F5 NGINX Plus及开源版漏洞：攻击者可借助MP4文件执行代码

近日披露了一个影响NGINX开源版和NGINX Plus的高危漏洞。该漏洞正式编号为CVE-2026-32647，其CVSS v4.0基础评分为8.5，CVSS v3.1评分为7.8。

该漏洞允许本地已认证攻击者触发拒绝服务条件，或在底层系统上潜在执行任意代码。

此漏洞完全存在于应用的数据平面，因此不会暴露控制平面。F5正式确认，研究人员Xint Code与来自Aisle Research的Pavel Kohout发现并协作披露了此漏洞。

F5 NGINX Plus及开源版漏洞
该安全问题的核心是一个越界读取漏洞，归类为CWE-125。此内存损坏缺陷存在于ngx_http_mp4_module模块中。

威胁行为者可通过强制NGINX服务器处理特制的MP4文件来利用此弱点。

当NGINX工作进程解析恶意媒体文件时，会触发工作进程内存中的缓冲区溢出或欠载。

这种内存操作会立即终止工作进程，在系统尝试重启进程期间暂时中断活跃网络流量。

除了简单的拒绝服务外，攻击者理论上还可将此内存损坏与其他漏洞结合，在主机上实现远程代码执行。

系统要受此漏洞影响，NGINX实例必须使用ngx_http_mp4_module构建，并在其配置文件中主动使用mp4指令。NGINX Plus会自动包含此模块。

相反，NGINX开源版管理员必须明确编译并启用该模块才会存在风险。F5已发布软件更新，修复了所有受影响产品分支中的此漏洞。

其他F5产品，包括BIG-IP、BIG-IQ、F5OS和F5 Distributed Cloud，完全不受此漏洞影响。NGINX Plus R32至R36版本存在漏洞，修复版本可在R36 P3、R35 P2和R32 P5中获取。

NGINX开源版1.1.19至1.29.6版本受影响，补丁已在1.28.3和1.29.7版本中发布。

缓解措施
强烈建议安全团队立即将其NGINX部署更新至最新的补丁版本。

如果当前维护窗口期无法立即修补，F5建议应用基于配置的缓解措施以保护基础设施。

管理员可通过暂时关闭MP4流模块来消除威胁。这需要登录NGINX主机系统，编辑主配置文件（通常位于/etc/nginx目录）。

安全工程师必须定位所有使用mp4指令的server和location块，并使用井号（#）将其注释掉。

保存修改后的配置后，管理员应在优雅重载服务前，使用sudo nginx -t命令验证语法。

虽然此缓解措施关闭了服务器端对MP4文件的伪流支持，但它有效移除了攻击向量。作为一项纵深防御措施，各组织应将音视频文件的发布权限限制在可信用户范围内。

限制媒体发布权限可防止未经授权的行为者将特制的MP4攻击载荷引入服务器环境。