31.2)
  • NGINX Gateway Fabric 2.0.0 ~ 2.6.3 (수정됨: 2.6.4)
  • NGINX Gateway Fabric 1.3.0 ~ 1.6.2
  • NGINX Instance Manager 2.17.0 ~ 2.22.0
  • NGINX Ingress Controller 5.0.0 ~ 5.5.0
  • NGINX Ingress Controller 4.0.0 ~ 4.0.1
  • NGINX Ingress Controller 3.5.0 ~ 3.7.2

CVE-2026-42055

  • NGINX Plus 37.0.0 ~ 37.0.1 (수정됨: 37.0.2.1)
  • NGINX Plus R33 ~ R36 (수정됨: R36 P6)
  • NGINX Open Source 1.31.1 (수정됨: 1.31.2)
  • NGINX Open Source 1.30.0 ~ 1.30.2 (수정됨: 1.30.3)
  • NGINX Instance Manager 2.17.0 ~ 2.22.0
  • F5 WAF for NGINX 5.9.0 ~ 5.13.1
  • NGINX App Protect WAF 5.2.0 ~ 5.8.0
  • NGINX App Protect WAF 4.10.0 ~ 4.16.0
  • F5 DoS for NGINX 4.9.0
  • NGINX App Protect DoS 4.3.0 ~ 4.7.0
  • NGINX Gateway Fabric 2.0.0 ~ 2.6.3 (수정됨: 2.6.4)
  • NGINX Gateway Fabric 1.3.0 ~ 1.6.2
  • NGINX Ingress Controller 5.0.0 ~ 5.5.0
  • NGINX Ingress Controller 4.0.0 ~ 4.0.1
  • NGINX Ingress Controller 3.5.0 ~ 3.7.2

F5가 제시한 대응 조치는 다음과 같습니다.

  • CVE-2026-42530 - HTTP/3를 비활성화하세요.
  • CVE-2026-42055 - ignore_invalid_headers off 지침을 설정을 제거하거나, large_client_header_buffers 지시문 크기를 2 MB 이하로 낮추세요.

F5는 이러한 취약점이 실제 세계에서 악용되고 있다고 언급하지 않지만, F5 제품의 보안 결함은 여러 차례 악성 행위에 의해 이용된 사례가 있습니다. 지난달에도 NGINX Plus와 NGINX Open Source에 대한 또 다른 치명적인 보안 결함(CVE-2026-42945, CVSS 점수: 9.2)인 NGINX Rift가 공개된 지 며칠 만에 활성 악용이 이루어졌습니다.

이 글이 흥미로웠다면 다음을 통해 더 독점적인 콘텐츠를 확인하세요.

Google News, TwitterLinkedIn

0 조회
#it #security #cybersecurity
원문 보기
Share:
Back to Blog

관련 글

더 보기 »