CVE-2026-50107: Injektionsfejl i NGINX Gateway Fabric
Fejl i NGINX Gateway Fabric giver indloggede angribere mulighed for at injicere vilkårlige kommandoer i serverens konfiguration.
Hvad er det?
CVE-2026-50107 er en injektionssårbarhed (en fejl hvor en angriber kan smugle egne kommandoer ind i et system) i NGINX Gateway Fabric. Problemet opstår, fordi tekst som brugere selv kan angive i en bestemt indstilling — nemlig adgangslog-formatet i en såkaldt NginxProxy CRD (en konfigurationsfil til serveren) — kopieres direkte ind i serverens konfigurationsskabeloner uden at blive renset eller kontrolleret. Det betyder, at en angriber med de rette rettigheder kan skrive værdier, der indeholder skjulte NGINX-direktiver (instruktioner til webserveren), og dermed ændre serverens adfærd på uforudsete måder. Fejlen befinder sig i kontrolplanet (den del der styrer konfigurationen), ikke i dataplanet (den del der håndterer brugertrafik).
Hvem rammer det?
Sårbarheden rammer virksomheder og organisationer, der bruger NGINX Gateway Fabric som styringslag foran enten NGINX Plus eller NGINX Open Source. Det er typisk virksomheder, der driver egne webapplikationer, API-tjenester eller mikroservicearkitekturer (mange små tjenester der taler sammen) i et cloud- eller containermiljø. Du er især i risikogruppen, hvis du har givet flere brugere eller teams rettighed til at oprette eller ændre konfigurationsfiler (CRD’er) i dit system.
Hvad kan ske?
En angriber, der allerede har en konto med rettighed til at ændre konfigurationsfiler, kan injicere egne NGINX-direktiver. Det kan føre til:
- Kompromittering af fortrolighed: Angriberen kan omdirigere eller aflæse trafik og data, som webserveren håndterer.
- Kompromittering af integritet: Angriberen kan ændre, hvordan serveren behandler og videresender indhold, hvilket kan påvirke slutbrugere og bagsystemer.
- Potentiel lateral bevægelse (at angriberen bevæger sig videre ind i dit netværk) via manipuleret serverkonfiguration.
Bemærk: Selve tilgængeligheden af tjenesten (om den er oppe eller nede) påvirkes ikke direkte af denne sårbarhed.
Hvor alvorligt er det?
Sårbarheden er vurderet til CVSS 8.1 ud af 10 — Alvorlig. Det er en høj score, selvom angriberen kræver en eksisterende konto med særlige rettigheder. De skærpende faktorer er:
- Angrebet kan udføres over netværket uden fysisk adgang.
- Det kræver ingen brugerinteraktion fra ofrets side.
- Kompleksiteten er lav — angrebet er ikke teknisk svært at udføre.
- Konsekvenserne for fortrolighed og integritet er begge vurderet som høje.
Det afbødende element er, at angriberen skal have gyldige, privilegerede brugerrettigheder på forhånd — det er ikke et anonymt angreb udefra.
Hvad gør jeg nu?
Følg disse trin for at beskytte din virksomhed hurtigst muligt:
- Find ud af om du er berørt: Undersøg om I bruger NGINX Gateway Fabric som kontrollag foran NGINX Plus eller NGINX Open Source. Er svaret ja, er I potentielt sårbare.
- Opdatér til en patchet version: Tjek NGINX’s officielle sikkerhedsbulletin og opdatér NGINX Gateway Fabric til den seneste anbefalede version, der retter denne fejl.
- Gennemgå brugerrettigheder: Begræns hvem der har adgang til at oprette eller ændre NginxProxy CRD’er. Følg princippet om mindst mulig adgang (giv kun de rettigheder, der er strengt nødvendige).
- Overvåg konfigurationsændringer: Sæt logning og alarmer op, så I bliver adviseret, hvis nogen ændrer i disse konfigurationsfiler.
- Kontakt jeres NGINX-leverandør eller IT-partner: Hvis I er usikre på jeres eksponering, bør I få en fagperson til at gennemgå jeres opsætning.
Opdatér hurtigst muligt
Vi anbefaler, at du prioriterer at opdatere NGINX Gateway Fabric til den patchede version så hurtigt som muligt, da angrebet er relativt nemt at udføre for nogen med de rette rettigheder. Gennemgå samtidig hvem i din organisation der har adgang til at ændre serverkonfigurationer — og skær ned til kun dem, der har et reelt behov. Har du brug for hjælp til at vurdere din eksponering eller gennemføre opdateringen sikkert, er du velkommen til at kontakte os.
