១.ព័ត៌មានទូទៅ
កាលពីពេលថ្មីៗនេះ ក្រុមហ៊ុន F5 បានចេញសេចក្តីណែនាំស្តីពីសន្តិសុខទប់ស្កាត់បិតទៅលើចំណុចខ្សោយចំនួនពីរ ដែលមាននៅក្នុង NGINX Open Source និង NGINX Plus។ ចំណុចខ្សោយទាំងនេះអាចបង្កឱ្យមានការដំណើរការកូដពីចម្ងាយ (Remote Code Execution – RCE) ដោយអ្នកវាយប្រហារដែលមិនចាំបាច់មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (Unauthenticated) ឡើយ ដែលអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ វាយប្រហារនិងអាចគ្រប់គ្រងលើប្រព័ន្ធទាំងស្រុង ជាពិសេសនៅពេលដែល ASLR ត្រូវបានបិទ ឬអ្នកវាយប្រហារអាចរំលង ASLR បាន។ ចំណុចខ្សោយទាំងនោះរួមមាន៖
- CVE-2026-42530: ចំណុចខ្សោយនេះជាប្រភេទ Use-After-Free នៅក្នុងម៉ូឌុល ngx_http_v3_module ដែលអាចអនុញ្ញាតឱ្យចោរព័ត៌មានវិទ្យា ឬហេកគ័រ វាយប្រហារពីចម្ងាយដោយមិនបាច់មានការផ្ទៀងផ្ទាត់ភាពត្រឹមត្រូវ (Remote Unauthenticated Attacker) និងផ្ញើ HTTP/3 ដែលបានកែច្នៃពិសេសដើម្បីបើក QPACK encoder stream ឡើងវិញ ដែលបង្កឱ្យមានការដំណើរការកូដពីចម្ងាយ (Remote Code Execution – RCE) លើប្រព័ន្ធណាដែលបិទមុខងារ ASLR ឬរំលងប្រព័ន្ធការពារ (Bypass) មុខងារ ASLR បាន។
- CVE-2026-42055: ចំណុចខ្សោយនេះជាប្រភេទ Heap-Based Buffer Overflow នៅក្នុងម៉ូឌុល ngx_http_proxy_v2_module និង ngx_http_grpc_module ដែលអាចបង្កឡើងដោយចោរព័ត៌មានវិទ្យា ឬហេកគ័រ វាយប្រហារពីចម្ងាយ នៅពេលដែលការកំណត់ proxy_http_version ទៅជា 2 ឬ grpc_pass directives ត្រូវបានប្រើដើម្បីបញ្ជូនចរាចរណ៍ HTTP/2 ហើយការកំណត់ ignore_invalid_headers directive ត្រូវបានកំណត់ជា off និង large_client_header_buffers directive មានទំហំធំជាង 2 MB។
២.ផលិតផលប៉ះពាល់ដែលរងផលប៉ះពាល់
CVE-2026-42530៖
- NGINX Open Source កំណែ 31.0 – 1.31.1 (ជួសជុលក្នុងកំណែ 1.31.2)
- NGINX Gateway Fabric កំណែ 0.0 – 2.6.3 (ជួសជុលក្នុងកំណែ 2.6.4)
- NGINX Gateway Fabric កំណែ 3.0 – 1.6.2
- NGINX Instance Manager កំណែ 17.0 – 2.22.0
- NGINX Ingress Controller កំណែ 0.0 – 5.5.0
- NGINX Ingress Controller កំណែ 0.0 – 4.0.1
- NGINX Ingress Controller កំណែ 5.0 – 3.7.2
CVE-2026-42055៖
- NGINX Plus កំណែ 0.0 – 37.0.1 (ជួសជុលក្នុងកំណែ 37.0.2.1)
- NGINX Plus កំណែ R33 – R36 (ជួសជុលក្នុងកំណែ R36 P6)
- NGINX Open Source កំណែ 31.1 (ជួសជុលក្នុងកំណែ 1.31.2)
- NGINX Open Source កំណែ 30.0 – 1.30.2 (ជួសជុលក្នុងកំណែ 1.30.3)
- NGINX Instance Manager កំណែ 17.0 – 2.22.0
- F5 WAF for NGINX កំណែ 9.0 – 5.13.1
- NGINX App Protect WAF កំណែ2.0 – 5.8.0
- NGINX App Protect WAF កំណែ 10.0 – 4.16.0
- F5 DoS for NGINX កំណែ 9.0
- NGINX App Protect DoS កំណែ 3.0 – 4.7.0
- NGINX Gateway Fabric កំណែ 0.0 – 2.6.3 (ជួសជុលក្នុងកំណែ 2.6.4)
- NGINX Gateway Fabric កំណែ 3.0 – 1.6.2
- NGINX Ingress Controller កំណែ 0.0 – 5.5.0
- NGINX Ingress Controller កំណែ 0.0 – 4.0.1
- NGINX Ingress Controller កំណែ 5.0 – 3.7.2
៣.អនុសាសន៏ណែនាំ
ការិយាល័យ CamCERT សូមផ្តល់អនុសាសន៍ឱ្យអភិបាលគ្រប់គ្រងប្រព័ន្ធ និងអ្នកប្រើប្រាស់ទាំងអស់ធ្វើបច្ចុប្បន្នភាពជាបន្ទាន់តាមតែធ្វើទៅបាន។
- ធ្វើការដំឡើងកំណែ NGINX Open Source ទៅកំណែ 1.31.2 ឬ 1.30.3 ដែលជាកំណែដែលបានជួសជុលចំណុចខ្សោយទាំងពីររួច។
- សម្រាប់អ្នកប្រើប្រាស់ NGINX Plus សូមដំឡើងកំណែទៅជា 37.0.2.1 ឬ R36 P6។
- សម្រាប់ផលិតផលដទៃទៀតដូចជា NGINX Gateway Fabric, Ingress Controller, Instance Manager និង App Protect WAF សូមធ្វើការដំឡើងកំណែទៅជាកំណែចុងក្រោយបំផុតតាមតារាងខាងលើ។
ក្នុងករណីមិនទាន់អាចធ្វើបច្ចុប្បន្នភាពបានភ្លាមៗ អភិបាលគ្រប់គ្រងប្រព័ន្ធអាចអនុវត្តវិធានការបណ្តោះអាសន្ន (Mitigation) ដូចខាងក្រោម៖
- សម្រាប់ CVE-2026-42530៖ បិទមុខងារ HTTP/3 ជាបណ្តោះអាសន្ន ដោយដកការកំណត់ listen … quic ចេញពីឯកសារកំណត់រចនាសម្ព័ន្ធ NGINX។
- សម្រាប់ CVE-2026-42055៖ ដកការកំណត់ignore_invalid_headers off ចេញពីឯកសារកំណត់រចនាសម្ព័ន្ធ ឬកាត់បន្ថយទំហំ large_client_header_buffers ឲ្យតិចជាង 2 MB។
៤.ឯកសារយោង
- https://thehackernews.com/2026/06/f5-patches-two-critical-nginx-open.html
