自動スキャンシステムを使用して発見されたNGINXオープンソースWebサーバの18年前の欠陥は、サービス拒否攻撃を悪用でき、特定の条件下ではリモートコード実行の可能性があります。
この脆弱性はCVE-2026-42945として追跡されており、一般的な脆弱性スコアリングシステム(CVSS)の最新版に基づいて、9.2の重大度レーティングを受けています。
AIネイティブセキュリティ企業DepthFirst AIの研究者は、同じ6時間のコードスキャンセッション中に、メモリ破損に関するセキュリティ問題3つをさらに発見しました。
広告主のウェブサイトを訪問ページに移動
NGINXは非常に使用されているWebサーバーおよびリバースプロキシプラットフォームで、ランク付けされた上位のウェブサイトの3分の1を実行しています。受信ネットワークトラフィックを複数のバックエンドサーバーに分散させることで負荷を効率的にバランスでき、コンテンツをキャッシュすることで読み込み時間を短縮できます。
アメリカのテック企業F5が所有・メンテナンスしており、このWebサーバーはクラウドプロバイダー、SaaS企業、銀行、メディアプラットフォーム、eコマースサイト、およびKubernetesクラスターで使用されています。
Mythosが見つけたもののうち99%はまだパッチが適用されていません。
AIが4つのゼロデイを1つのエクスプロイトに連鎖させ、レンダラーとOSサンドボックスの両方をバイパスしました。新しいエクスプロイトの波が来ています。
自動検証サミット(5月12日および14日)では、自動的なコンテキスト豊富な検証が悪用可能なものを見つけ、コントロールが保持され、修復ループを閉じるしくみをご覧ください。
ソース: bleepingcomputer.com