Tidslinje
Konkrete eksempler
Intern medarbejder misbruger adgang
En IT-medarbejder med rettigheder til at ændre NGINX Gateway Fabric-konfigurationer opdager sårbarheden. Han ændrer adgangslog-formatfeltet i en NginxProxy CRD til at indeholde skjulte NGINX-direktiver, der omdirigerer al API-trafik til et eksternt domæne han kontrollerer. Virksomheden opdager det ikke, før en kunde rapporterer mistænkelig adfærd flere dage senere.
Kompromitteret udviklerkonto som angrebsvej
En angriber skaffer sig adgang til en udviklers konto via phishing (falsk e-mail der narrer brugeren til at aflevere sit kodeord). Kontoen har rettigheder til at ændre CRD’er i produktionsmiljøet. Angriberen injicerer en NGINX-direktiv, der logger alle HTTP-headers — herunder autentificeringstokens — til en ekstern server, og høster dermed adgangsnøgler til andre systemer i virksomheden.
Manipulation af proxykonfiguration i et API-miljø
En angriber med CRD-skriveadgang indsætter et direktiv i log-formatfeltet, der ændrer, hvordan NGINX videresender forespørgsler til bagsystemer. Dette kan bruges til at omgå adgangskontroller og sende forespørgsler til interne tjenester, der normalt ikke er tilgængelige udefra — en klassisk SSRF-lignende (Server-Side Request Forgery) effekt opnået via konfigurationsmanipulation.
Ofte stillede spørgsmål
Skal jeg være bekymret, hvis vi ikke bruger NGINX Gateway Fabric?
Nej. Denne sårbarhed er specifik for NGINX Gateway Fabric som kontrollag. Bruger I kun NGINX Plus eller NGINX Open Source direkte uden Gateway Fabric foran, er I ikke berørt af denne konkrete fejl.
Kan en ekstern hacker udnytte dette uden en konto hos os?
Nej, ikke direkte. Angriberen skal have en gyldig konto med rettighed til at oprette eller ændre konfigurationsfiler (CRD’er) i jeres system. Det gør risikoen primært til en insider-trussel eller et scenarie, hvor en eksisterende konto er blevet kompromitteret.
Påvirker det vores hjemmeside eller onlinebutik for kunderne?
Selve tilgængeligheden — altså om jeres tjeneste er oppe og kørende — er ikke direkte truet. Men hvis en angriber lykkes med at injicere skadelig konfiguration, kan det i værste fald påvirke, hvordan data behandles og videregives, hvilket potentielt kan ramme dine kunder indirekte.
Hvad er en CRD, og hvorfor er den farlig her?
En CRD (Custom Resource Definition) er en slags konfigurationsfil, der bruges i moderne serverinfrastruktur (typisk Kubernetes-miljøer) til at definere, hvordan tjenester skal opføre sig. Problemet her er, at indhold fra disse filer kopieres ukontrolleret ind i serverens konfiguration — ligesom hvis nogen kunne skrive deres egne regler direkte ind i dit regnskabsprogram uden at systemet tjekker, om reglerne er lovlige.
Er der en midlertidig løsning, hvis vi ikke kan opdatere med det samme?
Ja. Som midlertidig foranstaltning bør du straks begrænse hvem der har rettigheder til at oprette eller ændre NginxProxy CRD’er til et absolut minimum. Fjern adgangen fra alle konti der ikke har et konkret behov, og overvåg aktivt for uventede konfigurationsændringer. Dette reducerer risikoen, men erstatter ikke en opdatering.
Hvornår udkom rettelsen, og hvor finder jeg den?
Sårbarheden blev offentliggjort den 17. juni 2026. Rettelsen distribueres via NGINX’s officielle kanaler. Besøg nginx.org eller F5’s sikkerhedsbulletin-side for at finde den nyeste patchede version af NGINX Gateway Fabric og installationsvejledning.
Ramte produkter
CVSS-detaljer
CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
CWE-svaghedstyper
Original NVD-beskrivelse (engelsk)
When NGINX Plus or NGINX Open Source is configured as the data plane for NGINX Gateway Fabric, an injection vulnerability exists in the NGINX configuration generator component of NGINX Gateway Fabric. User-supplied string values from the NginxProxy Custom Resource Definition (CRD) access log format setting are rendered directly into NGINX configuration templates without sanitization or escaping. An authenticated attacker with permission to create or modify these CRDs may craft values that inject arbitrary NGINX configuration directives. This is a control plane issue; there is no data plane exposure from the vulnerability trigger itself.
Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Brug for hjælp med jeres sikkerhed?
Vi hjælper SMV’er med at omsætte trusler som denne til konkrete handlingsplaner.
