NGINXのrewrite機能に「緊急」の脆弱性 “見落とし設定”がRCEの入り口に:「HTTPリクエスト1発」で悪用可能
「NGINX」に、認証不要で悪用可能な“危険すぎる欠陥”が見つかった。たった一つのHTTPリクエストが、サーバ停止や遠隔コード実行(RCE)につながる可能性もあるという。問題は標準構成にも潜み、影響範囲は想像以上に広い。運用担当者が今すぐ確認すべきポイントとは。
depthfirstは、オープンソースのWebサーバ・リバースプロキシソフトウェア「NGINX」の書き換え機能に存在していた深刻な脆弱(ぜいじゃく)性「CVE-2026-42945」を公開した。
対象となるのは「NGINX Open Source」と「NGINX Plus」で、細工したHTTPリクエストを送信されると、認証なしでヒープベースのバッファーオーバーフローが発生し、ワーカープロセスの異常終了や遠隔コード実行(RCE)につながる可能性がある。CVSS v4.0のスコアは9.2で、深刻度「緊急」(Critical)と評価された。
NGINXに深刻な脆弱性「NGINX Rift」が発覚 多数のシステムに影響が及ぶ恐れ
depthfirstは、この脆弱性を「NGINX Rift」と呼称している。問題はNGINXの「ngx_http_rewrite_module」にあり、URIを書き換える「rewrite」ディレクティブの処理中にメモリ破壊が起きる。該当モジュールは標準構成のNGINXに含まれているため、多数のシステムに影響が及ぶ恐れがある。
この脆弱性は、無名の正規表現キャプチャー「$1」「$2」を含むrewrite設定と、疑問符を含む置換文字列を組み合わせた際に発生する。同じスコープ内でrewrite、if、setディレクティブが続くと、NGINX内部で確保されるバッファー長の計算と実際の書き込み処理の前提条件が食い違い、確保済み領域を越えた書き込みが起きる。
depthfirstによると、攻撃者はインターネット経由で単一のHTTPリクエストを送るだけで脆弱性を悪用できる。認証や既存セッションは不要で、リクエスト内のURIを細工することで、ワーカープロセスのヒープ領域に任意性の高い破壊を引き起こせるという。遠隔コード実行の他、繰り返し要求を送ることでクラッシュを連続発生させ、可用性を低下させる攻撃も想定される。
影響範囲は広く、NGINX Open Sourceでは0.6.27〜1.30.0まで、NGINX PlusはR32〜R36までの各リリースが該当する。加えて、「NGINX Instance Manager」「F5 WAF for NGINX」「NGINX App Protect WAF」「NGINX App Protect DoS」「NGINX Gateway Fabric」「NGINX Ingress Controller」など複数の関連製品にも影響が確認された。
「F5 Distributed Cloud」「F5 Silverline」「NGINX One Console」「BIG-IP」「BIG-IQ」「F5OS」「Traffix SDC」「F5 AI Gateway」については影響を受けないとされている。
F5は修正版を公開済みで、NGINX Open Sourceでは1.31.0と1.30.1、NGINX PlusではR36 P4およびR32 P6で問題を修正した。利用者には更新後にNGINXを再起動し、修正済みバイナリを読み込ませるよう求めている。
関連製品の一部では同一ブランチ用修正版がまだ提供されていない。F5は、修正版を含む新しいリリースへの移行を推奨している。
即時更新が難しい場合の暫定策として、rewrite設定の変更も案内された。問題となる無名キャプチャー「$1」「$2」を使う代わりに、名前付きキャプチャーに置き換えることで脆弱性への到達を防げるという。
技術的には、問題は「src/http/ngx_http_script.c」に存在する。rewrite処理で疑問符を含む置換文字列が扱われた際、内部フラグ「is_args」が設定されたままとなり、その後の長さ計算時と実際のコピー処理時でエスケープ処理の条件が一致しなくなる。URI内の「+」「%」「&」などの文字が追加エスケープによって拡張され、想定より長いデータが書き込まれることでオーバーフローに至る。
depthfirstは、この脆弱性を同社プラットフォームが自律的に発見したと説明した。F5は調査結果を確認後、修正版の開発とアドバイザリー公開を進め、2026年5月13日(米国時間)に協調開示を実施した。
NGINXは世界中のWebサービスやAPI基盤、クラウド環境、コンテナ基盤で広く利用されている。インターネット公開サーバの前段に配置されるケースも多く、今回の脆弱性は広範囲のサービス運用に影響を及ぼす可能性がある。運用者には、対象バージョンの確認と早急な更新対応が求められる。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
LinuxカーネルのゼロデイをAIが発見 悪用で簡単にroot権限奪取が可能に
Linuxカーネルに約9年間にわたり見過ごされてきた致命的なローカル権限昇格の脆弱性「Copy Fail」が突如浮上した。この脆弱性を悪用すれば、一般ユーザーが極めて簡単にroot権限を取得できる。さらにこの発見を後押ししたのはAIだという。
GitHub侵害で銀行連携停止 マネーフォワード事案が突き付ける開発リスク
マネーフォワードは認証情報漏えいによるGitHubへの不正アクセスを受け、ソースコードや一部個人情報が流出したと公表した。銀行連携機能まで一時停止に追い込まれた今回の事案は、開発現場に潜む見落とされがちなリスクを浮き彫りにしている。
NIST、ついに“脆弱性の全件分析”を断念 CVE爆増でパンク状態、方針転換
NISTは、脆弱性データベース「NVD」の運用を大きく見直す。CVEの急増により従来の“全件分析”が限界に達したためだ。今後は優先度に応じた対応へと転換する。この変更は、脆弱性管理の前提そのものを揺るがす可能性がある。
パスワード管理は「覚えない」から「保存しない」に 注目の新技術「HIPPO」とは?
IEEE Spectrumは保存不要のパスワード生成技術「HIPPO」について報じた。単一のマスターパスワードからWebサイトごとの情報をその場で演算生成し、漏えいリスクと管理の負担を軽減する。実験では手動入力より高い安全性と信頼性が示された。