NGINX Riftの次は“poolslip” NGINX最新版に未修正のゼロデイ：前回の修正では不十分

直近で話題になったNGINXの脆弱性「NGINX Rift」の修正を反映した最新版1.31.0に新たなゼロデイ脆弱性「nginx-poolslip」が見つかった。前回の深刻な脆弱性対応に追われた運用現場に、再び重い警戒が突き付けられている。

[＠IT]

　セキュリティニュースメディア「Cybersecurity News」は2026年5月21日（米国時間）、オープンソースのWebサーバ・リバースプロキシソフトウェア「NGINX」の最新版1.31.0で動作するゼロデイ脆弱（ぜいじゃく）性「nginx-poolslip」が見つかったと報じた。これを悪用すると、認証前段階から任意コード実行に至る恐れがある。

　NGINXは世界中のWeb基盤で広範囲に採用済みだ。高負荷サイトやAPIゲートウェイ、負荷分散装置、リバースプロキシ用途でも利用例が多い。推定比率は全Webサーバ群の3〜4割に達する。最新版1.31.0が今回の脆弱性の対象範囲に含まれた点も波紋を広げている。

「直したはずなのに危険」　NGINX最新環境を揺らす“nginx-poolslip”

　nginx-poolslipは内部メモリプール管理機構に関連した脆弱性だ。これを悪用すると、メモリ配置予測を困難化するOSのセキュリティ機能「ASLR」（Address Space Layout Randomization）を回避し、任意コード実行に移る恐れが残る。

　数週間前、NGINXユーザーは今回のものとは異なる脆弱性「CVE-2026-42945」（通称：NGINX Rift）への対応に追われた。対象箇所は「ngx_http_rewrite_module」内部だ。ヒープバッファーオーバーフロー問題が含まれ、CVSS v4のスコアは9.2が付与済みだった。該当の脆弱性は2008年以降コード内部に残存した状態であり、影響規模は公開サーバ約570万台に及ぶとされている。

　F5はCVE-2026-42945の修正版としてNGINX Open Source 1.31.0と1.30.1を公開した。しかし、Nebula Securityの調査によると、NGINX Riftの修正のみではnginx-poolslipの攻撃面の縮小には至らないという。つまり、修正済み環境でも危険が残る点が今回の核心だ。

　現段階でF5やNGINX開発陣から正式修正版公開は確認されていない。CVE番号付与も未実施だ。Nebula Security側は責任開示方針を採用済みであり、悪用を避けるため、ASLR回避の詳細を含む技術文書の公開時期を修正版登場後30日に設定している。

　暫定の防御策としては、ASLR設定値「/proc/sys/kernel/randomize_va_space」を「2」に変更済みかどうかを確認することを推奨されている。この他、「rewrite」「if」「set」といった各ディレクティブ内部で未命名のPCREキャプチャー利用の有無を点検する必要もある。Nebula Securityの説明によると、関連箇所利用時にプールレベル破壊条件成立確率が高まる。重要基盤運営企業において、「Cloudflare Pingora」などメモリ安全性重視製品採用案も浮上した。

　今回の公表後、セキュリティコミュニティーはNebula Securityによる協調的な情報開示の行方を注視している。広範囲に普及しているソフトウェアに新規のゼロデイ脆弱性が加わった影響は大きい。修正版公開前の段階であり、運用担当者に迅速な監視体制の構築と緊急の更新準備が求められる状況だ。