F5は水曜日に、BIG-IP、BIG-IQ、およびNGINXに影響を与える19個以上の高度な重大度と32個の中程度の重大度の脆弱性の修正を発表しました。
CVSSスコアに基づくと、解決された問題の中で最も深刻なのはCVE-2026-42945(CVSS v4.0スコア9.2)で、NGINXのngx_http_rewrite_moduleモジュールのサービス拒否(DoS)状態です。
このバグにより、認証されていない攻撃者が細工されたHTTPリクエストを送信でき、攻撃者の制御範囲外の特定の条件と組み合わせると、ヒープバッファオーバーフローと再起動をトリガーできます。Address Space Layout Randomization(ASLR)が無効化されている場合、この脆弱性はコード実行に悪用される可能性があります。
次はCVE-2026-41225(CVSS v4.0スコア8.6)で、iControl RESTの脆弱性であり、少なくともManager権限を持つ認証された攻撃者が設定オブジェクトを作成できる可能性があり、コマンド実行につながります。
「この脆弱性により、BIG-IP管理ポートまたはセルフIPアドレスを通じて影響を受けるiControl RESTエンドポイントへのネットワークアクセスを持つ高度な権限を持つ攻撃者が、特権をエスカレートするか、Applianceモード制限をバイパスできる可能性があります。アプライアンスモード展開では、成功した悪用により、攻撃者がセキュリティ境界を越えることができます。データプレーン露出はありません。これは制御プレーンのみの問題です」とF5は説明しています。
水曜日に、同社はまた、認証を必要とするBIG-IPの高度な重大度のリモートコード実行(RCE)およびリモートコマンド注入脆弱性(CVE-2026-41957、CVE-2026-34176、CVE-2026-39459)の修正も発表しました。
残りの高度な重大度の欠陥のうち、1つは制限のバイパスにつながり、別の1つは任意のファイル改ざんにつながり、12個はサービス拒否(DoS)条件につながり、主にトラフィック管理マイクロカーネル(TMM)の終了を引き起こします。
F5が今週対処した中程度の重大度の問題は、セキュリティ保護のバイパス、権限昇格、情報開示、任意のシステムコマンド実行、DoS条件、コードインジェクション、および任意のローカルファイル改ざんにつながる可能性があります。
これらの脆弱性のいずれも、野生で悪用されたように見えません。追加情報はF5の四半期セキュリティ通知で見つけることができます。
翻訳元: https://www.securityweek.com/f5-patches-over-50-vulnerabilities/
