官方已经在2026年6月17日发布了新的安全版本：1.30.3stable和1.31.2mainline。这次更新主要修复了HTTP/3、HTTP/2代理、gRPC代理、字符集处理等相关模块里的几个安全问题。
这里先说结论：
如果你的服务器正在使用NGINX，并且版本低于1.30.3，建议尽快安排升级。
尤其是有反向代理、HTTP/2、gRPC、HTTP/3相关配置的站点，更应该优先检查。
这次比较受关注的是CVE-2026-42530。它出现在NGINX的HTTP/3QUIC模块里，属于释放后重用问题，也就是常说的UAF。根据官方说明，这个漏洞主要影响NGINXOpenSource的1.31.0到1.31.1版本，修复版本为1.31.2及以上。如果你的站点没有启用HTTP/3，风险会低很多；但如果已经在配置里开启了quic，就不建议继续拖着不处理。
另一个需要关注的是CVE-2026-42055。这个漏洞和NGINX的HTTP/2代理、gRPC代理有关，涉及ngx_http_proxy_v2_module和ngx_http_grpc_module。在特定配置组合下，可能被远程未认证攻击者触发，造成NGINXworker进程异常，严重情况下可能进一步带来更高风险。受影响版本范围是1.13.10到1.31.1，修复版本为1.30.3及以上或1.31.2及以上。
还有一个CVE-2026-48142，出现在ngx_http_charset_module字符集模块中。这个漏洞的利用条件相对更具体，需要站点配置了source_charsetutf-8和类似charsetkoi8-r这样的字符集转换配置。它可能导致有限的内存信息泄露或worker进程重启。官方给出的修复版本同样是1.30.3及以上或1.31.2及以上