F5は2026年6月17日、NGINX製品ファミリー全体に影響する複数の高深刻度および中深刻度の脆弱性を開示する帯域外セキュリティ通知を公開しました。
この脆弱性は、NGINX Open Source、NGINX Plus、NGINX Gateway Fabric、NGINX Ingress Controllerをはじめ、複数のWAFおよびDoS防御モジュールなど、幅広い製品に影響を及ぼしており、最新のWebインフラを運用する組織にとって深刻なリスクをもたらしています。
最も深刻な問題はCVSS v4.0スコアが最高9.2に達しており、深刻度スケールの上位に位置しています。
CVE-2026-42530はNGINXのngx_http_v3_moduleを標的とし、CVSS v3.1で8.1、CVSS v4.0で9.2のスコアが付与されています。
この脆弱性は、NGINX Open Sourceバージョン1.31.0〜1.31.1、NGINX Instance Managerバージョン2.17.0〜2.22.0、NGINX Gateway Fabric 1.3.0〜1.6.2および2.0.0〜2.6.3、ならびにNGINX Ingress Controllerの3.x、4.x、5.x系の各リリースラインに影響します。
修正パッチが提供されているのはNGINX Open Source(1.31.2)とNGINX Gateway Fabric(2.6.4)のみで、NGINX Instance ManagerおよびIngress Controllerへのパッチはまだ公開されていません。
CVE-2026-42055はngx_http_proxy_v2_moduleとngx_http_grpc_moduleに影響し、CVSS v4.0でも9.2のスコアを記録しています。
この脆弱性はアドバイザリ中で最も広範な影響範囲を持ち、NGINX Plus(R33〜R36および37.0.0〜37.0.1)、NGINX Open Source 1.30.0〜1.31.1、F5 WAF for NGINX、NGINX App Protect WAF、F5 DoS for NGINX、NGINX App Protect DoS、Gateway Fabric、Ingress Controllerに影響します。
修正はNGINX Plus 37.0.2.1およびR36 P6、NGINX Open Source 1.31.2および1.30.3に導入されていますが、WAFやDoSモジュールを含む複数の製品にはまだパッチが提供されていません。
追加の高深刻度脆弱性として、CVE-2026-11311とCVE-2026-50107がそれぞれNGINX Gateway Fabricバージョン2.3.0〜2.6.3および2.5.0〜2.6.3を標的としており、いずれもCVSS v3.1で8.1、CVSS v4.0で8.6のスコアが付与されています。両脆弱性はNGINX Gateway Fabricバージョン2.6.4で修正済みです。
アドバイザリには中深刻度の脆弱性も2件含まれています。CVE-2026-48142はngx_http_charset_moduleを通じて非常に広範なNGINX製品に影響を及ぼすもので、CVSS v4.0スコアは6.3です。一部の製品にはパッチが提供されています。
CVE-2026-32682はNGINX Gateway Fabricバージョン1.3.0〜2.6.3に影響し、CVSS v4.0スコアは7.1で、バージョン2.6.4で修正されています。
F5のアドバイザリによると、影響を受けるNGINX製品を使用している組織は、特に複数の重要製品が未パッチの状態であることを踏まえ、このアドバイザリを緊急課題として対応する必要があります。セキュリティチームは以下の対応を実施すべきです。
NGINXは世界で最も広く普及しているWebサーバーおよびリバースプロキシの一つです。脅威アクターがこれらのモジュールを狙った実証済みのエクスプロイトを開発する前に、各組織はこれらの脆弱性へのパッチ適用を最優先事項として取り組むべきです。
翻訳元: https://cyberpress.org/critical-nginx-flaw-fixed/