F5 publicou a súa Quarterly Security Notification de febreiro de 2026, na que se corrixen varias vulnerabilidades e exposicións de seguridade que afectan a BIG-IP, NGINX e compoñentes asociados, incluídos servizos en contornos contedorizados.
Aínda que no momento da publicación non se detectaron explotacións activas, algunhas das debilidades identificadas poden ser explotadas de forma remota para provocar denegacións de servizo (DoS) ou afectar á dispoñibilidade de servizos críticos en contornos de alta carga.
Sistemas e compoñentes afectados
Entre os produtos afectados inclúense, entre outros:
- BIG-IP Advanced WAF / ASM
- NGINX Plus e NGINX Open Source
- BIG-IP Container Ingress Services (CIS)
- BIG-IP APM e Edge Client
- Configuracións de BIG-IP SMTP
Algunhas das vulnerabilidades presentan puntuacións CVSS de ata 8,2 (v4.0), cun impacto principal na dispoñibilidade e no funcionamento dos servizos.
Impacto potencial
Os fallos identificados poden permitir:
- Interrupcións do servizo por denegación de servizo.
- Afectación a contornos expostos a Internet, como WAF, ingress de Kubernetes e servizos de publicación web.
- Riscos adicionais derivados de configuracións incorrectas en compoñentes de xestión e mensaxaría.
Recomendacións
Recoméndase ás organizacións:
- Identificar se empregan versións afectadas de BIG-IP ou NGINX nos seus contornos.
- Aplicar as actualizacións e parches publicados por F5, priorizando os sistemas expostos a Internet.
- Revisar contornos con uso intensivo de NGINX, WAF e ingress de Kubernetes.
- Probar as actualizacións en contornos de preprodución antes do seu despregamento en produción.
- Revisar as configuracións asociadas a servizos SMTP e compoñentes de xestión.
Información adicional
F5 proporciona información detallada sobre as versións afectadas, as correccións introducidas e as puntuacións CVSS v3.1 e v4.0 na súa documentación oficial.
