F5 ha publicado su Quarterly Security Notification de febrero de 2026, en la que corrige varias vulnerabilidades y exposiciones de seguridad que afectan a BIG-IP, NGINX y componentes relacionados, incluidos servicios en entornos contenedorizados.
Aunque no se han identificado exploits activos en el momento de la publicación, algunas de las debilidades detectadas pueden ser explotadas de forma remota para provocar denegaciones de servicio (DoS) o afectar a la disponibilidad de servicios críticos en entornos de alta carga.
Sistemas y componentes afectados
Entre los productos impactados se incluyen, entre otros:
- BIG-IP Advanced WAF / ASM
- NGINX Plus y NGINX Open Source
- BIG-IP Container Ingress Services (CIS)
- BIG-IP APM y Edge Client
- Configuraciones de BIG-IP SMTP
Algunas de las vulnerabilidades presentan puntuaciones CVSS de hasta 8.2 (v4.0), con impacto principalmente en la disponibilidad y el funcionamiento de los servicios.
Impacto potencial
Los fallos identificados pueden permitir:
- Interrupciones del servicio por denegación de servicio.
- Afectación a entornos expuestos a Internet, como WAF, ingress de Kubernetes y servicios de publicación web.
- Riesgos adicionales derivados de configuraciones incorrectas en componentes de gestión y mensajería.
Recomendaciones
Se recomienda a las organizaciones:
- Identificar si utilizan versiones afectadas de BIG-IP o NGINX en sus entornos.
- Aplicar las actualizaciones y parches publicados por F5, priorizando los sistemas expuestos a Internet.
- Revisar entornos con uso intensivo de NGINX, WAF y Kubernetes ingress.
- Probar las actualizaciones en entornos de preproducción antes de su despliegue en producción.
- Revisar configuraciones asociadas a servicios SMTP y componentes de gestión.
Información adicional
F5 proporciona información detallada sobre las versiones afectadas, las correcciones introducidas y las puntuaciones CVSS v3.1 y v4.0 en su documentación oficial.
