Сформирован выпуск основной ветки nginx 1.31.2, в рамках которой продолжается развитие новых возможностей, а также выпуск параллельно поддерживаемой стабильной ветки nginx 1.30.3, в которую вносятся только изменения, связанные с устранением серьёзных ошибок и уязвимостей. В обновлениях устранено 3 уязвимости:
Источник: https://www.opennet.ru/opennews/art.shtml?num=65712
- CVE-2026-42530 - обращение к уже освобождённой памяти (use-after-free) в реализации протокола HTTP/3. Проблеме присвоен критический уровень опасности (9.2 из 10), не исключающий удалённое выполнение кода с правами рабочего процесса при обработке специально оформленного сеанса по протоколу QUIC. CVE-2026-42055 - переполнение буфера в модулях ngx_http_proxy_v2_module и ngx_http_grpc_module, проявляющееся при проксировании специально оформленных запросов по протоколу HTTP/2 или к бэкенду gRPC. Проблеме присвоен критический уровень опасности (9.2 из 10), допускающий удалённое выполнение кода. Уязвимость проявляется в конфигурациях с настройкой "ignore_invalid_headers off;" и большим значением "large_client_header_buffers". CVE-2026-48142 - чтение из области вне выделенного буфера при обработке специально оформленных запросов, приводящих к перекодированию текста в кодировке UTF-8 при помощи модуля ngx_http_charset_module. Уязвимость появляется в конфигурациях с директивой "charset_map" при наличии в блоке location директив "source_charset utf-8" и "charset другая_кодировка". Проблеме присвоен средний уровень опасности (6.3 из 10), допускающий утечку содержимого памяти рабочего процесса.
Источник: https://www.opennet.ru/opennews/art.shtml?num=65712