F5は、NGINX PlusとNGINX Open Sourceに影響を及ぼす3件のセキュリティ脆弱性を公表しました。その中には、メモリ保護が弱い環境でリモートコード実行を許してしまう恐れのある深刻な欠陥も含まれています。
2026年7月15日に公開された各アドバイザリは、本番稼働中のWebインフラやクラウドゲートウェイ、Kubernetesのingress環境で広く使われているNGINXの主要モジュールに及んでいます。
最も深刻な問題はCVE-2026-42533として追跡されており、CVSS v4.0スコアは9.2(Critical)です。mapディレクティブにおける正規表現キャプチャ変数の不適切な処理に起因しています。
文字列式がmapの出力変数よりも先に正規表現キャプチャ変数を参照した場合、あるいは特定条件下でキャッシュ不可能な変数を使用した場合、認証を経ていない攻撃者が細工したHTTPリクエストを送信することで、NGINXワーカープロセスにヒープバッファオーバーフロー(CWE-122)を引き起こすことができます。
F5は、アドレス空間配置のランダム化(ASLR)が無効化されているシステムや、攻撃者がASLRを回避できる環境では、この欠陥がワーカーのクラッシュにとどまらず任意コード実行にまでエスカレートする可能性があると警告しています。
2件目のアドバイザリCVE-2026-56434はngx_http_ssi_moduleに影響し、CVSS v4.0スコアは8.3(High)です。悪用にはServer-Side Includes(SSI)とproxy_pass、そしてproxy_buffering offを組み合わせた特定の設定が必要となります。
アップストリームサーバーの応答に対して中間者攻撃による制御を行える攻撃者は、use-after-free状態(CWE-416)を引き起こすことができ、限定的なメモリ破損やワーカープロセスの再起動を強制する可能性があります。
3件目の問題であるCVE-2026-60005はngx_http_slice_moduleに影響し、CVSS v4.0スケールで8.8(High)と評価されています。sliceディレクティブが名前なし正規表現キャプチャと組み合わされた場合や、バックグラウンドでのキャッシュ更新時に、未初期化メモリへのアクセス(CWE-908)が発生することに起因しています。
認証されていない攻撃者はこれをリモートから悪用し、限定的なメモリ内容を漏えいさせたり、ワーカープロセスをクラッシュさせたりすることが可能です。なお、このモジュールはデフォルトでは有効になっておらず、–with-http_slice_moduleフラグを明示的に指定してコンパイルする必要がある点に注意が必要です。
F5は、BIG-IP、BIG-IQ、BIG-IP Next、F5 Distributed Cloud、F5OS、NGINX One Console、Traffix SDC、F5 AI Gatewayはこれら3件のいずれの問題の影響も受けないことを確認しており、影響範囲はスタンドアロンのNGINX環境とNGINXベースのKubernetesツール群に限定されるとしています。
CVE-2026-42533とCVE-2026-60005については、F5は名前なし正規表現キャプチャの使用を避け、名前付きキャプチャを用いるとともに、その使用を正規表現マッチと同じブロック内に限定することを推奨しています。
CVE-2026-56434には暫定的な緩和策が存在しないため、脆弱なSSI/proxy設定を運用している組織はパッチ適用を最優先で進める必要があります。
NGINX Instance ManagerやApp Protect WAFを運用している管理者は、これらの製品ラインについてはまだ修正版がリリースされていないため、F5のアドバイザリページを注視する必要があります。
これらの欠陥はネットワーク経由で悪用可能かつ認証不要という性質を持つことから、特にmapディレクティブの深刻なバグについては、セキュリティチームはパッチ適用を最優先事項として扱うべきです。とりわけ、信頼できない入力を扱うインターネット公開型のNGINXインスタンスでは注意が必要です。
より強固な予防的防御で、重大インシデントと金銭的損失を未然に防ぎましょう。15,000のSOCから集約されたライブ脅威フィードを統合する
翻訳元: https://cyberpress.org/f5-fixes-nginx-flaws-enabling-code-execution/