文章总结： CVE-2026-42530是NGINXHTTP/3模块中的高危漏洞（CVSS9.2），攻击者可通过堆操作和内存探测绕过ASLR实现远程代码执行。漏洞利用需满足非默认配置：使用–with-httpv3module编译并启用QUIC。F5已在NGINX1.31.2版本修复，建议用户及时升级并检查HTTP/3模块使用状态。 综合评分： 85 文章分类： 漏洞分析,WEB安全,应急响应,安全工具,解决方案

CVE-2026-42530 NGINX 远程代码执行

Ots安全

2026年6月20日 14:00 广东

在小说阅读器读本章

去阅读

威胁简报

恶意软件

漏洞攻击

X 的帖子 @akaclandestine分享了一段 27 秒的 PoC 视频，该视频利用了 NGINX 的 ngx_http_v3_module (HTTP/3 QUIC) 中的 CVE-2026-42530 漏洞，演示了如何通过地址探测、堆操作和反向 shell 以 nobody 用户身份在易受攻击的 1.31.1 版本上执行远程代码。

该演示需要使用 –with-http_v3_module 编译 NGINX 并启用 QUIC，以及特定的配置，例如端口 443 上的 SSL，通过有针对性的内存探测和页面锁定来触发漏洞，从而成功绕过 ASLR。

F5 在 NGINX 开源版 1.31.2 及其他版本中修复了 CVE-2026-42530 (CVSS 9.2) 和 CVE-2026-42055；利用此漏洞的条件是 HTTP/3 处于活动状态且设置非默认。

已关注

关注

重播 分享 赞

关闭

观看更多

更多

退出全屏

切换到竖屏全屏退出全屏

Ots安全已关注

分享视频

，时长00:27

0/0

00:00/00:27

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

/

00:27

00:27

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清 流畅

继续观看

CVE-2026-42530 NGINX 远程代码执行

观看更多

转载

,

CVE-2026-42530 NGINX 远程代码执行

Ots安全已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

参考：

https://my.f5.com/manage/s/article/K000161616

https://www.cve.org/CVERecord?id=CVE-2026-42530

END

公众号内容都来自国外平台-所有文章可通过点击阅读原文到达原文地址或参考地址

排版 编辑 | Ots 小安

采集 翻译 | Ots Ai牛马

公众号 | AnQuan7 (Ots安全)

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Ots安全 《CVE-2026-42530 NGINX 远程代码执行》