CVE-2026-40460
ŚrednieCVSS 6.5Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 30 - wyżej niż 30% wszystkich znanych CVE
Streszczenie
W NGINX Plus i NGINX Open Source z włączonym modułem HTTP/3 QUIC istnieje podatność umożliwiająca atakującemu sfałszowanie źródłowego adresu IP, co pozwala na ominięcie autoryzacji lub ograniczeń prędkości.
Ocena ryzyka
Organizacja narażona jest na ryzyko nieautoryzowanego dostępu do zasobów oraz nadmiernego obciążenia serwera z powodu ominięcia limitów szybkości.
Rekomendacja
Zaleca się natychmiastową aktualizację NGINX do najnowszej wersji łatającej tę podatność oraz wyłączenie modułu HTTP/3 QUIC, jeśli nie jest wymagany.
Oryginalny opis (angielski, źródło NVD)
When NGINX Plus or NGINX Open Source are configured to use the HTTP/3 QUIC module, an attacker may be able to spoof their source IP address allowing for bypass of authorization or bypass of rate limiting. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

