CVE-2026-8711として追跡されている重大なヒープバッファオーバーフロー脆弱性がNGINX JavaScript(njs)で開示され、認証されていないリモート攻撃者がワーカープロセスをクラッシュさせることを可能にし、特定の条件下では完全なリモートコード実行(RCE)を達成できます。
この欠陥は2026年5月のNGINXセキュリティ開示の広い波の中で現れ、世界で最も広く導入されているWebサーバーに依存する組織のエスカレートするリスクを強調しています。
認証されていない攻撃者は特別に細工されたHTTPリクエストを送信して、これらの変数を操作し、NGINXワーカープロセスでCWE-122ヒープベースのバッファオーバーフローを引き起こすことができます。
アドレス空間配置ランダム化(ASLR)が無効になっているシステムでは、オーバーフローは完全なRCEにエスカレートできます。
CVE-2026-8711は孤立した事件ではありません。2026年5月13日に、DepthFirst AIの研究者は「NGINX Rift」を開示しました。これは4つのCVEからなる脆弱性チェーンで、最も重大なもの(CVE-2026-42945)は2008年以来NGINXのコードベースに存在していると報告されています。
これらの欠陥は一緒に、認証されていない攻撃者がワーカープロセスをクラッシュさせたり、メモリをリークしたり、決定的なヒープレイアウトを悪用して完全なRCEを達成することを可能にします。
VulnCheckはCVE-2026-42945が既に野生で悪用されていることを確認し、DepthFirstは公に概念実証エクスプロイトコードをリリースしました。
CVE-2026-42945の積極的な悪用が既に確認されており、概念実証コードが流通しているため、パッチは緊急です。セキュリティチームは:
すぐにパッチできない組織は、すべての影響を受けるrewriteディレクティブ内の名前のないキャプチャを名前付きキャプチャに置き換えることが一時的な対応策として推奨されます。
NGINXが高性能Webサーバーおよびリバースプロキシとして広く導入されており、グローバルにアクティブなウェブサイトの30%以上を動かしていると推定される中で、CVE-2026-8711はnjsスクリプティングモジュールを使用している組織にとって重大なリスク面を表しています。
セキュリティチームはパッチを優先するべきです。特にASLRがデフォルトで強制されないインターネットに面した環境では重要です。
翻訳元: https://cyberpress.org/nginx-allows-remote-code-execution/
