Katalog CVE

CVE-2026-40460

ŚrednieCVSS 6.5
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.39%

Percentyl 30 - wyżej niż 30% wszystkich znanych CVE

Streszczenie

W NGINX Plus i NGINX Open Source z włączonym modułem HTTP/3 QUIC istnieje podatność umożliwiająca atakującemu sfałszowanie źródłowego adresu IP, co pozwala na ominięcie autoryzacji lub ograniczeń prędkości.

Ocena ryzyka

Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do zasobów oraz nadmiernego obciążenia serwera z powodu ominięcia limitów szybkości.

Rekomendacja

Zaleca się natychmiastową aktualizację NGINX do najnowszej wersji łatającej tę podatność oraz wyłączenie modułu HTTP/3 QUIC, jeśli nie jest wymagany.

Oryginalny opis (angielski, źródło NVD)

When NGINX Plus or NGINX Open Source are configured to use the HTTP/3 QUIC module, an attacker may be able to spoof their source IP address allowing for bypass of authorization or bypass of rate limiting.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS