{"id":20841,"date":"2026-06-19T22:55:04","date_gmt":"2026-06-19T19:55:04","guid":{"rendered":"https:\/\/sysadmin.courses\/?p=20841"},"modified":"2026-06-19T22:55:05","modified_gmt":"2026-06-19T19:55:05","slug":"%d0%b4%d0%b2%d0%b0-%d0%ba%d1%80%d0%b8%d1%82%d0%b8%d1%87%d0%b5%d1%81%d0%ba%d0%b8%d1%85-%d0%b1%d0%b0%d0%b3%d0%b0-%d0%b2-nginx-use-after-free-%d0%b2-http-3-%d0%b8-heap-overflow-%d0%b2-grpc-%d0%bf%d1%80","status":"publish","type":"post","link":"https:\/\/sysadmin.courses\/ru\/%d0%b4%d0%b2%d0%b0-%d0%ba%d1%80%d0%b8%d1%82%d0%b8%d1%87%d0%b5%d1%81%d0%ba%d0%b8%d1%85-%d0%b1%d0%b0%d0%b3%d0%b0-%d0%b2-nginx-use-after-free-%d0%b2-http-3-%d0%b8-heap-overflow-%d0%b2-grpc-%d0%bf%d1%80\/","title":{"rendered":"\u0414\u0432\u0430 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0431\u0430\u0433\u0430 \u0432 nginx: use-after-free \u0432 HTTP\/3 \u0438 heap overflow \u0432 gRPC-\u043f\u0440\u043e\u043a\u0441\u0438"},"content":{"rendered":"\n

\u041f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435: \u0432\u0430\u0448 nginx \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043d\u0430 Ubuntu, \u043e\u0431\u0441\u043b\u0443\u0436\u0438\u0432\u0430\u0435\u0442 API-\u0448\u043b\u044e\u0437 \u0441 HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043d\u0430 \u043c\u0438\u043a\u0440\u043e\u0441\u0435\u0440\u0432\u0438\u0441\u044b. \u0412\u044b \u043a\u043e\u0433\u0434\u0430-\u0442\u043e \u043c\u0435\u043d\u044f\u043b\u0438 ignore_invalid_headers off<\/code> \u2014 \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043e\u0442 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u0432 \u2014 \u0438 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b\u0438 large_client_header_buffers<\/code> \u0434\u043e 4 \u041c\u0411 \u043f\u043e\u0434 \u0431\u043e\u043b\u044c\u0448\u0438\u0435 JWT. \u0412\u0441\u0451 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442, \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u043f\u0440\u043e\u0431\u043b\u0435\u043c. \u0410 17 \u0438\u044e\u043d\u044f 2026 \u0433\u043e\u0434\u0430 F5 \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u043b\u0430 \u0432\u043d\u0435\u043f\u043b\u0430\u043d\u043e\u0432\u044b\u0439 security advisory \u0438 \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u043e\u0441\u044c: \u0438\u043c\u0435\u043d\u043d\u043e \u0432\u0430\u0448\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443 \u0431\u0435\u0437 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043a\u0440\u0430\u0448\u0438\u0442\u044c \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b nginx \u043e\u0434\u043d\u0438\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u043c. \u0418 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u0438\u043d \u0438\u0437 \u0434\u0432\u0443\u0445 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0431\u0430\u0433\u043e\u0432, \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0445 \u0432 \u0442\u043e\u0442 \u0434\u0435\u043d\u044c.<\/p>\n\n\n\n

F5 \u043e\u043f\u0438\u0441\u0430\u043b\u0430 \u0448\u0435\u0441\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430\u0445 NGINX-\u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u0414\u0432\u0430 \u0438\u0437 \u043d\u0438\u0445 \u2014 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 RCE-\u043a\u043b\u0430\u0441\u0441\u0430, \u0441 CVSS v4.0: 9.2 \u043a\u0430\u0436\u0434\u044b\u0439. CVE-2026-42530 \u2014 use-after-free \u0432 \u043c\u043e\u0434\u0443\u043b\u0435 ngx_http_v3_module<\/code>, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 HTTP\/3 \u043f\u043e\u0432\u0435\u0440\u0445 QUIC. CVE-2026-42055 \u2014 heap-based buffer overflow \u0432 \u043c\u043e\u0434\u0443\u043b\u044f\u0445 HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 gRPC-\u043f\u0440\u043e\u0445\u043e\u0434\u0430. \u041e\u0431\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043d\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443 \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043a\u0440\u0430\u0448 \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 nginx, \u0430 \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0431\u0435\u0437 ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0435 \u2014 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u0434. \u041e\u0431\u0430 \u0437\u0430\u043a\u0440\u044b\u0442\u044b \u0432 nginx 1.31.2, \u0432\u044b\u0448\u0435\u0434\u0448\u0435\u043c \u0432 \u0442\u043e\u0442 \u0436\u0435 \u0434\u0435\u043d\u044c.<\/p>\n\n\n\n

\u0410\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438 \u043d\u0435 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043e. \u041d\u043e \u044d\u0442\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435: CVE-2026-42945 (NGINX Rift) \u0432 \u043c\u0430\u0435 2026 \u043f\u0440\u043e\u0448\u0451\u043b \u043f\u0443\u0442\u044c \u043e\u0442 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u044f \u0434\u043e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u0432 \u0440\u0443\u043a\u0430\u0445 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0445 \u043c\u0435\u043d\u044c\u0448\u0435 \u0447\u0435\u043c \u0437\u0430 \u043d\u0435\u0434\u0435\u043b\u044e. \u0420\u0430\u0431\u043e\u0447\u0438\u0439 PoC \u0431\u044b\u043b \u0440\u0435\u043a\u043e\u043d\u0441\u0442\u0440\u0443\u0438\u0440\u043e\u0432\u0430\u043d \u0438\u0437 diff \u043f\u0430\u0442\u0447\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043c\u0433\u043d\u043e\u0432\u0435\u043d\u043d\u043e. \u0423 \u044d\u0442\u0438\u0445 \u0434\u0432\u0443\u0445 \u043d\u0435\u0442 \u043f\u0440\u0438\u0447\u0438\u043d \u0431\u044b\u0442\u044c \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u0435\u0435.<\/p>\n\n\n\n

\u041a\u0410\u041a \u0420\u0410\u0411\u041e\u0422\u0410\u0415\u0422 \u0411\u0410\u0413 \u0412 HTTP\/3 (CVE-2026-42530)<\/strong><\/p>\n\n\n\n

HTTP\/3 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043e\u0432\u0435\u0440\u0445 \u0442\u0440\u0430\u043d\u0441\u043f\u043e\u0440\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 QUIC, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 TCP \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 (streams) \u0432\u043d\u0443\u0442\u0440\u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f. \u0414\u043b\u044f \u0441\u0436\u0430\u0442\u0438\u044f \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 \u0432 HTTP\/3 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c QPACK \u2014 \u043e\u043d \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u0441\u043b\u043e\u0436\u043d\u0435\u0435 \u0447\u0435\u043c HPACK \u0438\u0437 HTTP\/2 \u0438\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u0442\u043e\u043c\u0443, \u0447\u0442\u043e QUIC-\u043f\u043e\u0442\u043e\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u044c \u0432 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u043c \u043f\u043e\u0440\u044f\u0434\u043a\u0435. QPACK \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0432\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u043d\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u0430: encoder stream (\u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0435\u0442 \u0442\u0430\u0431\u043b\u0438\u0446\u0443 \u0441\u0436\u0430\u0442\u0438\u044f) \u0438 decoder stream (\u043f\u043e\u043b\u0443\u0447\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442). \u041f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u044d\u0442\u0438\u0445 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u0438\u043d \u0440\u0430\u0437 \u043d\u0430 \u0432\u0440\u0435\u043c\u044f \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u0438 \u043d\u0435 \u043f\u0435\u0440\u0435\u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f.<\/p>\n\n\n\n

\u0411\u0430\u0433 \u0432 ngx_http_v3_module<\/code> \u2014 \u0432 \u0442\u043e\u043c, \u043a\u0430\u043a nginx \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044e, \u043a\u043e\u0433\u0434\u0430 \u043a\u043b\u0438\u0435\u043d\u0442 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u0443\u0436\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e HTTP\/3-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043e\u0442\u043a\u0440\u044b\u0442\u044c QPACK encoder stream \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e. \u041f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 nginx \u0432\u044b\u0434\u0435\u043b\u044f\u0435\u0442 \u043f\u0430\u043c\u044f\u0442\u044c \u043f\u043e\u0434 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u0430. \u041f\u0440\u0438 \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u0438 \u2014 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0430\u0435\u0442 \u0435\u0451. \u041a\u043e\u0433\u0434\u0430 \u043a\u043b\u0438\u0435\u043d\u0442 \u043f\u0435\u0440\u0435\u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u0442\u043e\u043a, nginx \u043d\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u044d\u0442\u043e \u0433\u0440\u0430\u043d\u0438\u0447\u043d\u043e\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u0435: \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430\u043c \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0436\u0435 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0435\u043d\u044b. Use-after-free (CWE-416) \u0432 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0432\u0438\u0434\u0435 \u2014 \u0447\u0442\u0435\u043d\u0438\u0435 \u0438\u043b\u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0432 \u043f\u0430\u043c\u044f\u0442\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0443\u0436\u0435 \u043e\u0442\u0434\u0430\u043d\u0430 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u0443 \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u0430 \u043f\u043e\u0434 \u0434\u0440\u0443\u0433\u043e\u0439 \u043e\u0431\u044a\u0435\u043a\u0442.<\/p>\n\n\n\n

\u0417\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b \u0442\u043e\u043b\u044c\u043a\u043e NGINX Open Source 1.31.0 \u0438 1.31.1 \u2014 \u0442\u0435 \u0432\u0435\u0440\u0441\u0438\u0438, \u0433\u0434\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 HTTP\/3 \u0431\u044b\u043b\u0430 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0430 \u0438\u043b\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u0435\u0440\u0435\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u0430. \u0412\u0435\u0442\u043a\u0430 1.30.x \u043d\u0435 \u0437\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u0430. CWE-416 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c advisory F5 \u043f\u043e\u0434 \u043d\u043e\u043c\u0435\u0440\u043e\u043c NPS-8. \u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 Trung Nguyen (@everping) \u0438\u0437 CyStack \u2014 \u0435\u0433\u043e \u0438\u043c\u044f \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c nginx changelog. F5 \u0432 advisory K000161616 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043a\u0440\u0435\u0434\u0438\u0442\u0443\u0435\u0442 Zhenpeng (Leo) Lin (depthfirst), Evan Hellman (@xintenseapple) \u0438\u0437 Trail of Bits \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u043d\u043e \u0441 OpenAI, \u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u044b AntAISecurityLab \u0438 Nebula Security (@nebusecurity).<\/p>\n\n\n\n

\u041a\u0410\u041a \u0420\u0410\u0411\u041e\u0422\u0410\u0415\u0422 \u0411\u0410\u0413 \u0412 HTTP\/2-\u041f\u0420\u041e\u041a\u0421\u0418 \u0418 gRPC (CVE-2026-42055)<\/strong><\/p>\n\n\n\n

\u042d\u0442\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0442\u0440\u0451\u0445 \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e. \u041f\u0435\u0440\u0432\u044b\u0439: HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043e \u0447\u0435\u0440\u0435\u0437 proxy_http_version 2<\/code> \u0438\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u0430 grpc_pass<\/code>. \u0412\u0442\u043e\u0440\u043e\u0439: \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u0430 ignore_invalid_headers<\/code> \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0430 \u0432 off<\/code>. \u0422\u0440\u0435\u0442\u0438\u0439: \u0440\u0430\u0437\u043c\u0435\u0440 large_client_header_buffers<\/code> \u043f\u0440\u0435\u0432\u044b\u0448\u0430\u0435\u0442 2 \u043c\u0435\u0433\u0430\u0431\u0430\u0439\u0442\u0430. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u0441\u0435 \u0442\u0440\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u044e\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u2014 ignore_invalid_headers<\/code> \u043f\u043e \u0434\u0435\u0444\u043e\u043b\u0442\u0443 on<\/code>, \u0430 large_client_header_buffers<\/code> \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e 4 \u0431\u0443\u0444\u0435\u0440\u0430 \u043f\u043e 8 \u041a\u0411 \u043a\u0430\u0436\u0434\u044b\u0439.<\/p>\n\n\n\n

\u041a\u043e\u0433\u0434\u0430 ignore_invalid_headers off<\/code>, nginx \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u0451\u0442 \u043e\u0442\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u044b\u0432\u0430\u0442\u044c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u0441 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u043c\u0438 \u0438\u043c\u0435\u043d\u0430\u043c\u0438 \u0435\u0449\u0451 \u043d\u0430 \u0432\u0445\u043e\u0434\u0435 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0438\u0445 \u0434\u0430\u043b\u044c\u0448\u0435 \u2014 \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u043f\u0440\u0438 \u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 upstream-\u0437\u0430\u043f\u0440\u043e\u0441\u0430. \u041c\u043e\u0434\u0443\u043b\u0438 ngx_http_proxy_v2_module<\/code> \u0438 ngx_http_grpc_module<\/code> \u0441\u0442\u0440\u043e\u044f\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 upstream-\u0437\u0430\u043f\u0440\u043e\u0441\u0430, \u043a\u043e\u043f\u0438\u0440\u0443\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 heap-\u0431\u0443\u0444\u0435\u0440. \u0420\u0430\u0437\u043c\u0435\u0440 \u044d\u0442\u043e\u0433\u043e \u0431\u0443\u0444\u0435\u0440\u0430 \u0440\u0430\u0441\u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0447\u0442\u043e \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043f\u0440\u043e\u0448\u043b\u0438 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044e. \u041a\u043e\u0433\u0434\u0430 large_client_header_buffers<\/code> \u0431\u043e\u043b\u044c\u0448\u0435 2 \u041c\u0411 \u0438 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u2014 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438, \u0447\u0442\u043e\u0431\u044b \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u044b\u0448\u043b\u043e \u0437\u0430 \u0433\u0440\u0430\u043d\u0438\u0446\u044b \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0431\u0443\u0444\u0435\u0440\u0430. Heap-based buffer overflow (CWE-122) \u043a\u043e\u0440\u0440\u0430\u043f\u0442\u0438\u0442 \u0441\u043e\u0441\u0435\u0434\u043d\u0438\u0435 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u043d\u044b\u0435 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u043b\u0438 \u0436\u0438\u0432\u044b\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0432 \u043a\u0443\u0447\u0435.<\/p>\n\n\n\n

\u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0431\u044b\u043b\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 Mufeed VH \u0438\u0437 Winfunc Research \u2014 \u044d\u0442\u043e \u0438\u043c\u044f \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c nginx.org changelog \u0434\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0438 1.31.2. \u0417\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b nginx 1.13.10 \u2014 1.31.1: \u044d\u0442\u043e \u043e\u0433\u0440\u043e\u043c\u043d\u044b\u0439 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d \u0432\u0435\u0440\u0441\u0438\u0439, \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u043f\u043e\u0447\u0442\u0438 \u0434\u0435\u0441\u044f\u0442\u0438\u043b\u0435\u0442\u0438\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041f\u0430\u0442\u0447 \u0432\u043e\u0448\u0451\u043b \u0432 NGINX Open Source 1.31.2 (mainline) \u0438 1.30.3 (stable), \u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432 \u2014 \u0432 NGINX Plus 37.0.2.1 \u0438 R36 P6.<\/p>\n\n\n\n

\u041a\u0410\u041a \u042d\u0422\u041e \u042d\u041a\u0421\u041f\u041b\u0423\u0410\u0422\u0418\u0420\u0423\u0415\u0422\u0421\u042f<\/strong><\/p>\n\n\n\n

\u0414\u043b\u044f CVE-2026-42530 (HTTP\/3 UAF): \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 HTTP\/3-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0447\u0435\u0440\u0435\u0437 UDP\/443. \u041d\u0438\u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u2014 QUIC-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441\u0430\u043c\u043e \u043f\u043e \u0441\u0435\u0431\u0435 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0435. \u0412\u043d\u0443\u0442\u0440\u0438 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 QPACK encoder stream, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0438 \u0437\u0430\u0442\u0435\u043c \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0441\u043d\u043e\u0432\u0430 \u2014 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u0435\u0442, \u043d\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u0435 nginx \u0432 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 1.31.0-1.31.1 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e. \u0412\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441 nginx \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u0443\u0436\u0435 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0451\u043d\u043d\u044b\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430\u043c \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u043f\u0430\u0434\u0430\u0435\u0442 \u0441 memory corruption. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 nginx \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0432\u043e\u0440\u043a\u0435\u0440\u044b \u043f\u043e\u0441\u043b\u0435 \u043a\u0440\u0430\u0448\u0430, \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u2014 \u043d\u043e \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u044b\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 DoS \u043d\u0435\u043f\u0440\u0435\u0440\u044b\u0432\u043d\u043e.<\/p>\n\n\n\n

\u0414\u043b\u044f CVE-2026-42055 (HTTP\/2\/gRPC heap overflow): \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0438\u043b\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c\u0438 \u2014 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043e\u0431\u044a\u0451\u043c\u043d\u044b\u043c\u0438, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0435\u0432\u044b\u0441\u0438\u0442\u044c \u0440\u0430\u0441\u0441\u0447\u0438\u0442\u0430\u043d\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 \u0431\u0443\u0444\u0435\u0440\u0430 \u043f\u0440\u0438 \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u0432 upstream-\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b. \u041f\u0440\u043e\u0445\u043e\u0434\u043d\u0430\u044f \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u043e\u0439 ignore_invalid_headers off<\/code>, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u0432 heap-\u0431\u0443\u0444\u0435\u0440 \u043c\u043e\u0434\u0443\u043b\u044f \u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0442\u043e\u0442 \u0436\u0435: \u043a\u0440\u0430\u0448 \u0432\u043e\u0440\u043a\u0435\u0440\u0430, DoS.<\/p>\n\n\n\n

\u0412\u0430\u0436\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c \u0438\u0437 F5 advisory: «conditions beyond their control» \u2014 \u044d\u0442\u043e \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430. \u041e\u043d\u0430 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u043b\u044f \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0431\u0430\u0433\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u044f: \u043d\u0443\u0436\u043d\u044b \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430. \u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0442\u0440\u0451\u0445 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u2014 \u044d\u0442\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e «\u043e\u0442\u043f\u0440\u0430\u0432\u044c \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a», \u0430 «\u043e\u0442\u043f\u0440\u0430\u0432\u044c \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u043b \u0437\u0430\u0449\u0438\u0442\u0443 \u0438 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b \u0431\u0443\u0444\u0435\u0440». \u0422\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e: \u0435\u0441\u043b\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442 \u2014 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0431\u0430\u0440\u044c\u0435\u0440\u043e\u0432 \u043d\u0435\u0442. \u041e\u0434\u0438\u043d HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u0440\u0430\u0437\u0434\u0443\u0442\u044b\u043c\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c\u0438.<\/p>\n\n\n\n

\u0427\u0422\u041e \u041f\u0420\u041e\u0418\u0421\u0425\u041e\u0414\u0418\u0422 \u0414\u0410\u041b\u042c\u0428\u0415 \u2014 \u0417\u0410\u0412\u0418\u0421\u0418\u0422 \u041e\u0422 \u041a\u041e\u041d\u0424\u0418\u0413\u0423\u0420\u0410\u0426\u0418\u0418<\/strong><\/p>\n\n\n\n

\u041d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0441 \u0432\u043a\u043b\u044e\u0447\u0451\u043d\u043d\u044b\u043c ASLR (\u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043d\u0430 \u0432\u0441\u0435\u0445 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 Linux-\u0434\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0442\u0438\u0432\u0430\u0445) \u043e\u0431\u0430 \u0431\u0430\u0433\u0430 \u043d\u0430\u0434\u0451\u0436\u043d\u043e \u0434\u0430\u044e\u0442 DoS \u2014 \u043a\u0440\u0430\u0448 \u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. ASLR \u0440\u0430\u043d\u0434\u043e\u043c\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0430\u0434\u0440\u0435\u0441\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u0441\u043a\u0430\u0437\u0443\u0435\u043c\u043e\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u0442\u043e\u043a\u043e\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u0441\u043b\u0435 corruption \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u043b\u043e\u0436\u043d\u0435\u0435. \u042d\u0442\u043e \u043d\u0435 \u0437\u0430\u0449\u0438\u0442\u0430 \u043e\u0442 \u043a\u0440\u0430\u0448\u0430, \u043d\u043e \u043e\u0442 RCE \u2014 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f, \u0445\u043e\u0442\u044f \u0438 \u043d\u0435 \u0430\u0431\u0441\u043e\u043b\u044e\u0442\u043d\u0430\u044f \u043f\u0440\u0435\u0433\u0440\u0430\u0434\u0430.<\/p>\n\n\n\n

\u041d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0441 \u043e\u0442\u043a\u043b\u044e\u0447\u0451\u043d\u043d\u044b\u043c ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u043c \u043e\u0431\u0445\u043e\u0434\u0435 \u2014 \u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u0430\u044f \u0432\u0438\u0434\u0435\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u044f CVE-2026-42530 \u0443\u0436\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u044e\u0442 \u0440\u0435\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u043d\u043e\u0441\u0442\u044c ASLR-bypass \u2014 memory corruption \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0439 \u043f\u0440\u0438\u043c\u0438\u0442\u0438\u0432. Heap overflow \u043e\u0442 CVE-2026-42055 \u043a\u043e\u0440\u0440\u0430\u043f\u0442\u0438\u0442 \u0441\u043e\u0441\u0435\u0434\u043d\u0438\u0435 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u043d\u044b\u0435 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u043b\u0438 \u0436\u0438\u0432\u044b\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u2014 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u043a control-flow hijacking \u043f\u043e \u043e\u0446\u0435\u043d\u043a\u0435 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439. Use-after-free \u043e\u0442 CVE-2026-42530 \u0434\u0430\u0451\u0442 \u043f\u0440\u0438\u043c\u0438\u0442\u0438\u0432 \u0447\u0442\u0435\u043d\u0438\u044f\/\u0437\u0430\u043f\u0438\u0441\u0438 \u0432 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0451\u043d\u043d\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u044c \u2014 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u0439 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b. F5 \u044f\u0432\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0432 advisory \u043e\u0431\u043e\u0438\u0445 CVE: \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0431\u0435\u0437 ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430.<\/p>\n\n\n\n

\u0412\u0430\u0436\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c \u0438\u0437 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e changelog nginx.org: CVE-2026-48142 (buffer overread \u0432 ngx_http_charset_module<\/code>, \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 \u0432 \u0442\u043e\u043c \u0436\u0435 1.31.2) \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043d \u043a\u0430\u043a «limited disclosure of worker process memory». \u0418\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u0438\u0437 thecybersecguru.com \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u044e\u0442, \u0447\u0442\u043e \u0438\u043c\u0435\u043d\u043d\u043e \u0442\u0430\u043a\u0430\u044f \u0443\u0442\u0435\u0447\u043a\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u0432\u043e\u0440\u043a\u0435\u0440\u0430 \u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u0438\u043c \u0438\u043d\u0441\u0442\u0440\u0443\u043c\u0435\u043d\u0442\u043e\u043c \u0434\u043b\u044f \u043e\u0431\u0445\u043e\u0434\u0430 ASLR \u043f\u0435\u0440\u0435\u0434 \u0437\u0430\u043f\u0443\u0441\u043a\u043e\u043c CVE-2026-42530 \u0438\u043b\u0438 CVE-2026-42055. \u042d\u0442\u043e \u0438\u0445 \u043e\u0446\u0435\u043d\u043a\u0430, \u043d\u0435 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0435 \u0437\u0430\u044f\u0432\u043b\u0435\u043d\u0438\u0435 F5. \u0412\u0441\u0435 \u0442\u0440\u0438 CVE \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043e\u0434\u043d\u0438\u043c \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u0434\u043e 1.31.2.<\/p>\n\n\n\n

\u0425\u0420\u041e\u041d\u041e\u041b\u041e\u0413\u0418\u042f<\/strong><\/p>\n\n\n\n

17 \u0438\u044e\u043d\u044f 2026 \u2014 F5 \u0432\u044b\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0432\u043d\u0435\u043f\u043b\u0430\u043d\u043e\u0432\u044b\u0439 security advisory K000161614, \u043e\u043f\u0438\u0441\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u0448\u0435\u0441\u0442\u044c CVE \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430\u0445 NGINX-\u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u041e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u043f\u0443\u0431\u043b\u0438\u043a\u0443\u044e\u0442\u0441\u044f nginx 1.31.2 (mainline) \u0438 1.30.3 (stable) \u0441 \u043f\u0430\u0442\u0447\u0430\u043c\u0438. «\u0412\u043d\u0435\u043f\u043b\u0430\u043d\u043e\u0432\u044b\u0439» \u0437\u0434\u0435\u0441\u044c \u043a\u043b\u044e\u0447\u0435\u0432\u043e\u0435 \u0441\u043b\u043e\u0432\u043e: F5 \u043e\u0431\u044b\u0447\u043d\u043e \u0432\u044b\u043f\u0443\u0441\u043a\u0430\u0435\u0442 security bulletins \u043f\u043e \u043a\u0432\u0430\u0440\u0442\u0430\u043b\u044c\u043d\u043e\u043c\u0443 \u0440\u0430\u0441\u043f\u0438\u0441\u0430\u043d\u0438\u044e. \u041e\u0442\u043a\u043b\u043e\u043d\u0435\u043d\u0438\u0435 \u043e\u0442 \u043d\u0435\u0433\u043e \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0436\u0434\u0430\u0442\u044c \u0441\u043b\u0435\u0434\u0443\u044e\u0449\u0435\u0433\u043e \u0446\u0438\u043a\u043b\u0430 \u0431\u044b\u043b\u043e \u043d\u0435\u043b\u044c\u0437\u044f.<\/p>\n\n\n\n

19 \u0438\u044e\u043d\u044f 2026 \u2014 SecurityLab \u0438 \u0425\u0430\u043a\u0435\u0440 \u043f\u0443\u0431\u043b\u0438\u043a\u0443\u044e\u0442 \u043d\u043e\u0432\u043e\u0441\u0442\u0438. \u041d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c \u0441\u0430\u0439\u0442\u0435 nginx.org \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u043e\u0431\u043d\u043e\u0432\u043b\u0451\u043d\u043d\u044b\u0439 \u0441\u043f\u0438\u0441\u043e\u043a security advisories \u0441 \u0448\u0435\u0441\u0442\u044c\u044e \u043d\u043e\u0432\u044b\u043c\u0438 \u043f\u043e\u0437\u0438\u0446\u0438\u044f\u043c\u0438. \u041d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438 \u044d\u0442\u043e\u0439 \u0441\u0442\u0430\u0442\u044c\u0438 \u0430\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 CVE-2026-42530 \u0438 CVE-2026-42055 \u043d\u0435 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043e, PoC \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e \u043d\u0435 \u043e\u043f\u0443\u0431\u043b\u0438\u043a\u043e\u0432\u0430\u043d. \u041f\u043e \u0434\u0430\u043d\u043d\u044b\u043c SOCRadar, \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u043e\u0442\u0441\u043b\u0435\u0436\u0438\u0432\u0430\u044e\u0442 CVE-2026-42530 \u043f\u043e\u0434 \u043d\u0435\u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u043c \u043d\u0430\u0437\u0432\u0430\u043d\u0438\u0435\u043c nginx-quicburst, \u0438 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u0430\u044f \u0432\u0438\u0434\u0435\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u044f \u0431\u0430\u0433\u0430 \u0443\u0436\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u2014 \u044d\u0442\u043e \u0441\u0438\u0433\u043d\u0430\u043b, \u0447\u0442\u043e \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u043e\u0435 \u043f\u043e\u043d\u0438\u043c\u0430\u043d\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u0432\u044b\u0448\u043b\u043e \u0437\u0430 \u043f\u0440\u0435\u0434\u0435\u043b\u044b \u0433\u0440\u0443\u043f\u043f\u044b \u0430\u0432\u0442\u043e\u0440\u043e\u0432-\u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439.<\/p>\n\n\n\n

\u041f\u041e\u0427\u0415\u041c\u0423 \u042d\u0422\u041e \u0412\u0410\u0416\u041d\u041e<\/strong><\/p>\n\n\n\n

\u041e\u0431\u0430 \u0431\u0430\u0433\u0430 \u2014 network-exploitable, unauthenticated, \u0431\u0435\u0437 \u043a\u0430\u043a\u043e\u0433\u043e-\u043b\u0438\u0431\u043e \u0432\u0437\u0430\u0438\u043c\u043e\u0434\u0435\u0439\u0441\u0442\u0432\u0438\u044f \u0441 \u043f\u043e\u043b\u044c\u0437\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u043c. \u042d\u0442\u043e \u043c\u0430\u043a\u0441\u0438\u043c\u0430\u043b\u044c\u043d\u043e \u0431\u043b\u0430\u0433\u043e\u043f\u0440\u0438\u044f\u0442\u043d\u044b\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u044f \u0434\u043b\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e: \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e IP-\u0434\u043e\u0441\u0442\u0443\u043f\u0430 \u0434\u043e \u0432\u0430\u0448\u0435\u0433\u043e nginx \u043d\u0430 \u043f\u043e\u0440\u0442\u0443 443. \u041d\u0435 \u043d\u0443\u0436\u043d\u043e \u0443\u0433\u0430\u0434\u044b\u0432\u0430\u0442\u044c \u043f\u0430\u0440\u043e\u043b\u044c, \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0432 CMS, \u0438\u043b\u0438 \u0436\u0434\u0430\u0442\u044c \u043f\u043e\u043a\u0430 \u043a\u0442\u043e-\u0442\u043e \u043a\u043b\u0438\u043a\u043d\u0435\u0442 \u043d\u0430 \u0441\u0441\u044b\u043b\u043a\u0443. \u041e\u0434\u0438\u043d UDP-\u043f\u0430\u043a\u0435\u0442 \u2014 \u0432\u043e\u0440\u043a\u0435\u0440 \u0443\u043f\u0430\u043b.<\/p>\n\n\n\n

\u041f\u0443\u0442\u0430\u043d\u0438\u0446\u0430 \u0441 CVSS-\u0431\u0430\u043b\u043b\u0430\u043c\u0438 \u0437\u0434\u0435\u0441\u044c \u0440\u0435\u0430\u043b\u044c\u043d\u0430\u044f \u2014 \u0438 \u0435\u0451 \u0441\u0442\u043e\u0438\u0442 \u043f\u043e\u043d\u044f\u0442\u044c. CVE-2026-42530 \u0438 CVE-2026-42055 \u043f\u043e\u043b\u0443\u0447\u0438\u043b\u0438 \u0442\u0440\u0438 \u0440\u0430\u0437\u043d\u044b\u0445 \u043e\u0446\u0435\u043d\u043a\u0438 \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430: CVSS v3.1 \u2014 8.1 (High, \u043f\u043e \u0434\u0430\u043d\u043d\u044b\u043c CSA Singapore \u0438 Tenable), CVSS v4.0 \u2014 9.2 (Critical, \u043f\u043e \u0434\u0430\u043d\u043d\u044b\u043c F5 advisory), \u0438 \u0432\u043d\u0443\u0442\u0440\u0435\u043d\u043d\u0438\u0439 \u0440\u0435\u0439\u0442\u0438\u043d\u0433 nginx.org \u2014 «major» \u0438 «medium» \u0441\u043e\u043e\u0442\u0432\u0435\u0442\u0441\u0442\u0432\u0435\u043d\u043d\u043e. \u0412\u0441\u0435 \u0442\u0440\u0438 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b, \u043e\u043d\u0438 \u043f\u0440\u043e\u0441\u0442\u043e \u0438\u0437\u043c\u0435\u0440\u044f\u044e\u0442 \u0440\u0430\u0437\u043d\u043e\u0435. CVSS v4 \u0438\u0437\u043c\u0435\u043d\u0438\u043b \u0444\u043e\u0440\u043c\u0443\u043b\u0443 \u0440\u0430\u0441\u0447\u0451\u0442\u0430 \u0434\u043b\u044f network-exploitable memory-corruption \u0431\u0430\u0433\u043e\u0432 \u0438 \u0441\u0442\u0430\u043b \u0434\u0430\u0432\u0430\u0442\u044c \u0438\u043c \u0431\u043e\u043b\u0435\u0435 \u0432\u044b\u0441\u043e\u043a\u0438\u0435 \u043e\u0446\u0435\u043d\u043a\u0438, \u0447\u0435\u043c v3.1. \u0420\u0435\u0439\u0442\u0438\u043d\u0433 nginx.org \u043e\u0442\u0440\u0430\u0436\u0430\u0435\u0442 \u0441\u043e\u0431\u0441\u0442\u0432\u0435\u043d\u043d\u0443\u044e \u043e\u0446\u0435\u043d\u043a\u0443 \u043a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u0431 \u043d\u0430\u0434\u0451\u0436\u043d\u043e\u0441\u0442\u0438 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u2014 \u0438\u0441\u0442\u043e\u0440\u0438\u0447\u0435\u0441\u043a\u0438 \u0431\u043e\u043b\u0435\u0435 \u043a\u043e\u043d\u0441\u0435\u0440\u0432\u0430\u0442\u0438\u0432\u043d\u0443\u044e. \u0415\u0441\u043b\u0438 \u0432\u0430\u0448\u0430 vulnerability management \u0441\u0438\u0441\u0442\u0435\u043c\u0430 \u043e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u0443\u0435\u0442\u0441\u044f \u0442\u043e\u043b\u044c\u043a\u043e \u043d\u0430 \u043e\u0434\u043d\u0443 \u0448\u043a\u0430\u043b\u0443, \u0432\u044b \u043c\u043e\u0436\u0435\u0442\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0442\u044c «medium» \u0438 «critical» \u0434\u043b\u044f \u043e\u0434\u043d\u043e\u0433\u043e \u0438 \u0442\u043e\u0433\u043e \u0436\u0435 \u0431\u0430\u0433\u0430 \u0432 \u0437\u0430\u0432\u0438\u0441\u0438\u043c\u043e\u0441\u0442\u0438 \u043e\u0442 \u0438\u0441\u0442\u043e\u0447\u043d\u0438\u043a\u0430. \u041e\u0440\u0438\u0435\u043d\u0442\u0438\u0440\u0443\u0439\u0442\u0435\u0441\u044c \u043d\u0430 CVSS v4.0: 9.2 \u043a\u0430\u043a \u043d\u0430 \u0431\u043e\u043b\u0435\u0435 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u0443\u044e \u0438 \u0442\u043e\u0447\u043d\u0443\u044e \u043e\u0446\u0435\u043d\u043a\u0443.<\/p>\n\n\n\n

CVE-2026-42055 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u0442 nginx 1.13.10 \u2014 1.31.1. \u0412\u0435\u0440\u0441\u0438\u044f 1.13.10 \u043e\u0442\u043d\u043e\u0441\u0438\u0442\u0441\u044f \u043a 2017\u20132018 \u0433\u043e\u0434\u0430\u043c \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041f\u043e\u0447\u0442\u0438 \u0434\u0435\u0441\u044f\u0442\u0438\u043b\u0435\u0442\u0438\u0435 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0433\u043e \u043a\u043e\u0434\u0430 \u2014 \u043f\u0440\u0438 \u0443\u0441\u043b\u043e\u0432\u0438\u0438, \u0447\u0442\u043e \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442. «\u0421\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0430\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f» \u0437\u0434\u0435\u0441\u044c \u043d\u0435 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442 «\u044d\u043a\u0437\u043e\u0442\u0438\u0447\u0435\u0441\u043a\u0430\u044f»: HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0441 \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c\u0438 \u0438 \u0443\u0432\u0435\u043b\u0438\u0447\u0435\u043d\u043d\u044b\u043c\u0438 \u0431\u0443\u0444\u0435\u0440\u0430\u043c\u0438 \u2014 \u044d\u0442\u043e \u0440\u043e\u0432\u043d\u043e \u0442\u043e, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u044e\u0442 \u043f\u0440\u0438 \u043e\u0431\u0441\u043b\u0443\u0436\u0438\u0432\u0430\u043d\u0438\u0438 gRPC-\u0442\u0440\u0430\u0444\u0438\u043a\u0430, \u043a\u0440\u0443\u043f\u043d\u044b\u0445 JWT \u0438 \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 API-\u0441\u0445\u0435\u043c. Production \u0441 \u043c\u0438\u043a\u0440\u043e\u0441\u0435\u0440\u0432\u0438\u0441\u0430\u043c\u0438.<\/p>\n\n\n\n

\u041e\u0411\u041d\u041e\u0412\u041b\u0415\u041d\u0418\u0415<\/strong><\/p>\n\n\n\n

\u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u0442\u0435\u043a\u0443\u0449\u0443\u044e \u0432\u0435\u0440\u0441\u0438\u044e nginx \u2014 \u043e\u043d\u0430 \u043f\u043e\u043a\u0430\u0436\u0435\u0442, \u043d\u0430 mainline \u0438\u043b\u0438 stable \u0432\u0435\u0442\u043a\u0435 \u0432\u044b \u043d\u0430\u0445\u043e\u0434\u0438\u0442\u0435\u0441\u044c \u0438 \u043d\u0443\u0436\u043d\u043e \u043b\u0438 \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0442\u044c\u0441\u044f:<\/p>\n\n\n\n

