NGINX新漏洞曝光 这次涉及HTTP/3 QUIC 但总体来说仍然不用慌

F5 公司日前发布 NGINX 的新安全公告并披露 CVE-2026-42530 和 CVE-2026-42055 漏洞，前者有可能会导致远程代码执行，后者在常规情况下可以触发崩溃导致拒绝服务，但在某些极端的情况下可能导致远程代码执行，和此前漏洞略有不同的是，大多数典型 NGINX 配置可能都会受 CVE-2026-42530 影响，不过可以开启 ASLR 进行缓解。

• 漏洞编号：K000161616 / CVE-2026-42530

• 模块说明：HTTP/3 QUIC 模块的释放后使用问题，模块为 ngx_http_v3_module

• 漏洞说明：未经认证的攻击者可以通过特制 HTTP/3 请求触发进程重启，在 ASLR 被禁用或绕过的情况下 RCE

• 影响版本：NGINX 1.31.0~1.31.1

• 修复版本：NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)

• 触发条件：必须显式启用 HTTP/3 QUIC 或启用 HTTP/3 模块

• 缓解方案：立即升级 1.31.2 + 版，或禁用 HTTP/3，或完整开启 ASLR 功能

• 漏洞编号：K000161584 / CVE-2026-42055

• 模块说明：ngx_http_proxy_v2_module /ngx_http_grpc_module 堆缓冲区溢出

• 漏洞说明：攻击者可以发送超大或异常的 HTTP Header 在特定条件下触发崩溃，极端情况下 RCE

• 影响版本：NGINX 1.31.0~1.31.1

• 修复版本：NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)

• 满足代理 HTTP/2 或 gRPC 、ignore_invalid_headers off、large_client_header_buffers 大于 2MB 才能触发

• 缓解方案：立即升级 1.30.3 / 1.31.2 版

此前 NGINX 被爆出多个高危漏洞，这些漏洞多数都是 AI 发现的，但漏洞被公开后就有安全研究员吐槽这些漏洞利用条件都比较极端，也就是大多数典型配置中压根不会触发漏洞。而此次爆出的漏洞中，CVE-2026-42530 影响范围更大，因为现在已经有很多网站启用 HTTP/3 QUIC (蓝点网服务器也已经启用)。

当然并不是说启用 HTTP/3 就会被利用，因为利用前提是 ASLR 被禁用或被成功绕过，而典型的 Linux 配置是开启 ASLR 的，例如蓝点网使用的 Debian 13 默认就是开启 ASLR 的，这种情况下黑客还需要想办法绕过 ASLR 才行 (难度更大)，所以即便没有升级也不是特别大的问题。

只不过如果可以的话还是尽早升级到不受影响的版本，毕竟没人知道这些旧版本里是否还会包含其他更容易被利用的漏洞，所以能升级肯定还是优先升级，不能升级再考虑其他缓解措施例如禁用 HTTP/3 或开启 ASLR 功能。

# 使用命令 cat /proc/sys/kernel/randomize_va_space # 或使用命令 sysctl kernel.randomize_va_space # 返回结果如下 0 = 禁用 ASLR 1 = 部分启用 2 = 完整启用

活动推荐终于补货！99元/年境外CN2服务器又可以购买，限量销售，售完即止。另有3年超低价国内VPS服务器。终于补货！99元/年境外CN2服务器又可以购买，限量销售，售完即止。另有3年超低价国内VPS服务器。

关注公众号：拾黑（shiheibook）了解更多

[广告]赞助链接：

四季很好，只要有你，文娱排行榜：https://www.yaopaiming.com/
让资讯触达的更精准有趣：https://www.0xu.cn/