L’entreprise de cybersécurité F5 a publié des correctifs de sécurité urgents pour plusieurs failles de son serveur web NGINX. Parmi elles, deux vulnérabilités jugées critiques permettent à des pirates de lancer des attaques par déni de service ou d’exécuter du code sur les systèmes concernés.
Ces deux failles critiques se situent dans les modules ngx_http_v3_module (CVE-2026-42530) et ngx_http_proxy_v2_module et ngx_http_grpc_module (CVE-2026-42055). Des attaquants distants, sans besoin d’authentification, peuvent les exploiter pour provoquer un déni de service ou une exécution de code, à condition que les configurations des systèmes NGINX ne soient pas celles par défaut.
Une exploitation réussie provoque un « use-after-free » ou un débordement de mémoire tampon sur le tas dans le processus de travail de NGINX, ce qui entraîne son redémarrage. Dans les deux cas, les pirates peuvent aussi exécuter du code sur les systèmes où la randomisation de l’espace d’adressage (ASLR) est désactivée ou lorsqu’ils parviennent à contourner cette protection.
F5 a diffusé des correctifs pour plusieurs de ses produits logiciels NGINX qui sont affectés par ces deux vulnérabilités. Cela concerne NGINX Plus et NGINX Open Source, ainsi que NGINX Gateway Fabric et NGINX Instance Manager.
Les administrateurs qui ne peuvent pas appliquer immédiatement ces mises à jour de sécurité peuvent atténuer le risque. Pour la faille CVE-2026-42530, il faut désactiver le protocole HTTP/3 en retirant « quic » de toutes les directives « listen ». Pour la CVE-2026-42055, il est recommandé de supprimer la directive « ignore_invalid_headers off » de la configuration et de réduire la taille des « large_client_header_buffers » à moins de 2 mégaoctets.
L’entreprise a aussi corrigé deux failles de gravité élevée dans NGINX Gateway Fabric, référencées CVE-2026-11311 et CVE-2026-50107. Des attaquants authentifiés peuvent les exploiter pour injecter des directives de configuration NGINX arbitraires.
F5 n’a pas indiqué que ces failles de sécurité étaient actuellement exploitées dans des attaques. Cependant, les vulnérabilités des produits F5 sont régulièrement ciblées par des groupes de cybercriminels et des acteurs étatiques depuis plusieurs années.
Par exemple, des pirates se sont appuyés sur des failles dans les produits F5 pour pénétrer des réseaux d’entreprise, déployer des logiciels malveillants qui effacent les données, cartographier des serveurs internes, détourner des appareils et voler des documents sensibles à des victimes dans le monde entier.
F5 avait aussi révélé en octobre dernier que des attaquants soutenus par un État avaient pénétré ses systèmes en août 2025. Ils ont alors dérobé des vulnérabilités de sécurité et du code source liés à BIG-IP, sans que le détail ne soit communiqué.
Ces dernières années, l’agence américaine de cybersécurité, la Cybersecurity and Infrastructure Security Agency (CISA), a signalé sept vulnérabilités de F5 comme étant activement exploitées. Quatre d’entre elles ont été ciblées dans le cadre d’attaques par rançongiciel.
F5 est une entreprise technologique du classement Fortune 500. Elle fournit des services de cybersécurité, de réseau pour la diffusion d’applications (ADN) et d’autres solutions à plus de 23 000 clients dans le monde. Parmi eux, on compte 48 des 50 entreprises du Fortune 50 et 80 % des entreprises du Fortune Global 500.