F5は水曜日、コード実行につながる可能性のある重大な欠陥を含む、複数のNGINX脆弱性を修正するための緊急セキュリティアップデートをリリースしました。
最も深刻なのはCVE-2026-42530とCVE-2026-42055(CVSSスコア9.2)で、HTTPモジュールに影響する2つのバグです。認証なしで悪用可能であり、それぞれuse-after-freeまたはヒープベースのバッファオーバーフローを引き起こす可能性があります。
これらの問題を悪用されると、NGINXワーカープロセスが再起動し、サービス拒否(DoS)状態が引き起こされます。アドレス空間配置のランダム化(ASLR)が無効になっているか、または回避できる場合、攻撃者は任意のコードを実行できます。
F5はこれらのセキュリティ上の欠陥に対処するため、NGINX Plus、NGINX Open Source、NGINX Gateway Fabricの更新バージョンをリリースしました。
また同社は、CVE-2026-11311とCVE-2026-50107の修正も展開しました。これらはNGINX Gateway Fabricにおける2つの高深刻度の脆弱性で、認証済みの攻撃者が任意のNGINX設定ディレクティブを注入できる可能性があります。
「悪用に成功した場合、攻撃者はNGINX podファイルシステムの機密データを露出させたり、攻撃者が管理するエンドポイントへのトラフィックをプロキシしたり、NGINXの再ロードを妨げる設定を注入してサービス拒否(DoS)状態を引き起こしたりする可能性があります」とF5は説明しています。
さらに同社は、中程度の深刻度を持つ2つのNGINX脆弱性に対するパッチも発表しました。これらを悪用されると、リモートの攻撃者がメモリの内容を開示したり、NGINXワーカープロセスを再起動させたり、DoS状態を引き起こしたりする可能性があります。
F5はこれらの脆弱性が実際に悪用された事例については言及していませんが、NGINXは最近攻撃の標的になっているため、ユーザーはパッチを適用することが重要です。
詳細については、同社のセキュリティ通知をご参照ください。
翻訳元: https://www.securityweek.com/f5-patches-critical-high-severity-nginx-vulnerabilities/