nginx -v<\/code><\/pre>\n\n\n\n
\u0415\u0441\u043b\u0438 \u0432\u044b\u0432\u043e\u0434 \u043f\u043e\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 1.31.0 \u0438\u043b\u0438 1.31.1 \u2014 \u0432\u044b \u0443\u044f\u0437\u0432\u0438\u043c\u044b \u043a CVE-2026-42530 \u0438 CVE-2026-42055. \u0415\u0441\u043b\u0438 \u043b\u044e\u0431\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f \u043e\u0442 1.13.10 \u0434\u043e 1.31.1 \u2014 \u043a CVE-2026-42055. \u041e\u0431\u043d\u043e\u0432\u0438\u0442\u0435\u0441\u044c \u0434\u043e 1.31.2 (mainline) \u0438\u043b\u0438 1.30.3 (stable). \u041d\u0430 Ubuntu\/Debian, \u0435\u0441\u043b\u0438 nginx \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0438\u0437 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f nginx.org \u2014 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u043e\u0431\u043d\u043e\u0432\u0438\u0442 \u0434\u043e \u0430\u043a\u0442\u0443\u0430\u043b\u044c\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438:<\/p>\n\n\n\n
apt update && apt install nginx<\/code><\/pre>\n\n\n\n
\u0415\u0441\u043b\u0438 nginx \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d \u0438\u0437 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0433\u043e \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f \u0434\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0442\u0438\u0432\u0430 (\u043d\u0430\u043f\u0440\u0438\u043c\u0435\u0440, Ubuntu universe) \u2014 \u0442\u0430\u043c \u043c\u043e\u0436\u0435\u0442 \u0431\u044b\u0442\u044c \u0441\u0442\u0430\u0440\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f, \u043d\u0435 \u043f\u043e\u043b\u0443\u0447\u0438\u0432\u0448\u0430\u044f \u043f\u0430\u0442\u0447. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u043e\u0442\u043a\u0443\u0434\u0430 \u043f\u0440\u0438\u0448\u0451\u043b \u043f\u0430\u043a\u0435\u0442: apt-cache policy nginx<\/code>. \u0415\u0441\u043b\u0438 \u0432\u0438\u0434\u0438\u0442\u0435 \u0430\u0434\u0440\u0435\u0441 \u0432\u0438\u0434\u0430 nginx.org\/packages<\/code> \u2014 \u0432\u0441\u0451 \u0432 \u043f\u043e\u0440\u044f\u0434\u043a\u0435. \u0415\u0441\u043b\u0438 \u0430\u0434\u0440\u0435\u0441 \u0434\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0442\u0438\u0432\u0430 \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u0432\u0435\u0440\u0441\u0438\u044e \u0438 \u043f\u0440\u0438 \u043d\u0435\u043e\u0431\u0445\u043e\u0434\u0438\u043c\u043e\u0441\u0442\u0438 \u043f\u0435\u0440\u0435\u043a\u043b\u044e\u0447\u0438\u0442\u0435\u0441\u044c \u043d\u0430 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0439 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0439 nginx.org.<\/p>\n\n\n\n
\u041d\u0430 RHEL\/CentOS\/AlmaLinux \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 dnf \u2014 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u043e\u0431\u043d\u043e\u0432\u0438\u0442 nginx \u0434\u043e \u043f\u043e\u0441\u043b\u0435\u0434\u043d\u0435\u0439 \u0434\u043e\u0441\u0442\u0443\u043f\u043d\u043e\u0439 \u0432\u0435\u0440\u0441\u0438\u0438 \u0432 \u043f\u043e\u0434\u043a\u043b\u044e\u0447\u0451\u043d\u043d\u044b\u0445 \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u044f\u0445:<\/p>\n\n\n\n
dnf update nginx<\/code><\/pre>\n\n\n\n
\u041f\u043e\u0441\u043b\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u0443\u0431\u0435\u0434\u0438\u0442\u0435\u0441\u044c \u0447\u0442\u043e \u0437\u0430\u043f\u0443\u0449\u0435\u043d\u0430 \u043d\u043e\u0432\u0430\u044f \u0432\u0435\u0440\u0441\u0438\u044f \u2014 \u0432\u044b\u0432\u043e\u0434 \u0434\u043e\u043b\u0436\u0435\u043d \u043f\u043e\u043a\u0430\u0437\u0430\u0442\u044c 1.31.2 \u0438\u043b\u0438 1.30.3:<\/p>\n\n\n\n
nginx -v && systemctl status nginx<\/code><\/pre>\n\n\n\n
\u0415\u0441\u043b\u0438 \u043d\u0435\u043c\u0435\u0434\u043b\u0435\u043d\u043d\u043e\u0435 \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435 \u043d\u0435\u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u2014 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0439\u0442\u0435 \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0435 \u043c\u0435\u0440\u044b. \u041e\u043d\u0438 \u0441\u043d\u0438\u0436\u0430\u044e\u0442 risk, \u043d\u043e \u043d\u0435 \u0437\u0430\u043c\u0435\u043d\u044f\u044e\u0442 \u043f\u0430\u0442\u0447: \u043e\u0431\u043d\u043e\u0432\u0438\u0442\u0435\u0441\u044c \u043f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u0439 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e\u0441\u0442\u0438. \u0414\u043b\u044f CVE-2026-42530: \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u0442\u0435 HTTP\/3, \u0443\u0431\u0440\u0430\u0432 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440 quic<\/code> \u0438\u0437 \u0432\u0441\u0435\u0445 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432 listen<\/code>. \u042d\u0442\u043e \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u0443\u0441\u0442\u0440\u0430\u043d\u044f\u0435\u0442 attack surface, \u043f\u043e\u0442\u043e\u043c\u0443 \u0447\u0442\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043d\u0435\u0434\u043e\u0441\u0442\u0438\u0436\u0438\u043c\u0430 \u0431\u0435\u0437 HTTP\/3. \u0423\u0431\u0435\u0434\u0438\u0442\u0435\u0441\u044c \u0447\u0442\u043e quic<\/code> \u043d\u0435 \u043e\u0441\u0442\u0430\u043b\u043e\u0441\u044c \u043d\u0438\u0433\u0434\u0435 \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u2014 \u043a\u043e\u043c\u0430\u043d\u0434\u0430 \u0432\u044b\u0432\u0435\u0434\u0435\u0442 \u0432\u0441\u0435 \u0441\u0442\u0440\u043e\u043a\u0438 \u0433\u0434\u0435 \u0432\u0441\u0442\u0440\u0435\u0447\u0430\u0435\u0442\u0441\u044f \u044d\u0442\u043e \u0441\u043b\u043e\u0432\u043e:<\/p>\n\n\n\n
grep -r \"quic\" \/etc\/nginx\/<\/code><\/pre>\n\n\n\n
\u0415\u0441\u043b\u0438 \u0432 \u0432\u044b\u0432\u043e\u0434\u0435 \u0435\u0441\u0442\u044c \u0441\u0442\u0440\u043e\u043a\u0438 \u0432\u0438\u0434\u0430 listen 443 quic reuseport;<\/code> \u0438\u043b\u0438 http3 on;<\/code> \u2014 \u0438\u043c\u0435\u043d\u043d\u043e \u044d\u0442\u0438 \u0441\u0442\u0440\u043e\u043a\u0438 \u043d\u0443\u0436\u043d\u043e \u0437\u0430\u043a\u043e\u043c\u043c\u0435\u043d\u0442\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0438\u043b\u0438 \u0443\u0434\u0430\u043b\u0438\u0442\u044c, \u043f\u043e\u0441\u043b\u0435 \u0447\u0435\u0433\u043e \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u0438\u0442\u044c nginx. \u0415\u0441\u043b\u0438 \u0432\u044b\u0432\u043e\u0434 \u043f\u0443\u0441\u0442\u043e\u0439 \u2014 HTTP\/3 \u043d\u0435 \u0432\u043a\u043b\u044e\u0447\u0451\u043d, CVE-2026-42530 \u0432\u0430\u0441 \u043d\u0435 \u043a\u0430\u0441\u0430\u0435\u0442\u0441\u044f.<\/p>\n\n\n\n
\u0414\u043b\u044f CVE-2026-42055: \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u043e\u0432\u0438\u0442\u0435 \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u043e\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u0435 ignore_invalid_headers<\/code> (\u0442\u043e \u0435\u0441\u0442\u044c on<\/code>) \u0438\u043b\u0438 \u0443\u043c\u0435\u043d\u044c\u0448\u0438\u0442\u0435 large_client_header_buffers<\/code> \u043d\u0438\u0436\u0435 2 \u041c\u0411. \u041e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0434\u0432\u0443\u0445 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u2014 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u043e\u0431\u0430 \u0443\u0441\u043b\u043e\u0432\u0438\u044f \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e. \u041f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u0447\u0442\u043e \u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0435 \u0435\u0441\u0442\u044c \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u043d\u044b\u0435 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u044b:<\/p>\n\n\n\n
grep -r \"ignore_invalid_headers\\|large_client_header_buffers\" \/etc\/nginx\/<\/code><\/pre>\n\n\n\n
\u0415\u0441\u043b\u0438 \u0441\u0442\u0440\u043e\u043a \u043d\u0435\u0442 \u2014 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c CVE-2026-42055 \u0432\u0430\u0441 \u043d\u0435 \u043a\u0430\u0441\u0430\u0435\u0442\u0441\u044f \u043f\u0440\u0438 \u0434\u0435\u0444\u043e\u043b\u0442\u043d\u044b\u0445 \u043d\u0430\u0441\u0442\u0440\u043e\u0439\u043a\u0430\u0445. \u0415\u0441\u043b\u0438 \u0441\u0442\u0440\u043e\u043a\u0438 \u0435\u0441\u0442\u044c \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u044c\u0442\u0435 \u0437\u043d\u0430\u0447\u0435\u043d\u0438\u044f: ignore_invalid_headers off<\/code> \u0432\u043c\u0435\u0441\u0442\u0435 \u0441 large_client_header_buffers<\/code> \u0431\u043e\u043b\u044c\u0448\u0435 2 \u041c\u0411 \u044d\u0442\u043e \u0443\u044f\u0437\u0432\u0438\u043c\u0430\u044f \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f. \u041f\u043e\u0441\u043b\u0435 \u043b\u044e\u0431\u044b\u0445 \u0438\u0437\u043c\u0435\u043d\u0435\u043d\u0438\u0439 \u2014 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0430 \u0441\u0438\u043d\u0442\u0430\u043a\u0441\u0438\u0441\u0430 \u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u0433\u0440\u0443\u0437\u043a\u0430:<\/p>\n\n\n\n
nginx -t && systemctl reload nginx<\/code><\/pre>\n\n\n\n
\u0412\u042b\u0412\u041e\u0414\u042b<\/strong><\/p>\n\n\n\n
\u0414\u0432\u0430 critical-\u043a\u043b\u0430\u0441\u0441\u0430 \u0431\u0430\u0433\u0430 \u0432 nginx \u0432 \u043e\u0434\u0438\u043d \u0434\u0435\u043d\u044c \u2014 \u044d\u0442\u043e \u043d\u0435 \u0440\u044f\u0434\u043e\u0432\u043e\u0435 \u0441\u043e\u0431\u044b\u0442\u0438\u0435, \u0438 \u0432\u043d\u0435\u043f\u043b\u0430\u043d\u043e\u0432\u044b\u0439 advisory \u043e\u0442 F5 \u044d\u0442\u043e \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442. CVE-2026-42530 \u0437\u0430\u0442\u0440\u0430\u0433\u0438\u0432\u0430\u0435\u0442 \u0443\u0437\u043a\u0438\u0439, \u043d\u043e \u0431\u044b\u0441\u0442\u0440\u043e \u0440\u0430\u0441\u0442\u0443\u0449\u0438\u0439 \u0441\u0435\u0433\u043c\u0435\u043d\u0442 \u2014 \u0442\u0435\u0445, \u043a\u0442\u043e \u0432\u043a\u043b\u044e\u0447\u0438\u043b \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0443 HTTP\/3 \u0432 1.31.x. CVE-2026-42055 \u043f\u043e\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043e\u0433\u0440\u043e\u043c\u043d\u044b\u0439 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d \u0432\u0435\u0440\u0441\u0438\u0439 \u2014 1.13.10 \u2014 1.31.1 \u2014 \u043f\u0440\u0438 \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u043e\u0439, \u043d\u043e \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u0440\u0430\u0441\u043f\u0440\u043e\u0441\u0442\u0440\u0430\u043d\u0451\u043d\u043d\u043e\u0439 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438.<\/p>\n\n\n\n
