CVE-2026-32682
Moderat

CVE-2026-32682: NGINX Gateway Fabric sårbarhed

En logget ind angriber kan lukke NGINX Gateway Fabric ned ved at sende en særligt udformet gRPC-konfiguration.

CVSS Score
6.5
Offentliggjort
17/06/2026
Patch-status
none
Exploit
theoretical
Tidsfrist
Opdater inden for 30 dage

Hvad er det?

NGINX Gateway Fabric er et styringsprogram, der dirigerer netværkstrafik ind til dine applikationer. Sårbarheden findes i den del af programmet, der håndterer såkaldte GRPCRoutes — regler for, hvordan gRPC-trafik (en type kommunikation mellem servere) skal fordeles.

En angriber, der allerede har adgang til dit system og ret til at ændre GRPCRoute-konfigurationer, kan sende en ugyldig konfiguration, som får styringsprogrammets kontrolenhed (control plane) til at crashe og lukke ned. Fejlen skyldes manglende validering af input (CWE-129: ukorrekt validering af array-indeks).

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der:

  • Bruger NGINX Gateway Fabric som netværks-gateway i deres infrastruktur
  • Har aktiveret GRPCRoutes i konfigurationen
  • Har brugere eller systemer med rettigheder til at oprette eller ændre GRPCRoute-ressourcer

Hvis din virksomhed ikke bruger NGINX Gateway Fabric, eller ikke anvender gRPC-routing, er du ikke berørt.

Hvad kan ske?

Udnyttelse af denne sårbarhed kan føre til følgende:

  • Nedbrud af kontrolenheden: Hele NGINX Gateway Fabric-styringen crasher, hvilket betyder at netværkstrafikken ikke længere dirigeres korrekt.
  • Tjenestenedbrud (Denial of Service): Dine applikationer og tjenester, der afhænger af gateway’en, vil holde op med at fungere for slutbrugere.
  • Ingen datalækage: Sårbarheden giver ikke adgang til følsomme data (fortrolighed og integritet er ikke berørt).

Risikoen er primært driftsforstyrrelse — ikke datatyveri.

Hvor alvorligt er det?

Sårbarheden er vurderet til moderat (CVSS 6.5 ud af 10). Angrebet kræver, at angriberen allerede er logget ind og har specifikke rettigheder i dit system — det sænker alvorligheden markant. En ekstern angriber uden adgang kan ikke udnytte fejlen direkte.

Konsekvensen er udelukkende tilgængelighed: dine tjenester kan gå ned. Der er ingen risiko for, at angriberen kan læse eller ændre dine data. Det gør fejlen til et driftsproblem snarere end et databrudsproblem.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed:

  1. Find ud af, om du er berørt: Undersøg om din virksomhed bruger NGINX Gateway Fabric med GRPCRoutes aktiveret. Spørg din IT-ansvarlige eller leverandør.
  2. Opdater til en patchet version: Tjek om F5/NGINX har udgivet en opdateret version af NGINX Gateway Fabric, og opdater hurtigst muligt.
  3. Begræns adgangen til GRPCRoute-ressourcer: Sørg for, at kun betroede brugere og systemer har rettigheder til at oprette eller ændre GRPCRoute-konfigurationer.
  4. Overvåg for mistænkelig aktivitet: Hold øje med uventede nedbrud af din gateway-kontrolenhed og undersøg årsagen.
  5. Kontakt din IT-partner: Hvis du er usikker på din eksponering, beder du din IT-leverandør eller -konsulent gennemgå din konfiguration.
Tidsfrist

Opdater inden for 30 dage

Sådan ser Auroa det

Opdater NGINX Gateway Fabric til den seneste version, så snart en patch er tilgængelig. I mellemtiden bør du stramme adgangsstyringen (hvem der må oprette og ændre GRPCRoute-konfigurationer), så kun de absolut nødvendige brugere og systemer har denne rettighed. Eftersom angrebet kræver forudgående adgang, er stram adgangskontrol din vigtigste forsvarsmekanisme lige nu.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-32682 blev offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 6.5 (moderat).
17/06/2026
Sårbarhed beskrevet af F5/NGINX
Producenten F5/NGINX offentliggjorde detaljer om, at NGINX Gateway Fabric med GRPCRoutes er sårbar over for et autentificeret Denial of Service-angreb via ondsindede backendRef-filtre.
17/06/2026
Ingen aktiv udnyttelse bekræftet
På offentliggørelsestidspunktet er der ikke rapporteret om aktiv udnyttelse i naturen eller offentliggjorte proof-of-concept exploit-koder.
09/07/2026
Patch forventet fra F5/NGINX
En officiel rettelse forventes udgivet af F5/NGINX. Følg producentens sikkerhedsbulletiner for at få besked, når opdateringen er tilgængelig.

Konkrete eksempler

Intern medarbejder med systemadgang

En medarbejder med adgang til virksomhedens Kubernetes-miljø (containerplatform) har rettigheder til at oprette GRPCRoute-konfigurationer. Medarbejderen — enten med ondsindede hensigter eller ved en fejl — sender en ugyldig konfiguration med et forkert backendRef-filter. Kontrolenheden i NGINX Gateway Fabric crasher, og al indgående trafik til virksomhedens applikationer stoppes, indtil en IT-administrator genstarter systemet.

Kompromitteret servicekonto

En angriber får adgang til en automatiseret servicekonto (f.eks. et CI/CD-deploy-system), der har tilladelse til at ændre netværkskonfigurationer. Angriberen bruger denne konto til at indsende en særligt udformet GRPCRoute-konfiguration, som crasher NGINX Gateway Fabric. Virksomhedens kundevendte tjenester går ned, og angriberen opnår et effektivt tjenestenedbrud uden at have brug for administratorrettigheder.

Fejlkonfiguration som utilsigtet trigger

En udvikler tester en ny gRPC-tjenestekonfiguration i produktionsmiljøet og sender ved en fejl en ugyldig backendRef-filterværdi. NGINX Gateway Fabric-kontrolplanen tolker den ugyldige værdi og crasher. Selvom dette ikke er et bevidst angreb, er resultatet det samme: driftsnedbrud for alle tjenester bag gateway’en, indtil systemet genstartes manuelt.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
NONE
Integrity
NONE
Availability
HIGH

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:N/A:H

CWE-svaghedstyper

CWE-129

Original NVD-beskrivelse (engelsk)

When NGINX Gateway Fabric is configured using GRPCRoutes, an authenticated, remote attacker with permission to create or modify GRPCRoute resources can cause the NGINX Gateway Fabric control plane to terminate by sending undisclosed GRPCRoute configurations containing backendRef filters.

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Moderat
CVSS Base Score
6.5
Visning
Hurtige fakta
CVE-ID
CVE-2026-32682
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
theoretical
Patch-status
none
Tidsfrist
Opdater inden for 30 dage

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.