F5は、特定の構成においてリモートコード実行(RCE)およびサービス拒否(DoS)攻撃を可能にするNGINXコンポーネントの複数の重大な脆弱性に対処する帯域外セキュリティ通知を公開し、影響を受けるデプロイメントへの即時パッチ適用またはアップグレードを顧客に強く求めています。
2026年6月17日、F5は帯域外セキュリティ通知(K000161614)を発行し、NGINX Open Source、NGINX Plus、NGINX Instance Manager、NGINX Gateway Fabric、NGINX Ingress Controller、および関連するApp Protect WAF/DoSモジュールにわたる複数の高・中程度の深刻度を持つ脆弱性をまとめて公開しました。
2026年6月18日に更新された同アドバイザリは、HTTP/2、HTTP/3、gRPCのトラフィック処理パスに対するリスクの高さを強調するとともに、影響を受ける製品・バージョン・修正済みリリースの情報を顧客向けに一覧形式で提供しています。
この通知はF5の定期的な四半期セキュリティ通知を補完するものであり、各国のCERTにも広く周知されていることから、その緊急性がうかがえます。
NGINX HTTP/3 v3モジュールの深刻な脆弱性(CVE-2026-42530)
最も注目すべき問題はCVE-2026-42530として追跡されており、F5アーティクルK000161616に詳細が記載されています。この脆弱性は、NGINX がHTTP/3 QUICモジュールを使用するよう設定されている場合に、NGINX ngx_http_v3_moduleに影響します。
リモートの未認証攻撃者が細工したHTTP/3トラフィックを送信することで、QPackエンコーダーストリームを再オープンさせ、NGINXワーカープロセスにuse-after-freeを引き起こす可能性があります。これによりワーカーが繰り返しクラッシュしてDoS状態に陥るほか、ASLRが無効または回避可能な環境ではコード実行につながる恐れもあります。
F5はこの脆弱性のCVSS v3.1基本スコアを8.1、CVSS v4.0基本スコアを9.2と評価しており、現代のデプロイメントに対して高〜深刻なレベルの影響があることを示しています。
2つ目の高深刻度の問題はCVE-2026-42055(K000161584)で、ngx_http_proxy_v2_moduleまたはgRPCモジュールをHTTP/2バックエンドとともに使用している場合のNGINX PlusおよびNGINX Open Sourceに影響します。
proxy_http_versionを2に設定している場合、またはgRPCアップストリームが有効な場合、不正なHTTP/2またはgRPCストリームによってメモリ処理の不具合が引き起こされ、環境のハードニング状況によってはクラッシュやコード実行につながる可能性があります。
この脆弱性もCVSS v3.1で8.1、CVSS v4.0で9.2と評価されており、F5の観点からは深刻度においてHTTP/3の脆弱性と同等の位置づけとなっています。
F5はさらに、NGINX Gateway Fabricにおける複数の高深刻度の脆弱性として、CVE-2026-11311およびCVE-2026-50107も開示しており、それぞれK000161611およびK000161785に詳細が記載されています。
これらの問題はGateway Fabricの2.x系の各種リリースに影響します。サービスメッシュやゲートウェイのデプロイメントにおいて、ルーティングの不安定化、サービス障害、または整合性・可用性への影響が生じる可能性があります。F5はGateway Fabric 2.6.4でこれらの修正を提供しており、影響を受ける顧客に対してはこのバージョンへの移行を推奨しています。
高深刻度CVE一覧
以下は、F5が提供した情報をもとに、CVSSスコア・影響製品・バージョン・修正済みリリースなどの主要な技術的メタデータをまとめた高深刻度CVEの一覧表です。
| CVE / アーティクル | CVSS v3.1 | CVSS v4.0 | 影響製品 | 影響バージョン | 修正バージョン |
|---|---|---|---|---|---|
| CVE-2026-42530 (K000161616) | 8.1 (High) | 9.2 (Critical) | NGINX Open Source | 1.31.0 – 1.31.1 | 1.31.2 |
| NGINX Instance Manager | 2.17.0 – 2.22.0 | なし(修正版未提供) | |||
| NGINX Gateway Fabric | 2.0.0 – 2.6.3, 1.3.0 – 1.6.2 | 2.6.4 | |||
| NGINX Ingress Controller | 5.0.0 – 5.5.0, 4.0.0 – 4.0.1, 3.5.0 – 3.7.2 | なし(修正版未提供) | |||
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Plus | 37.0.0 – 37.0.1, R33 – R36 | 37.0.2.1, R36 P6 |
| NGINX Open Source | 1.31.1, 1.30.0 – 1.30.2 | 1.31.2, 1.30.3 | |||
| NGINX Instance Manager | 2.17.0 – 2.22.0 | なし | |||
| F5 WAF for NGINX | 5.9.0 – 5.13.1 | なし | |||
| NGINX App Protect WAF | 5.2.0 – 5.8.0, 4.10.0 – 4.16.0 | なし | |||
| F5 DoS for NGINX | 4.9.0 | なし | |||
| NGINX App Protect DoS | 4.3.0 – 4.7.0 | なし | |||
| NGINX Gateway Fabric | 2.0.0 – 2.6.3, 1.3.0 – 1.6.2 | なし | |||
| NGINX Ingress Controller | 5.0.0 – 5.5.0, 4.0.0 – 4.0.1, 3.5.0 – 3.7.2 | なし | |||
| CVE-2026-11311 (K000161611) | 8.1 (High) | 8.6 (High) | NGINX Gateway Fabric | 2.5.0 – 2.6.3 | 2.6.4 |
| CVE-2026-50107 (K000161785) | 8.1 (High) | 8.6 (High) | NGINX Gateway Fabric | 2.3.0 – 2.6.3 | 2.6.4 |
F5は、NGINX Open Sourceを1.31.2へ、NGINX Plusを37.0.2.1またはR36 P6へ、NGINX Gateway Fabricを2.6.4へアップグレードすることを強く推奨しています。また、Ingress ControllerおよびApp Protectコンポーネントについては、修正済みリリースが公開され次第、速やかに適用するよう案内しています。
即時パッチ適用が困難な組織に対しては、暫定措置としてHTTP/3およびQUICサポートの無効化、HTTP/2とgRPCの外部公開制限、厳格なアクセス制御の実施、ASLRおよびその他の悪用対策の強化を検討するよう呼びかけています。
さらに管理者は、今後のアップデートや悪用状況の変化を把握するために、F5の四半期セキュリティ通知やベンダーのRSS・メールチャンネルを継続的に監視することが推奨されています。
翻訳元: https://gbhackers.com/f5-patches-nginx-vulnerability/
