Katalog CVE

CVE-2026-42926

ŚrednieCVSS 5.8
Opublikowano: Zaktualizowano: Przetłumaczono: NVD NIST

Prawdopodobieństwo exploitacji (EPSS)

Niskie ryzyko
0.33%

Percentyl 24 - wyżej niż 24% wszystkich znanych CVE

Streszczenie

Podatność w NGINX Open Source pozwala atakującemu na wstrzykiwanie nagłówków ramek i bajtów ładunku do upstream peer, gdy skonfigurowano proxy HTTP/2 i użyto proxy_set_body.

Ocena ryzyka

Może to prowadzić do nieautoryzowanego dostępu do danych lub manipulacji komunikacją między serwerami.

Rekomendacja

Zaleca się unikanie używania proxy_set_body w konfiguracji proxy HTTP/2 lub aktualizację do wersji, które nie są objęte EoTS.

Oryginalny opis (angielski, źródło NVD)

When NGINX Open Source is configured to proxy HTTP/2 traffic by setting proxy_http_version to 2, and also uses proxy_set_body, an attacker may be able to inject frame headers and payload bytes to the upstream peer.  Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Dane podatności pochodzą z NVD (NIST) · CISA KEV · EPSS