nginx publicó el 17 de junio de 2026 una corrección para CVE-2026-42055, un desbordamiento de buffer en el heap que aparece cuando el servidor actúa como proxy de tráfico HTTP/2 hacia un backend. El fallo está en dos módulos concretos: ngx_http_proxy_v2_module, que habla HTTP/2 con el upstream cuando se usa proxy_http_version 2, y ngx_http_grpc_module, que se encarga del grpc_pass.
Qué falla exactamente
Cuando nginx construye la petición hacia el backend, gestiona mal las cabeceras de gran tamaño. Si un cliente remoto y sin autenticar envía cabeceras lo bastante grandes, esos datos terminan provocando un desbordamiento de buffer basado en heap dentro del proceso worker. El resultado inmediato es la caída y el reinicio del worker, es decir, una denegación de servicio. En máquinas donde ASLR está deshabilitado, o donde un atacante consigue rodear esa protección, el desbordamiento puede llegar a permitir ejecución de código.
No es una configuración por defecto. Para que la condición se dispare hacen falta varios ingredientes a la vez según el aviso de F5: que el proxy hacia el upstream use HTTP/2 (proxy_http_version 2) o gRPC, que ignore_invalid_headers esté en off y que large_client_header_buffers esté configurado por encima de 2 MB. Si tu nginx hace de proxy inverso clásico en HTTP/1.1, esta ruta de código ni siquiera entra en juego.
A quién afecta
El problema está presente en nginx Open Source desde la 1.13.10 hasta la 1.31.1, y también en NGINX Plus cuando se cumple la configuración descrita. Conviene revisar cualquier despliegue que haga de pasarela gRPC o que proxee aplicaciones modernas por HTTP/2 hacia el backend, porque es ahí donde se concentra el riesgo real.
La gravedad se ha catalogado como media. No es un RCE garantizado contra cualquier instalación, pero un reinicio repetido del worker basta para tumbar un servicio expuesto, y el componente está accesible sin credenciales.
Cómo protegerse
La vía limpia es actualizar. F5 corrige el fallo en la rama estable 1.31.2 y en la rama mainline anterior 1.30.3. En Ubuntu, Canonical publicó el paquete corregido en USN-8458-1, cubriendo las versiones soportadas (26.04, 25.10, 24.04 LTS y 22.04 LTS); basta con aplicar las actualizaciones de seguridad habituales y recargar el servicio.
Si no puedes parchear de inmediato, mira la configuración antes de nada. Bajar large_client_header_buffers a su valor por defecto, dejar ignore_invalid_headers en on o evitar el proxy HTTP/2/gRPC hacia el upstream rompe la cadena de condiciones necesarias para el desbordamiento. Son cambios reversibles que sirven de mitigación temporal mientras planificas la actualización.
Esta no es la única corrección reciente en el servidor: en la misma semana se parcheó un use-after-free crítico en el módulo HTTP/3 QUIC, así que si gestionas nginx merece la pena revisar ambos avisos a la vez.
Fuente
- Ubuntu Security – CVE-2026-42055: https://ubuntu.com/security/CVE-2026-42055
- NVD – CVE-2026-42055: https://nvd.nist.gov/vuln/detail/CVE-2026-42055