\u0412\u0441\u0435 \u0442\u0440\u0438 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0438 \u2014 CVE-2026-42530, CVE-2026-42055 \u0438 CVE-2026-48142 \u2014 \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u044e\u0442\u0441\u044f \u043e\u0434\u043d\u0438\u043c \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u0435\u043c \u0434\u043e 1.31.2. \u041f\u0430\u0442\u0447 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442, \u043e\u043d \u0441\u0442\u0430\u0431\u0438\u043b\u0435\u043d, \u043e\u043d \u0432\u044b\u0448\u0435\u043b \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u0441 advisory. \u0415\u0441\u043b\u0438 \u0432\u044b \u043d\u0430 Debian\/Ubuntu \u0441 nginx.org \u0440\u0435\u043f\u043e\u0437\u0438\u0442\u043e\u0440\u0438\u0435\u043c \u2014 \u043e\u0431\u043d\u043e\u0432\u0438\u0442\u0435\u0441\u044c \u043f\u0440\u044f\u043c\u043e \u0441\u0435\u0439\u0447\u0430\u0441. \u041d\u0430 RHEL\/AlmaLinux \u2014 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u043e \u0447\u0435\u0440\u0435\u0437 dnf. \u0418\u0441\u0442\u043e\u0440\u0438\u044f \u0441 NGINX Rift \u043f\u043e\u043a\u0430\u0437\u0430\u043b\u0430, \u0447\u0442\u043e \u043e\u043a\u043d\u043e \u043c\u0435\u0436\u0434\u0443 «\u043f\u0430\u0442\u0447 \u0432\u044b\u0448\u0435\u043b» \u0438 «\u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442 \u0432 \u0434\u0438\u043a\u043e\u0439 \u043f\u0440\u0438\u0440\u043e\u0434\u0435» \u0438\u0437\u043c\u0435\u0440\u044f\u0435\u0442\u0441\u044f \u0434\u043d\u044f\u043c\u0438, \u0430 \u043d\u0435 \u043d\u0435\u0434\u0435\u043b\u044f\u043c\u0438. \u041a\u043e\u043c\u0430\u043d\u0434\u044b \u043e\u0431\u043d\u043e\u0432\u043b\u0435\u043d\u0438\u044f \u0438 \u043f\u0440\u043e\u0432\u0435\u0440\u043a\u0438 \u0440\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442\u0430 \u0435\u0441\u0442\u044c \u0432 \u0441\u0435\u043a\u0446\u0438\u0438 \u041e\u0411\u041d\u041e\u0412\u041b\u0415\u041d\u0418\u0415 \u0432\u044b\u0448\u0435.<\/p>\n","protected":false},"excerpt":{"rendered":"
\u041f\u0440\u0435\u0434\u0441\u0442\u0430\u0432\u044c\u0442\u0435: \u0432\u0430\u0448 nginx \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043d\u0430 Ubuntu, \u043e\u0431\u0441\u043b\u0443\u0436\u0438\u0432\u0430\u0435\u0442 API-\u0448\u043b\u044e\u0437 \u0441 HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435\u043c \u043d\u0430 \u043c\u0438\u043a\u0440\u043e\u0441\u0435\u0440\u0432\u0438\u0441\u044b. \u0412\u044b \u043a\u043e\u0433\u0434\u0430-\u0442\u043e \u043c\u0435\u043d\u044f\u043b\u0438 ignore_invalid_headers off \u2014 \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u043e\u043f\u0443\u0441\u043a\u0430\u0442\u044c \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043e\u0442 \u043e\u0434\u043d\u043e\u0433\u043e \u0438\u0437 \u0431\u044d\u043a\u0435\u043d\u0434\u043e\u0432 \u2014 \u0438 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b\u0438 large_client_header_buffers \u0434\u043e 4 \u041c\u0411 \u043f\u043e\u0434 \u0431\u043e\u043b\u044c\u0448\u0438\u0435 JWT. \u0412\u0441\u0451 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442, \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u043f\u0440\u043e\u0431\u043b\u0435\u043c. \u0410 17 \u0438\u044e\u043d\u044f 2026 \u0433\u043e\u0434\u0430 F5 \u0432\u044b\u043f\u0443\u0441\u0442\u0438\u043b\u0430 \u0432\u043d\u0435\u043f\u043b\u0430\u043d\u043e\u0432\u044b\u0439 security advisory \u0438 \u0432\u044b\u044f\u0441\u043d\u0438\u043b\u043e\u0441\u044c: \u0438\u043c\u0435\u043d\u043d\u043e \u0432\u0430\u0448\u0430 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u0435\u0442 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443 \u0431\u0435\u0437 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043a\u0440\u0430\u0448\u0438\u0442\u044c \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u044b nginx \u043e\u0434\u043d\u0438\u043c \u0437\u0430\u043f\u0440\u043e\u0441\u043e\u043c. \u0418 \u044d\u0442\u043e \u0442\u043e\u043b\u044c\u043a\u043e \u043e\u0434\u0438\u043d \u0438\u0437 \u0434\u0432\u0443\u0445 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0431\u0430\u0433\u043e\u0432, \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0445 \u0432 \u0442\u043e\u0442 \u0434\u0435\u043d\u044c. F5 \u043e\u043f\u0438\u0441\u0430\u043b\u0430 \u0448\u0435\u0441\u0442\u044c \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u0435\u0439 \u0432 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u0430\u0445 NGINX-\u044d\u043a\u043e\u0441\u0438\u0441\u0442\u0435\u043c\u044b. \u0414\u0432\u0430 \u0438\u0437 \u043d\u0438\u0445 \u2014 \u043a\u0440\u0438\u0442\u0438\u0447\u0435\u0441\u043a\u0438\u0435 RCE-\u043a\u043b\u0430\u0441\u0441\u0430, \u0441 CVSS v4.0: 9.2 \u043a\u0430\u0436\u0434\u044b\u0439. CVE-2026-42530 \u2014 use-after-free \u0432 \u043c\u043e\u0434\u0443\u043b\u0435 ngx_http_v3_module, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 HTTP\/3 \u043f\u043e\u0432\u0435\u0440\u0445 QUIC. CVE-2026-42055 \u2014 heap-based buffer overflow \u0432 \u043c\u043e\u0434\u0443\u043b\u044f\u0445 HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f \u0438 gRPC-\u043f\u0440\u043e\u0445\u043e\u0434\u0430. \u041e\u0431\u0430 \u043f\u043e\u0437\u0432\u043e\u043b\u044f\u044e\u0442 \u043d\u0435\u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u0446\u0438\u0440\u043e\u0432\u0430\u043d\u043d\u043e\u043c\u0443 \u0443\u0434\u0430\u043b\u0451\u043d\u043d\u043e\u043c\u0443 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u043c\u0443 \u0432\u044b\u0437\u0432\u0430\u0442\u044c \u043a\u0440\u0430\u0448 \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430 nginx, \u0430 \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0431\u0435\u0437 ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0435 \u2014 \u043f\u043e\u0442\u0435\u043d\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0438\u0442\u044c \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u044b\u0439 \u043a\u043e\u0434. \u041e\u0431\u0430 \u0437\u0430\u043a\u0440\u044b\u0442\u044b \u0432 nginx 1.31.2, \u0432\u044b\u0448\u0435\u0434\u0448\u0435\u043c \u0432 \u0442\u043e\u0442 \u0436\u0435 \u0434\u0435\u043d\u044c. \u0410\u043a\u0442\u0438\u0432\u043d\u043e\u0439 \u044d\u043a\u0441\u043f\u043b\u0443\u0430\u0442\u0430\u0446\u0438\u0438 \u043d\u0430 \u043c\u043e\u043c\u0435\u043d\u0442 \u043f\u0443\u0431\u043b\u0438\u043a\u0430\u0446\u0438\u0438 \u043d\u0435 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u043e. \u041d\u043e \u044d\u0442\u043e \u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e\u0435 \u0441\u043e\u0441\u0442\u043e\u044f\u043d\u0438\u0435: CVE-2026-42945 (NGINX Rift) \u0432 \u043c\u0430\u0435 2026 \u043f\u0440\u043e\u0448\u0451\u043b \u043f\u0443\u0442\u044c \u043e\u0442 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0433\u043e \u0440\u0430\u0441\u043a\u0440\u044b\u0442\u0438\u044f \u0434\u043e \u0440\u0430\u0431\u043e\u0447\u0435\u0433\u043e \u044d\u043a\u0441\u043f\u043b\u043e\u0439\u0442\u0430 \u0432 \u0440\u0443\u043a\u0430\u0445 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0445 \u043c\u0435\u043d\u044c\u0448\u0435 \u0447\u0435\u043c \u0437\u0430 \u043d\u0435\u0434\u0435\u043b\u044e. \u0420\u0430\u0431\u043e\u0447\u0438\u0439 PoC \u0431\u044b\u043b \u0440\u0435\u043a\u043e\u043d\u0441\u0442\u0440\u0443\u0438\u0440\u043e\u0432\u0430\u043d \u0438\u0437 diff \u043f\u0430\u0442\u0447\u0430 \u043f\u0440\u0430\u043a\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043c\u0433\u043d\u043e\u0432\u0435\u043d\u043d\u043e. \u0423 \u044d\u0442\u0438\u0445 \u0434\u0432\u0443\u0445 \u043d\u0435\u0442 \u043f\u0440\u0438\u0447\u0438\u043d \u0431\u044b\u0442\u044c \u043c\u0435\u0434\u043b\u0435\u043d\u043d\u0435\u0435. \u041a\u0410\u041a \u0420\u0410\u0411\u041e\u0422\u0410\u0415\u0422 \u0411\u0410\u0413 \u0412 HTTP\/3 (CVE-2026-42530) HTTP\/3 \u0440\u0430\u0431\u043e\u0442\u0430\u0435\u0442 \u043f\u043e\u0432\u0435\u0440\u0445 \u0442\u0440\u0430\u043d\u0441\u043f\u043e\u0440\u0442\u043d\u043e\u0433\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0430 QUIC, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u0432 \u043e\u0442\u043b\u0438\u0447\u0438\u0435 \u043e\u0442 TCP \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0434\u0430\u043d\u043d\u044b\u0435 \u0447\u0435\u0440\u0435\u0437 \u043d\u0435\u0441\u043a\u043e\u043b\u044c\u043a\u043e \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 (streams) \u0432\u043d\u0443\u0442\u0440\u0438 \u043e\u0434\u043d\u043e\u0433\u043e \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f. \u0414\u043b\u044f \u0441\u0436\u0430\u0442\u0438\u044f \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u043e\u0432 \u0432 HTTP\/3 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u043c\u0435\u0445\u0430\u043d\u0438\u0437\u043c QPACK \u2014 \u043e\u043d \u0443\u0441\u0442\u0440\u043e\u0435\u043d \u0441\u043b\u043e\u0436\u043d\u0435\u0435 \u0447\u0435\u043c HPACK \u0438\u0437 HTTP\/2 \u0438\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u0442\u043e\u043c\u0443, \u0447\u0442\u043e QUIC-\u043f\u043e\u0442\u043e\u043a\u0438 \u043c\u043e\u0433\u0443\u0442 \u043f\u0440\u0438\u0445\u043e\u0434\u0438\u0442\u044c \u0432 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u043c \u043f\u043e\u0440\u044f\u0434\u043a\u0435. QPACK \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442 \u0434\u0432\u0430 \u0441\u043f\u0435\u0446\u0438\u0430\u043b\u044c\u043d\u044b\u0445 \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u044c\u043d\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u0430: encoder stream (\u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u0435\u043b\u044c \u043e\u0431\u043d\u043e\u0432\u043b\u044f\u0435\u0442 \u0442\u0430\u0431\u043b\u0438\u0446\u0443 \u0441\u0436\u0430\u0442\u0438\u044f) \u0438 decoder stream (\u043f\u043e\u043b\u0443\u0447\u0430\u0442\u0435\u043b\u044c \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u0435\u0442). \u041f\u043e \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b\u0443 \u043a\u0430\u0436\u0434\u044b\u0439 \u0438\u0437 \u044d\u0442\u0438\u0445 \u043f\u043e\u0442\u043e\u043a\u043e\u0432 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043e\u0434\u0438\u043d \u0440\u0430\u0437 \u043d\u0430 \u0432\u0440\u0435\u043c\u044f \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u0438 \u043d\u0435 \u043f\u0435\u0440\u0435\u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442\u0441\u044f. \u0411\u0430\u0433 \u0432 ngx_http_v3_module \u2014 \u0432 \u0442\u043e\u043c, \u043a\u0430\u043a nginx \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u0441\u0438\u0442\u0443\u0430\u0446\u0438\u044e, \u043a\u043e\u0433\u0434\u0430 \u043a\u043b\u0438\u0435\u043d\u0442 \u0432 \u0440\u0430\u043c\u043a\u0430\u0445 \u0443\u0436\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u044e\u0449\u0435\u0433\u043e HTTP\/3-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u043f\u044b\u0442\u0430\u0435\u0442\u0441\u044f \u043e\u0442\u043a\u0440\u044b\u0442\u044c QPACK encoder stream \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u043e. \u041f\u0440\u0438 \u043f\u0435\u0440\u0432\u043e\u043c \u043e\u0442\u043a\u0440\u044b\u0442\u0438\u0438 nginx \u0432\u044b\u0434\u0435\u043b\u044f\u0435\u0442 \u043f\u0430\u043c\u044f\u0442\u044c \u043f\u043e\u0434 \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b \u0434\u0430\u043d\u043d\u044b\u0445 \u043f\u043e\u0442\u043e\u043a\u0430. \u041f\u0440\u0438 \u0437\u0430\u043a\u0440\u044b\u0442\u0438\u0438 \u2014 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0430\u0435\u0442 \u0435\u0451. \u041a\u043e\u0433\u0434\u0430 \u043a\u043b\u0438\u0435\u043d\u0442 \u043f\u0435\u0440\u0435\u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u043f\u043e\u0442\u043e\u043a, nginx \u043d\u0435 \u043f\u0440\u043e\u0432\u0435\u0440\u044f\u0435\u0442 \u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e \u044d\u0442\u043e \u0433\u0440\u0430\u043d\u0438\u0447\u043d\u043e\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u0435: \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441 \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430\u043c \u0434\u0430\u043d\u043d\u044b\u0445, \u043a\u043e\u0442\u043e\u0440\u044b\u0435 \u0443\u0436\u0435 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0435\u043d\u044b. Use-after-free (CWE-416) \u0432 \u043a\u043b\u0430\u0441\u0441\u0438\u0447\u0435\u0441\u043a\u043e\u043c \u0432\u0438\u0434\u0435 \u2014 \u0447\u0442\u0435\u043d\u0438\u0435 \u0438\u043b\u0438 \u0437\u0430\u043f\u0438\u0441\u044c \u0432 \u043f\u0430\u043c\u044f\u0442\u044c, \u043a\u043e\u0442\u043e\u0440\u0430\u044f \u0443\u0436\u0435 \u043e\u0442\u0434\u0430\u043d\u0430 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u0443 \u0438\u043b\u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u043d\u0430 \u043f\u043e\u0434 \u0434\u0440\u0443\u0433\u043e\u0439 \u043e\u0431\u044a\u0435\u043a\u0442. \u0417\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b \u0442\u043e\u043b\u044c\u043a\u043e NGINX Open Source 1.31.0 \u0438 1.31.1 \u2014 \u0442\u0435 \u0432\u0435\u0440\u0441\u0438\u0438, \u0433\u0434\u0435 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u043a\u0430 HTTP\/3 \u0431\u044b\u043b\u0430 \u0434\u043e\u0431\u0430\u0432\u043b\u0435\u043d\u0430 \u0438\u043b\u0438 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u043f\u0435\u0440\u0435\u0440\u0430\u0431\u043e\u0442\u0430\u043d\u0430. \u0412\u0435\u0442\u043a\u0430 1.30.x \u043d\u0435 \u0437\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u0430. CWE-416 \u0437\u0430\u0444\u0438\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c advisory F5 \u043f\u043e\u0434 \u043d\u043e\u043c\u0435\u0440\u043e\u043c NPS-8. \u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 Trung Nguyen (@everping) \u0438\u0437 CyStack \u2014 \u0435\u0433\u043e \u0438\u043c\u044f \u0443\u043a\u0430\u0437\u0430\u043d\u043e \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c nginx changelog. F5 \u0432 advisory K000161616 \u0434\u043e\u043f\u043e\u043b\u043d\u0438\u0442\u0435\u043b\u044c\u043d\u043e \u043a\u0440\u0435\u0434\u0438\u0442\u0443\u0435\u0442 Zhenpeng (Leo) Lin (depthfirst), Evan Hellman (@xintenseapple) \u0438\u0437 Trail of Bits \u0441\u043e\u0432\u043c\u0435\u0441\u0442\u043d\u043e \u0441 OpenAI, \u0438 \u043a\u043e\u043c\u0430\u043d\u0434\u044b AntAISecurityLab \u0438 Nebula Security (@nebusecurity). \u041a\u0410\u041a \u0420\u0410\u0411\u041e\u0422\u0410\u0415\u0422 \u0411\u0410\u0413 \u0412 HTTP\/2-\u041f\u0420\u041e\u041a\u0421\u0418 \u0418 gRPC (CVE-2026-42055) \u042d\u0442\u0430 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0442\u0440\u0451\u0445 \u043d\u0435\u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0445 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u043e\u0432 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e. \u041f\u0435\u0440\u0432\u044b\u0439: HTTP\/2-\u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u043a\u043b\u044e\u0447\u0435\u043d\u043e \u0447\u0435\u0440\u0435\u0437 proxy_http_version 2 \u0438\u043b\u0438 \u0438\u0441\u043f\u043e\u043b\u044c\u0437\u0443\u0435\u0442\u0441\u044f \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u0430 grpc_pass. \u0412\u0442\u043e\u0440\u043e\u0439: \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u0430 ignore_invalid_headers \u0443\u0441\u0442\u0430\u043d\u043e\u0432\u043b\u0435\u043d\u0430 \u0432 off. \u0422\u0440\u0435\u0442\u0438\u0439: \u0440\u0430\u0437\u043c\u0435\u0440 large_client_header_buffers \u043f\u0440\u0435\u0432\u044b\u0448\u0430\u0435\u0442 2 \u043c\u0435\u0433\u0430\u0431\u0430\u0439\u0442\u0430. \u041f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u0432\u0441\u0435 \u0442\u0440\u0438 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u0430 \u043d\u0435 \u0441\u043e\u0437\u0434\u0430\u044e\u0442 \u043f\u0440\u043e\u0431\u043b\u0435\u043c\u044b \u2014 ignore_invalid_headers \u043f\u043e \u0434\u0435\u0444\u043e\u043b\u0442\u0443 on, \u0430 large_client_header_buffers \u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e 4 \u0431\u0443\u0444\u0435\u0440\u0430 \u043f\u043e 8 \u041a\u0411 \u043a\u0430\u0436\u0434\u044b\u0439. \u041a\u043e\u0433\u0434\u0430 ignore_invalid_headers off, nginx \u043f\u0435\u0440\u0435\u0441\u0442\u0430\u0451\u0442 \u043e\u0442\u0444\u0438\u043b\u044c\u0442\u0440\u043e\u0432\u044b\u0432\u0430\u0442\u044c \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u0441 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u043c\u0438 \u0438\u043c\u0435\u043d\u0430\u043c\u0438 \u0435\u0449\u0451 \u043d\u0430 \u0432\u0445\u043e\u0434\u0435 \u0438 \u043f\u0435\u0440\u0435\u0434\u0430\u0451\u0442 \u0438\u0445 \u0434\u0430\u043b\u044c\u0448\u0435 \u2014 \u0432 \u0442\u043e\u043c \u0447\u0438\u0441\u043b\u0435 \u043f\u0440\u0438 \u0444\u043e\u0440\u043c\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 upstream-\u0437\u0430\u043f\u0440\u043e\u0441\u0430. \u041c\u043e\u0434\u0443\u043b\u0438 ngx_http_proxy_v2_module \u0438 ngx_http_grpc_module \u0441\u0442\u0440\u043e\u044f\u0442 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 upstream-\u0437\u0430\u043f\u0440\u043e\u0441\u0430, \u043a\u043e\u043f\u0438\u0440\u0443\u044f \u0434\u0430\u043d\u043d\u044b\u0435 \u0432 heap-\u0431\u0443\u0444\u0435\u0440. \u0420\u0430\u0437\u043c\u0435\u0440 \u044d\u0442\u043e\u0433\u043e \u0431\u0443\u0444\u0435\u0440\u0430 \u0440\u0430\u0441\u0441\u0447\u0438\u0442\u044b\u0432\u0430\u0435\u0442\u0441\u044f \u043d\u0430 \u043e\u0441\u043d\u043e\u0432\u0435 \u043f\u0440\u0435\u0434\u043f\u043e\u043b\u043e\u0436\u0435\u043d\u0438\u044f, \u0447\u0442\u043e \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043f\u0440\u043e\u0448\u043b\u0438 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044e. \u041a\u043e\u0433\u0434\u0430 large_client_header_buffers \u0431\u043e\u043b\u044c\u0448\u0435 2 \u041c\u0411 \u0438 \u0432\u0430\u043b\u0438\u0434\u0430\u0446\u0438\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u2014 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043c\u043e\u0436\u0435\u0442 \u043e\u0442\u043f\u0440\u0430\u0432\u0438\u0442\u044c \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u0435 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438, \u0447\u0442\u043e\u0431\u044b \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0435 \u0432\u044b\u0448\u043b\u043e \u0437\u0430 \u0433\u0440\u0430\u043d\u0438\u0446\u044b \u0432\u044b\u0434\u0435\u043b\u0435\u043d\u043d\u043e\u0433\u043e \u0431\u0443\u0444\u0435\u0440\u0430. Heap-based buffer overflow (CWE-122) \u043a\u043e\u0440\u0440\u0430\u043f\u0442\u0438\u0442 \u0441\u043e\u0441\u0435\u0434\u043d\u0438\u0435 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u043d\u044b\u0435 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u043b\u0438 \u0436\u0438\u0432\u044b\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u0432 \u043a\u0443\u0447\u0435. \u0423\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0431\u044b\u043b\u0430 \u043e\u0431\u043d\u0430\u0440\u0443\u0436\u0435\u043d\u0430 Mufeed VH \u0438\u0437 Winfunc Research \u2014 \u044d\u0442\u043e \u0438\u043c\u044f \u043f\u043e\u044f\u0432\u043b\u044f\u0435\u0442\u0441\u044f \u0432 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u043c nginx.org changelog \u0434\u043b\u044f \u0432\u0435\u0440\u0441\u0438\u0438 1.31.2. \u0417\u0430\u0442\u0440\u043e\u043d\u0443\u0442\u044b nginx 1.13.10 \u2014 1.31.1: \u044d\u0442\u043e \u043e\u0433\u0440\u043e\u043c\u043d\u044b\u0439 \u0434\u0438\u0430\u043f\u0430\u0437\u043e\u043d \u0432\u0435\u0440\u0441\u0438\u0439, \u043e\u0445\u0432\u0430\u0442\u044b\u0432\u0430\u044e\u0449\u0438\u0439 \u043f\u043e\u0447\u0442\u0438 \u0434\u0435\u0441\u044f\u0442\u0438\u043b\u0435\u0442\u0438\u0435 \u0440\u0430\u0437\u0440\u0430\u0431\u043e\u0442\u043a\u0438. \u041f\u0430\u0442\u0447 \u0432\u043e\u0448\u0451\u043b \u0432 NGINX Open Source 1.31.2 (mainline) \u0438 1.30.3 (stable), \u0430 \u0434\u043b\u044f \u043a\u043e\u043c\u043c\u0435\u0440\u0447\u0435\u0441\u043a\u0438\u0445 \u043f\u0440\u043e\u0434\u0443\u043a\u0442\u043e\u0432 \u2014 \u0432 NGINX Plus 37.0.2.1 \u0438 R36 P6. \u041a\u0410\u041a \u042d\u0422\u041e \u042d\u041a\u0421\u041f\u041b\u0423\u0410\u0422\u0418\u0420\u0423\u0415\u0422\u0421\u042f \u0414\u043b\u044f CVE-2026-42530 (HTTP\/3 UAF): \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u0443\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442 HTTP\/3-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441 \u0441\u0435\u0440\u0432\u0435\u0440\u043e\u043c \u0447\u0435\u0440\u0435\u0437 UDP\/443. \u041d\u0438\u043a\u0430\u043a\u043e\u0439 \u043f\u0440\u0435\u0434\u0432\u0430\u0440\u0438\u0442\u0435\u043b\u044c\u043d\u043e\u0439 \u0430\u0443\u0442\u0435\u043d\u0442\u0438\u0444\u0438\u043a\u0430\u0446\u0438\u0438 \u043d\u0435 \u0442\u0440\u0435\u0431\u0443\u0435\u0442\u0441\u044f \u2014 QUIC-\u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u0435 \u0441\u0430\u043c\u043e \u043f\u043e \u0441\u0435\u0431\u0435 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u043e\u0435. \u0412\u043d\u0443\u0442\u0440\u0438 \u0441\u043e\u0435\u0434\u0438\u043d\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 QPACK encoder stream, \u0437\u0430\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0435\u0433\u043e \u0438 \u0437\u0430\u0442\u0435\u043c \u043e\u0442\u043a\u0440\u044b\u0432\u0430\u0435\u0442 \u0441\u043d\u043e\u0432\u0430 \u2014 \u0434\u0435\u0439\u0441\u0442\u0432\u0438\u0435, \u043a\u043e\u0442\u043e\u0440\u043e\u0435 \u043f\u0440\u043e\u0442\u043e\u043a\u043e\u043b \u0437\u0430\u043f\u0440\u0435\u0449\u0430\u0435\u0442, \u043d\u043e \u043a\u043e\u0442\u043e\u0440\u043e\u0435 nginx \u0432 \u0432\u0435\u0440\u0441\u0438\u044f\u0445 1.31.0-1.31.1 \u043e\u0431\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u0435\u0442 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u043e. \u0412\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441 nginx \u043e\u0431\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u043a \u0443\u0436\u0435 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0451\u043d\u043d\u044b\u043c \u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u0430\u043c \u0434\u0430\u043d\u043d\u044b\u0445 \u0438 \u043f\u0430\u0434\u0430\u0435\u0442 \u0441 memory corruption. \u041f\u043e\u0441\u043a\u043e\u043b\u044c\u043a\u0443 nginx \u0430\u0432\u0442\u043e\u043c\u0430\u0442\u0438\u0447\u0435\u0441\u043a\u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a\u0430\u0435\u0442 \u0432\u043e\u0440\u043a\u0435\u0440\u044b \u043f\u043e\u0441\u043b\u0435 \u043a\u0440\u0430\u0448\u0430, \u0441\u0435\u0440\u0432\u0438\u0441 \u0432\u043e\u0441\u0441\u0442\u0430\u043d\u0430\u0432\u043b\u0438\u0432\u0430\u0435\u0442\u0441\u044f \u2014 \u043d\u043e \u043f\u043e\u0432\u0442\u043e\u0440\u043d\u044b\u0435 \u043e\u0442\u043f\u0440\u0430\u0432\u043a\u0438 \u043f\u0430\u043a\u0435\u0442\u0430 \u043f\u043e\u0434\u0434\u0435\u0440\u0436\u0438\u0432\u0430\u044e\u0442 DoS \u043d\u0435\u043f\u0440\u0435\u0440\u044b\u0432\u043d\u043e. \u0414\u043b\u044f