CVE-2026-50107
Alvorlig

CVE-2026-50107: Injektionsfejl i NGINX Gateway Fabric

Fejl i NGINX Gateway Fabric giver indloggede angribere mulighed for at injicere vilkårlige kommandoer i serverens konfiguration.

CVSS Score
8.1
Offentliggjort
17/06/2026
Patch-status
available
Exploit
poc_public
Tidsfrist
Opdatér hurtigst muligt

Hvad er det?

CVE-2026-50107 er en injektionssårbarhed (en fejl hvor en angriber kan smugle egne kommandoer ind i et system) i NGINX Gateway Fabric. Problemet opstår, fordi tekst som brugere selv kan angive i en bestemt indstilling — nemlig adgangslog-formatet i en såkaldt NginxProxy CRD (en konfigurationsfil til serveren) — kopieres direkte ind i serverens konfigurationsskabeloner uden at blive renset eller kontrolleret. Det betyder, at en angriber med de rette rettigheder kan skrive værdier, der indeholder skjulte NGINX-direktiver (instruktioner til webserveren), og dermed ændre serverens adfærd på uforudsete måder. Fejlen befinder sig i kontrolplanet (den del der styrer konfigurationen), ikke i dataplanet (den del der håndterer brugertrafik).

Hvem rammer det?

Sårbarheden rammer virksomheder og organisationer, der bruger NGINX Gateway Fabric som styringslag foran enten NGINX Plus eller NGINX Open Source. Det er typisk virksomheder, der driver egne webapplikationer, API-tjenester eller mikroservicearkitekturer (mange små tjenester der taler sammen) i et cloud- eller containermiljø. Du er især i risikogruppen, hvis du har givet flere brugere eller teams rettighed til at oprette eller ændre konfigurationsfiler (CRD’er) i dit system.

Hvad kan ske?

En angriber, der allerede har en konto med rettighed til at ændre konfigurationsfiler, kan injicere egne NGINX-direktiver. Det kan føre til:

  • Kompromittering af fortrolighed: Angriberen kan omdirigere eller aflæse trafik og data, som webserveren håndterer.
  • Kompromittering af integritet: Angriberen kan ændre, hvordan serveren behandler og videresender indhold, hvilket kan påvirke slutbrugere og bagsystemer.
  • Potentiel lateral bevægelse (at angriberen bevæger sig videre ind i dit netværk) via manipuleret serverkonfiguration.

Bemærk: Selve tilgængeligheden af tjenesten (om den er oppe eller nede) påvirkes ikke direkte af denne sårbarhed.

Hvor alvorligt er det?

Sårbarheden er vurderet til CVSS 8.1 ud af 10 — Alvorlig. Det er en høj score, selvom angriberen kræver en eksisterende konto med særlige rettigheder. De skærpende faktorer er:

  • Angrebet kan udføres over netværket uden fysisk adgang.
  • Det kræver ingen brugerinteraktion fra ofrets side.
  • Kompleksiteten er lav — angrebet er ikke teknisk svært at udføre.
  • Konsekvenserne for fortrolighed og integritet er begge vurderet som høje.

Det afbødende element er, at angriberen skal have gyldige, privilegerede brugerrettigheder på forhånd — det er ikke et anonymt angreb udefra.

Hvad gør jeg nu?

Følg disse trin for at beskytte din virksomhed hurtigst muligt:

  1. Find ud af om du er berørt: Undersøg om I bruger NGINX Gateway Fabric som kontrollag foran NGINX Plus eller NGINX Open Source. Er svaret ja, er I potentielt sårbare.
  2. Opdatér til en patchet version: Tjek NGINX’s officielle sikkerhedsbulletin og opdatér NGINX Gateway Fabric til den seneste anbefalede version, der retter denne fejl.
  3. Gennemgå brugerrettigheder: Begræns hvem der har adgang til at oprette eller ændre NginxProxy CRD’er. Følg princippet om mindst mulig adgang (giv kun de rettigheder, der er strengt nødvendige).
  4. Overvåg konfigurationsændringer: Sæt logning og alarmer op, så I bliver adviseret, hvis nogen ændrer i disse konfigurationsfiler.
  5. Kontakt jeres NGINX-leverandør eller IT-partner: Hvis I er usikre på jeres eksponering, bør I få en fagperson til at gennemgå jeres opsætning.
Tidsfrist

Opdatér hurtigst muligt

Sådan ser Auroa det

Vi anbefaler, at du prioriterer at opdatere NGINX Gateway Fabric til den patchede version så hurtigt som muligt, da angrebet er relativt nemt at udføre for nogen med de rette rettigheder. Gennemgå samtidig hvem i din organisation der har adgang til at ændre serverkonfigurationer — og skær ned til kun dem, der har et reelt behov. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert, er du velkommen til at kontakte os.

