CVE-2026-28755

Опубликовано: 24 мар. 2026

Источник: nvd

CVSS3: 5.4

EPSS Низкий

Описание

NGINX Plus and NGINX Open Source have a vulnerability in the ngx_stream_ssl_module module due to the improper handling of revoked certificates when configured with the ssl_verify_client on and ssl_ocsp on directives, allowing the TLS handshake to succeed even after an OCSP check identifies the certificate as revoked.

Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.

Ссылки

https://my.f5.com/manage/s/article/K000160368
Vendor Advisory
Mitigation

Уязвимые конфигурации

Конфигурация 1

Одно из

cpe:2.3:a:f5:nginx_plus:r33:*:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r33:p1:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r33:p2:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r33:p3:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r34:*:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r34:p1:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r34:p2:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r35:p1:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r36:*:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r36:p1:*:*:*:*:*:*

cpe:2.3:a:f5:nginx_plus:r36:p2:*:*:*:*:*:*

Конфигурация 2

Одно из

cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*

Версия от 0.5.13 (включая) до 0.9.7 (включая)

cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*

Версия от 1.27.2 (включая) до 1.28.3 (исключая)

cpe:2.3:a:f5:nginx_open_source:*:*:*:*:*:*:*:*

Версия от 1.29.0 (включая) до 1.29.7 (исключая)

EPSS

Процентиль: 2%

0.00014

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-863

Связанные уязвимости

CVE-2026-28755

CVSS3: 5.4

redhat

7 дней назад

CVE-2026-28755

CVSS3: 5.4

msrc

5 дней назад

NGINX ngx_stream_ssl_module vulnerability

CVE-2026-28755

CVSS3: 5.4

debian

7 дней назад

NGINX Plus and NGINX Open Source have a vulnerability in the ngx_strea ...

GHSA-hgfr-jmpr-2p89

CVSS3: 5.4

github

7 дней назад

EPSS

Процентиль: 2%

0.00014

Низкий

5.4 Medium

CVSS3

Дефекты

CWE-863