F5, çok sayıda NGINX web sunucusu güvenlik açığını kapatmak için bant dışı güvenlik güncellemeleri yayınladı. İki kritik şiddetteki zafiyet, varsayılan olmayan yapılandırmalara sahip NGINX sistemlerinde kimliği doğrulanmamış uzaktaki saldırganların hizmet reddi saldırısı başlatmasına veya kod yürütmesine olanak tanıyor. F5, NGINX Plus, NGINX Open Source, NGINX Gateway Fabric ve NGINX Instance Manager dahil olmak üzere birden fazla ürünü etkileyen bu güvenlik açıkları için yamaları kullanıma sundu.

Ngx_http_v3_module Ve Ngx_http_proxy_v2_module’de Kritik Zafiyetler Tespit Edildi

CVE-2026-42530 numaralı NGINX kritik güvenlik açığı, ngx_http_v3_module’de bulunuyor. CVE-2026-42055 numaralı diğer kritik zafiyet ise ngx_http_proxy_v2_module ve ngx_http_grpc_module’ü etkiliyor. Her iki güvenlik açığı da NGINX çalışan sürecinde use-after-free veya yığın tabanlı arabellek taşmasına neden olarak sürecin yeniden başlatılmasına yol açıyor. Saldırganlar, Adres Alanı Düzeni Rastgeleleştirme devre dışı bırakıldığında veya ASLR atlatılabildiğinde bu zafiyetleri kullanarak kod çalıştırabiliyor.

F5 NGINX güvenlik yamaları, bu iki kritik zafiyetin yanı sıra iki yüksek şiddette NGINX Gateway Fabric güvenlik açığını da (CVE-2026-11311 ve CVE-2026-50107) ele alıyor. Bu zafiyetler, kimliği doğrulanmış saldırganların keyfi NGINX yapılandırma direktifleri eklemesine imkan tanıyor. NGINX hizmet reddi açığı olarak da bilinen bu zafiyetler, özellikle internet üzerinden erişilebilen sunucular için büyük risk oluşturuyor.

👉️ İlginizi Çekebilir: Fortinet FortiSandbox Kritik Güvenlik Açıkları Aktif Saldırılarda Kullanılıyor

Yamaları hemen uygulayamayan yöneticiler, CVE-2026-42530 için HTTP/3’ü devre dışı bırakarak (tüm listen direktiflerinden quic kaldırılarak) riski azaltabilir. CVE-2026-42055 için ise ignore_invalid_headers off direktifinin yapılandırmadan kaldırılması ve large_client_header_buffers direktif boyutunun 2 megabaytın altına düşürülmesi öneriliyor. F5 NGINX Plus ve Open Source kullanıcıları, bu geçici önlemleri uygulayarak güncelleme yapana kadar sistemlerini koruyabilir.

F5, bu güvenlik açıklarının hiçbirinin saldırılarda kullanıldığını tespit etmedi. Ancak F5 ürünlerindeki güvenlik açıkları, siber suç grupları ve devlet destekli tehdit aktörleri tarafından sıklıkla hedef alınıyor. F5 NGINX kod yürütme zafiyetleri, geçmişte kurumsal ağlara sızmak, verileri silen kötü amaçlı yazılımlar dağıtmak, dahili sunucuları haritalamak, cihazları ele geçirmek ve hassas belgeleri çalmak için kullanıldı.

F5, Ekim ayında devlet destekli saldırganların Ağustos 2025’te sistemlerine sızdığını ve açıklanmayan BIG-IP güvenlik açıkları ile kaynak kodlarını çaldığını ifşa etti. CISA, son birkaç yılda yedi F5 güvenlik açığını aktif saldırılarda kullanılanlar listesine ekledi. Bu açıklardan dördü fidye yazılımı saldırılarında hedef alındı. F5 NGINX güvenlik güncellemesi, Fortune 50 şirketlerinin 48’i ve Fortune Global 500’ün yüzde 80’i dahil olmak üzere 23.000’den fazla müşteriyi etkileyen kritik bir adım olarak öne çıkıyor.