F5 公司日前发布 NGINX 的新安全公告并披露 CVE-2026-42530 和 CVE-2026-42055 漏洞，前者有可能会导致远程代码执行，后者在常规情况下可以触发崩溃导致拒绝服务，但在某些极端的情况下可能导致远程代码执行，和此前漏洞略有不同的是，大多数典型 NGINX 配置可能都会受 CVE-2026-42530 影响，不过可以开启 ASLR 进行缓解。



CVE-2026-42530 漏洞：

• 漏洞编号：K000161616 / CVE-2026-42530
  
• 模块说明：HTTP/3 QUIC 模块的释放后使用问题，模块为 ngx_http_v3_module
  
• 漏洞说明：未经认证的攻击者可以通过特制 HTTP/3 请求触发进程重启，在 ASLR 被禁用或绕过的情况下 RCE
  
• 影响版本：NGINX 1.31.0~1.31.1
  
• 修复版本：NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)
  
• 触发条件：必须显式启用 HTTP/3 QUIC 或启用 HTTP/3 模块
  
• 缓解方案：立即升级 1.31.2 + 版，或禁用 HTTP/3，或完整开启 ASLR 功能
  

CVE-2026-42055 漏洞：

• 漏洞编号：K000161584 / CVE-2026-42055
  
• 模块说明：ngx_http_proxy_v2_module /ngx_http_grpc_module 堆缓冲区溢出
  
• 漏洞说明：攻击者可以发送超大或异常的 HTTP Header 在特定条件下触发崩溃，极端情况下 RCE
  
• 影响版本：NGINX 1.31.0~1.31.1
  
• 修复版本：NGINX 1.30.3 / 1.31.2 (发布于 2026 年 6 月 17 日)
  
• 满足代理 HTTP/2 或 gRPC 、ignore_invalid_headers off、large_client_header_buffers 大于 2MB 才能触发
  
• 缓解方案：立即升级 1.30.3 / 1.31.2 版
  

这些漏洞有影响但问题不是很大：

此前 NGINX 被爆出多个高危漏洞，这些漏洞多数都是 AI 发现的，但漏洞被公开后就有安全研究员吐槽这些漏洞利用条件都比较极端，也就是大多数典型配置中压根不会触发漏洞。而此次爆出的漏洞中，CVE-2026-42530 影响范围更大，因为现在已经有很多网站启用 HTTP/3 QUIC (蓝点网服务器也已经启用)。

当然并不是说启用 HTTP/3 就会被利用，因为利用前提是 ASLR 被禁用或被成功绕过，而典型的 Linux 配置是开启 ASLR 的，例如蓝点网使用的 Debian 13 默认就是开启 ASLR 的，这种情况下黑客还需要想办法绕过 ASLR 才行 (难度更大)，所以即便没有升级也不是特别大的问题。

只不过如果可以的话还是尽早升级到不受影响的版本，毕竟没人知道这些旧版本里是否还会包含其他更容易被利用的漏洞，所以能升级肯定还是优先升级，不能升级再考虑其他缓解措施例如禁用 HTTP/3 或开启 ASLR 功能。

如何检查是否开启 ASLR 功能：