CVE-2026-42055 (HTTP\/2\/gRPC heap overflow): \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043e\u0442\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u0442 HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u0431\u043e\u043b\u044c\u0448\u0438\u043c\u0438 \u0438\u043b\u0438 \u043d\u0435\u043a\u043e\u0440\u0440\u0435\u043a\u0442\u043d\u044b\u043c\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c\u0438 \u2014 \u0434\u043e\u0441\u0442\u0430\u0442\u043e\u0447\u043d\u043e \u043e\u0431\u044a\u0451\u043c\u043d\u044b\u043c\u0438, \u0447\u0442\u043e\u0431\u044b \u043f\u0440\u0435\u0432\u044b\u0441\u0438\u0442\u044c \u0440\u0430\u0441\u0441\u0447\u0438\u0442\u0430\u043d\u043d\u044b\u0439 \u0440\u0430\u0437\u043c\u0435\u0440 \u0431\u0443\u0444\u0435\u0440\u0430 \u043f\u0440\u0438 \u043a\u043e\u043f\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u0438 \u0432 upstream-\u0441\u0442\u0440\u0443\u043a\u0442\u0443\u0440\u044b. \u041f\u0440\u043e\u0445\u043e\u0434\u043d\u0430\u044f \u0444\u0438\u043b\u044c\u0442\u0440\u0430\u0446\u0438\u044f \u043e\u0442\u043a\u043b\u044e\u0447\u0435\u043d\u0430 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432\u043e\u0439 ignore_invalid_headers off, \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0438 \u043f\u043e\u043f\u0430\u0434\u0430\u044e\u0442 \u043d\u0430\u043f\u0440\u044f\u043c\u0443\u044e \u0432 heap-\u0431\u0443\u0444\u0435\u0440 \u043c\u043e\u0434\u0443\u043b\u044f \u043f\u0440\u043e\u043a\u0441\u0438\u0440\u043e\u0432\u0430\u043d\u0438\u044f. \u0420\u0435\u0437\u0443\u043b\u044c\u0442\u0430\u0442 \u0442\u043e\u0442 \u0436\u0435: \u043a\u0440\u0430\u0448 \u0432\u043e\u0440\u043a\u0435\u0440\u0430, DoS. \u0412\u0430\u0436\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c \u0438\u0437 F5 advisory: «conditions beyond their control» \u2014 \u044d\u0442\u043e \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u0430\u044f \u0444\u043e\u0440\u043c\u0443\u043b\u0438\u0440\u043e\u0432\u043a\u0430. \u041e\u043d\u0430 \u043e\u0437\u043d\u0430\u0447\u0430\u0435\u0442, \u0447\u0442\u043e \u0434\u043b\u044f \u0441\u0440\u0430\u0431\u0430\u0442\u044b\u0432\u0430\u043d\u0438\u044f \u0431\u0430\u0433\u0430 \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0438\u0439 \u043d\u0435 \u043c\u043e\u0436\u0435\u0442 \u043f\u043e\u043b\u043d\u043e\u0441\u0442\u044c\u044e \u043a\u043e\u043d\u0442\u0440\u043e\u043b\u0438\u0440\u043e\u0432\u0430\u0442\u044c \u0432\u0441\u0435 \u0443\u0441\u043b\u043e\u0432\u0438\u044f: \u043d\u0443\u0436\u043d\u044b \u043a\u043e\u043d\u043a\u0440\u0435\u0442\u043d\u044b\u0435 \u043f\u0430\u0440\u0430\u043c\u0435\u0442\u0440\u044b \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u0438 \u043d\u0430 \u0441\u0442\u043e\u0440\u043e\u043d\u0435 \u0441\u0435\u0440\u0432\u0435\u0440\u0430. \u0418\u043c\u0435\u043d\u043d\u043e \u043f\u043e\u044d\u0442\u043e\u043c\u0443 \u0443\u044f\u0437\u0432\u0438\u043c\u043e\u0441\u0442\u044c \u0442\u0440\u0435\u0431\u0443\u0435\u0442 \u0442\u0440\u0451\u0445 \u0441\u043f\u0435\u0446\u0438\u0444\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0434\u0438\u0440\u0435\u043a\u0442\u0438\u0432 \u043e\u0434\u043d\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u043e \u2014 \u044d\u0442\u043e \u043d\u0435 \u043f\u0440\u043e\u0441\u0442\u043e «\u043e\u0442\u043f\u0440\u0430\u0432\u044c \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a», \u0430 «\u043e\u0442\u043f\u0440\u0430\u0432\u044c \u0431\u043e\u043b\u044c\u0448\u043e\u0439 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043e\u043a \u043d\u0430 \u0441\u0435\u0440\u0432\u0435\u0440, \u043a\u043e\u0442\u043e\u0440\u044b\u0439 \u043d\u0430\u043c\u0435\u0440\u0435\u043d\u043d\u043e \u043e\u0442\u043a\u043b\u044e\u0447\u0438\u043b \u0437\u0430\u0449\u0438\u0442\u0443 \u0438 \u0443\u0432\u0435\u043b\u0438\u0447\u0438\u043b \u0431\u0443\u0444\u0435\u0440». \u0422\u0435\u043c \u043d\u0435 \u043c\u0435\u043d\u0435\u0435 \u0441 \u0442\u043e\u0447\u043a\u0438 \u0437\u0440\u0435\u043d\u0438\u044f \u0430\u0442\u0430\u043a\u0443\u044e\u0449\u0435\u0433\u043e: \u0435\u0441\u043b\u0438 \u043a\u043e\u043d\u0444\u0438\u0433\u0443\u0440\u0430\u0446\u0438\u044f \u0441\u043e\u0432\u043f\u0430\u0434\u0430\u0435\u0442 \u2014 \u043d\u0438\u043a\u0430\u043a\u0438\u0445 \u0442\u0435\u0445\u043d\u0438\u0447\u0435\u0441\u043a\u0438\u0445 \u0431\u0430\u0440\u044c\u0435\u0440\u043e\u0432 \u043d\u0435\u0442. \u041e\u0434\u0438\u043d HTTP-\u0437\u0430\u043f\u0440\u043e\u0441 \u0441 \u0440\u0430\u0437\u0434\u0443\u0442\u044b\u043c\u0438 \u0437\u0430\u0433\u043e\u043b\u043e\u0432\u043a\u0430\u043c\u0438. \u0427\u0422\u041e \u041f\u0420\u041e\u0418\u0421\u0425\u041e\u0414\u0418\u0422 \u0414\u0410\u041b\u042c\u0428\u0415 \u2014 \u0417\u0410\u0412\u0418\u0421\u0418\u0422 \u041e\u0422 \u041a\u041e\u041d\u0424\u0418\u0413\u0423\u0420\u0410\u0426\u0418\u0418 \u041d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0441 \u0432\u043a\u043b\u044e\u0447\u0451\u043d\u043d\u044b\u043c ASLR (\u043f\u043e \u0443\u043c\u043e\u043b\u0447\u0430\u043d\u0438\u044e \u043d\u0430 \u0432\u0441\u0435\u0445 \u0441\u043e\u0432\u0440\u0435\u043c\u0435\u043d\u043d\u044b\u0445 Linux-\u0434\u0438\u0441\u0442\u0440\u0438\u0431\u0443\u0442\u0438\u0432\u0430\u0445) \u043e\u0431\u0430 \u0431\u0430\u0433\u0430 \u043d\u0430\u0434\u0451\u0436\u043d\u043e \u0434\u0430\u044e\u0442 DoS \u2014 \u043a\u0440\u0430\u0448 \u0438 \u043f\u0435\u0440\u0435\u0437\u0430\u043f\u0443\u0441\u043a \u0432\u043e\u0440\u043a\u0435\u0440-\u043f\u0440\u043e\u0446\u0435\u0441\u0441\u0430. ASLR \u0440\u0430\u043d\u0434\u043e\u043c\u0438\u0437\u0438\u0440\u0443\u0435\u0442 \u0430\u0434\u0440\u0435\u0441\u0430 \u043f\u0430\u043c\u044f\u0442\u0438 \u043f\u0440\u0438 \u043a\u0430\u0436\u0434\u043e\u043c \u0437\u0430\u043f\u0443\u0441\u043a\u0435, \u0447\u0442\u043e \u0434\u0435\u043b\u0430\u0435\u0442 \u043f\u0440\u0435\u0434\u0441\u043a\u0430\u0437\u0443\u0435\u043c\u043e\u0435 \u0443\u043f\u0440\u0430\u0432\u043b\u0435\u043d\u0438\u0435 \u043f\u043e\u0442\u043e\u043a\u043e\u043c \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u044f \u043f\u043e\u0441\u043b\u0435 corruption \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0435\u043d\u043d\u043e \u0441\u043b\u043e\u0436\u043d\u0435\u0435. \u042d\u0442\u043e \u043d\u0435 \u0437\u0430\u0449\u0438\u0442\u0430 \u043e\u0442 \u043a\u0440\u0430\u0448\u0430, \u043d\u043e \u043e\u0442 RCE \u2014 \u0437\u043d\u0430\u0447\u0438\u0442\u0435\u043b\u044c\u043d\u0430\u044f, \u0445\u043e\u0442\u044f \u0438 \u043d\u0435 \u0430\u0431\u0441\u043e\u043b\u044e\u0442\u043d\u0430\u044f \u043f\u0440\u0435\u0433\u0440\u0430\u0434\u0430. \u041d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0441 \u043e\u0442\u043a\u043b\u044e\u0447\u0451\u043d\u043d\u044b\u043c ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u0443\u0441\u043f\u0435\u0448\u043d\u043e\u043c \u043e\u0431\u0445\u043e\u0434\u0435 \u2014 \u0430 \u043f\u0443\u0431\u043b\u0438\u0447\u043d\u0430\u044f \u0432\u0438\u0434\u0435\u043e\u0434\u0435\u043c\u043e\u043d\u0441\u0442\u0440\u0430\u0446\u0438\u044f CVE-2026-42530 \u0443\u0436\u0435 \u0441\u0443\u0449\u0435\u0441\u0442\u0432\u0443\u0435\u0442 \u0438 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0438 \u043f\u043e\u0434\u0442\u0432\u0435\u0440\u0436\u0434\u0430\u044e\u0442 \u0440\u0435\u0430\u043b\u0438\u0441\u0442\u0438\u0447\u043d\u043e\u0441\u0442\u044c ASLR-bypass \u2014 memory corruption \u043f\u0440\u0435\u0432\u0440\u0430\u0449\u0430\u0435\u0442\u0441\u044f \u0432 \u0443\u043f\u0440\u0430\u0432\u043b\u044f\u0435\u043c\u044b\u0439 \u043f\u0440\u0438\u043c\u0438\u0442\u0438\u0432. Heap overflow \u043e\u0442 CVE-2026-42055 \u043a\u043e\u0440\u0440\u0430\u043f\u0442\u0438\u0442 \u0441\u043e\u0441\u0435\u0434\u043d\u0438\u0435 \u0430\u043b\u043b\u043e\u043a\u0430\u0442\u043e\u0440\u043d\u044b\u0435 \u043c\u0435\u0442\u0430\u0434\u0430\u043d\u043d\u044b\u0435 \u0438\u043b\u0438 \u0436\u0438\u0432\u044b\u0435 \u043e\u0431\u044a\u0435\u043a\u0442\u044b \u2014 \u0441\u0442\u0430\u043d\u0434\u0430\u0440\u0442\u043d\u044b\u0439 \u043f\u0443\u0442\u044c \u043a control-flow hijacking \u043f\u043e \u043e\u0446\u0435\u043d\u043a\u0435 \u043d\u0435\u0437\u0430\u0432\u0438\u0441\u0438\u043c\u044b\u0445 \u0438\u0441\u0441\u043b\u0435\u0434\u043e\u0432\u0430\u0442\u0435\u043b\u0435\u0439. Use-after-free \u043e\u0442 CVE-2026-42530 \u0434\u0430\u0451\u0442 \u043f\u0440\u0438\u043c\u0438\u0442\u0438\u0432 \u0447\u0442\u0435\u043d\u0438\u044f\/\u0437\u0430\u043f\u0438\u0441\u0438 \u0432 \u043e\u0441\u0432\u043e\u0431\u043e\u0436\u0434\u0451\u043d\u043d\u0443\u044e \u043f\u0430\u043c\u044f\u0442\u044c \u2014 \u0430\u043d\u0430\u043b\u043e\u0433\u0438\u0447\u043d\u044b\u0439 \u0438\u0441\u0445\u043e\u0434\u043d\u044b\u0439 \u043c\u0430\u0442\u0435\u0440\u0438\u0430\u043b. F5 \u044f\u0432\u043d\u043e \u0443\u043a\u0430\u0437\u044b\u0432\u0430\u0435\u0442 \u0432 advisory \u043e\u0431\u043e\u0438\u0445 CVE: \u043d\u0430 \u0441\u0438\u0441\u0442\u0435\u043c\u0430\u0445 \u0431\u0435\u0437 ASLR \u0438\u043b\u0438 \u043f\u0440\u0438 \u0435\u0433\u043e \u043e\u0431\u0445\u043e\u0434\u0435 \u0432\u043e\u0437\u043c\u043e\u0436\u043d\u043e \u0432\u044b\u043f\u043e\u043b\u043d\u0435\u043d\u0438\u0435 \u043f\u0440\u043e\u0438\u0437\u0432\u043e\u043b\u044c\u043d\u043e\u0433\u043e \u043a\u043e\u0434\u0430. \u0412\u0430\u0436\u043d\u0430\u044f \u0434\u0435\u0442\u0430\u043b\u044c \u0438\u0437 \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e\u0433\u043e changelog nginx.org: CVE-2026-48142 (buffer overread \u0432 ngx_http_charset_module, \u0437\u0430\u043a\u0440\u044b\u0442\u044b\u0439 \u0432 \u0442\u043e\u043c \u0436\u0435 1.31.2) \u043e\u0444\u0438\u0446\u0438\u0430\u043b\u044c\u043d\u043e \u043e\u043f\u0438\u0441\u0430\u043d \u043a\u0430\u043a «limited […]<\/p>\n","protected":false},"author":1,"featured_media":20842,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[201,143,172,183],"tags":[620,616,615,621,614,617,613,618,304,623,385,619,332,364,622],"class_list":["post-20841","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cve-ru","category-143","category-nginx-ru","category-bezopasnost-ru","tag-aslr","tag-cve-2026-42055","tag-cve-2026-42530","tag-f5","tag-grpc","tag-heap-overflow","tag-http-2","tag-http-3","tag-nginx","tag-nginx-security","tag-patch","tag-quic","tag-rce","tag-use-after-free","tag-vulnerability"],"_links":{"self":[{"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/posts\/20841","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/comments?post=20841"}],"version-history":[{"count":1,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/posts\/20841\/revisions"}],"predecessor-version":[{"id":20845,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/posts\/20841\/revisions\/20845"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/media\/20842"}],"wp:attachment":[{"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/media?parent=20841"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/categories?post=20841"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/sysadmin.courses\/ru\/wp-json\/wp\/v2\/tags?post=20841"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}