CVE-2026-42926
ŚrednieCVSS 5.8Prawdopodobieństwo exploitacji (EPSS)
Niskie ryzykoPercentyl 24 - wyżej niż 24% wszystkich znanych CVE
Streszczenie
Podatność w NGINX Open Source pozwala atakującemu na wstrzykiwanie nagłówków ramek i bajtów ładunku do upstream peer, gdy skonfigurowano proxy HTTP/2 i użyto proxy_set_body.
Ocena ryzyka
Może to prowadzić do nieautoryzowanego dostępu do danych lub manipulacji komunikacją między serwerami.
Rekomendacja
Zaleca się unikanie używania proxy_set_body w konfiguracji proxy HTTP/2 lub aktualizację do wersji, które nie są objęte EoTS.
Oryginalny opis (angielski, źródło NVD)
When NGINX Open Source is configured to proxy HTTP/2 traffic by setting proxy_http_version to 2, and also uses proxy_set_body, an attacker may be able to inject frame headers and payload bytes to the upstream peer. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