Tidslinje

17/06/2026
CVE offentliggjort
CVE-2026-50107 blev offentliggjort i National Vulnerability Database (NVD) med en CVSS-score på 8.1 (Alvorlig). NGINX/F5 udgav samtidig en sikkerhedsbulletin.
17/06/2026
Patch frigivet
En rettelse blev gjort tilgængelig som del af en opdateret version af NGINX Gateway Fabric koordineret med den ansvarlige offentliggørelse.
17/06/2026
Tekniske detaljer tilgængelige
Med offentliggørelsen blev den tekniske beskrivelse af injektionsfejlen tilgængelig, hvilket øger risikoen for at angribere forsøger at udnytte den mod uopdaterede systemer.
18/06/2026
Anbefalet handlingsvindue
Sikkerhedseksperter anbefaler, at berørte organisationer opdaterer inden for 24-72 timer efter offentliggørelsen for at minimere eksponeringsvinduet.

Konkrete eksempler

Intern medarbejder misbruger adgang

En IT-medarbejder med rettigheder til at ændre NGINX Gateway Fabric-konfigurationer opdager sårbarheden. Han ændrer adgangslog-formatfeltet i en NginxProxy CRD til at indeholde skjulte NGINX-direktiver, der omdirigerer al API-trafik til et eksternt domæne han kontrollerer. Virksomheden opdager det ikke, før en kunde rapporterer mistænkelig adfærd flere dage senere.

Kompromitteret udviklerkonto som angrebsvej

En angriber skaffer sig adgang til en udviklers konto via phishing (falsk e-mail der narrer brugeren til at aflevere sit kodeord). Kontoen har rettigheder til at ændre CRD’er i produktionsmiljøet. Angriberen injicerer en NGINX-direktiv, der logger alle HTTP-headers — herunder autentificeringstokens — til en ekstern server, og høster dermed adgangsnøgler til andre systemer i virksomheden.

Manipulation af proxykonfiguration i et API-miljø

En angriber med CRD-skriveadgang indsætter et direktiv i log-formatfeltet, der ændrer, hvordan NGINX videresender forespørgsler til bagsystemer. Dette kan bruges til at omgå adgangskontroller og sende forespørgsler til interne tjenester, der normalt ikke er tilgængelige udefra — en klassisk SSRF-lignende (Server-Side Request Forgery) effekt opnået via konfigurationsmanipulation.

Ofte stillede spørgsmål

Ramte produkter

CVSS-detaljer

Attack Vector
NETWORK
Attack Complexity
LOW
Privileges Required
LOW
User Interaction
NONE
Scope
UNCHANGED
Confidentiality
HIGH
Integrity
HIGH
Availability
NONE

CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N

CWE-svaghedstyper

CWE-74

Original NVD-beskrivelse (engelsk)

When NGINX Plus or NGINX Open Source is configured as the data plane for NGINX Gateway Fabric, an injection vulnerability exists in the NGINX configuration generator component of NGINX Gateway Fabric. User-supplied string values from the NginxProxy Custom Resource Definition (CRD) access log format setting are rendered directly into NGINX configuration templates without sanitization or escaping. An authenticated attacker with permission to create or modify these CRDs may craft values that inject arbitrary NGINX configuration directives. This is a control plane issue; there is no data plane exposure from the vulnerability trigger itself.

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Referencer & kilder

Officielle advisories

Patches

Eksterne kilder

Sværhedsgrad
Alvorlig
CVSS Base Score
8.1
Visning
Hurtige fakta
CVE-ID
CVE-2026-50107
Offentliggjort
17/06/2026
Sidst opdateret
17/06/2026
Exploit-status
poc_public
Patch-status
available
Tidsfrist
Opdatér hurtigst muligt

Brug for hjælp med jeres sikkerhed?

Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.