الثغرات ›

CVE-2026-40460

متوسط

CWE-290 — نوع الضعف

                    نُشر: May 13, 2026                      ·  آخر تحديث: May 16, 2026                      ·  المصدر: NVD                

CVSS v3

6.5

🔗 NVD الرسمي

📄 الوصف (الإنجليزية)

When NGINX Plus or NGINX Open Source are configured to use the HTTP/3 QUIC module, an attacker may be able to spoof their source IP address allowing for bypass of authorization or bypass of rate limiting. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

🤖 ملخص AI

NGINX HTTP/3 QUIC module contains a source IP spoofing vulnerability that allows attackers to bypass authorization and rate limiting controls. This affects both NGINX Plus and NGINX Open Source when configured with the QUIC module.

📄 الوصف (العربية)

تحتوي وحدة HTTP/3 QUIC في NGINX على ثغرة تسمح للمهاجمين بتزييف عنوان IP المصدر في الطلبات. يمكن استغلال هذه الثغرة لتجاوز آليات التفويض والمصادقة وأنظمة التحكم في معدل الطلبات. تؤثر الثغرة على كل من NGINX Plus والإصدارات المفتوحة المصدر.

🤖 ملخص تنفيذي (AI)

ثغرة في وحدة HTTP/3 QUIC في NGINX تسمح للمهاجمين بتزييف عنوان IP المصدر وتجاوز آليات التفويض والتحكم في معدل الطلبات. تؤثر هذه الثغرة على كل من NGINX Plus و NGINX Open Source.

🤖 التحليل الذكي آخر تحليل: May 15, 2026 12:36

🇸🇦 التأثير على المملكة العربية السعودية

Saudi Relevance: high

🏢 القطاعات السعودية المتأثرة

telecom banking government energy healthcare

🎯 تقنيات MITRE ATT&CK

T1190 T1021 T1078

⚖️ درجة المخاطر السعودية (AI)

6.0

/ 10.0

🔧 Remediation Steps (English)

Update NGINX Plus to version 1.27.0 or later, and NGINX Open Source to version 1.27.0 or later. Disable HTTP/3 QUIC module if not required. Implement additional network-level source IP validation and rate limiting controls independent of NGINX configuration.

🔧 خطوات المعالجة (العربية)

قم بتحديث NGINX Plus و NGINX Open Source إلى الإصدار 1.27.0 أو أحدث. عطّل وحدة HTTP/3 QUIC إذا لم تكن مطلوبة. طبّق التحقق من عنوان IP على مستوى الشبكة والتحكم في معدل الطلبات بشكل مستقل عن إعدادات NGINX.

📋 خريطة الامتثال التنظيمي

🟢 NCA ECC 2024

5.1 5.2 5.3

🔵 SAMA CSF

AC-2 AC-3 SI-4

🟡 ISO 27001:2022

A.9.2.1 A.9.2.5 A.13.1.1

🔗 المراجع والمصادر 1

🔗

https://my.f5.com/manage/s/article/K000161068

f5sirt@f5.com

📊 CVSS Score

6.5

/ 10.0 — متوسط

📊 CVSS Vector

CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:L

Attack VectorN — None / Network

Attack ComplexityL — Low / Local

Privileges RequiredN — None / Network

User InteractionN — None / Network

ScopeU — Unchanged

ConfidentialityL — Low / Local

IntegrityN — None / Network

AvailabilityL — Low / Local

📋 حقائق سريعة

الخطورة متوسط

CVSS Score6.5

CWECWE-290

EPSS0.03%

اختراق متاح لا

تصحيح متاح ✗ لا

تاريخ النشر 2026-05-13

المصدر nvd

المشاهدات 1

🇸🇦 درجة المخاطر السعودية

6.0

/ 10.0 — مخاطر السعودية

أولوية: MEDIUM

🏷️ الوسوم

CWE-290

⚡ إجراءات

🔗 NVD Official Page ⚡ Exploit-DB Search 🐙 GitHub PoC Search 🎯 MITRE ATT&CK 📊 CVE Details

CVE-2026-40460

عرّفنا بنفسك

تسجيل الدخول مطلوب