F5、BIG‑IPとNGINXの重大な脆弱性に対する緊急セキュリティ修正を公開

F5は四半期セキュリティ通知を公開し、同社製品エコシステム全体にわたる複数のセキュリティ欠陥に対処しました。

F5は社内ポリシー上、主要な脆弱性を「中（Medium）」の深刻度に分類していますが、更新されたCVSS v4.0のスコアリングシステムでは8.2が付与されており、企業環境に対する高いリスクを示しています。

このアドバイザリでは、BIG-IP Advanced WAF、NGINX Plus、BIG-IP Container Ingress Servicesに影響する3つの特定のCVEが強調されています。

これらのコンポーネントはアプリケーショントラフィックの重要な入口となるため、セキュリティチームには直ちにパッチ適用を優先するよう推奨されています。

技術的分析

BIG-IP Advanced WAFおよびASM（CVE-2026-22548）

BIG-IPアプライアンスにおける最も重大な問題は、Advanced Web Application Firewall（WAF）とApplication Security Manager（ASM）に影響します。

CVSS v4.0スコアは8.2で、この脆弱性により攻撃者がセキュリティ制御を回避したり、サービスを妨害したりする可能性があります。

この欠陥は明確にバージョン17.1.0から17.1.2に影響します。修正はバージョン17.1.3で導入されています。

NGINXエコシステムの脆弱性（CVE-2026-1642）

NGINXスイート全体（NGINX Open Source、NGINX Plus、NGINX Ingress Controllerを含む）にわたる広範な脆弱性が特定されました。

BIG-IPの欠陥と同様に、CVSS v4.0スコアは8.2です。NGINXはネットワーク境界でリバースプロキシやロードバランサとして展開されることが多いため、未パッチのインスタンスは重大な攻撃対象領域となります。

NGINX Gateway FabricおよびInstance Managerも影響を受けており、展開モデルに応じた特定の更新が必要です。

Container Ingress Services（CVE-2026-22549）

KubernetesまたはOpenShiftを利用する環境では、BIG-IP Container Ingress Services（CIS）にCVSS v4.0で6.9の脆弱性が含まれています。この問題はバージョン2.0.0から2.20.1に影響します。パッチはバージョン2.20.2で提供されています。

次の表は、直ちに注意が必要な重要コンポーネントを示しています。

F5はまた、BIG-IPのSMTP設定（K000156643）に関するセキュリティ上の露出についても指摘しました。これはソフトウェアのバグではなく設定上のリスクであり、不正なメールリレーや情報漏えいを許す可能性があります。

管理者は、特に17.x系ブランチにおけるBIG-IPモジュールのSMTP設定を見直し、バージョン17.5.1.4または21.0.0.1で導入された設定の強化を適用すべきです。

緩和策

BIG-IPまたはNGINX製品を使用している組織は、次を実施してください。

1. 資産の棚卸し： BIG-IP WAF、NGINX Plus/Open Source、Container Ingress Servicesのすべてのインスタンスを特定する。
2. バージョンの確認： 現在のインストール状況を上記の「影響を受けるバージョン」欄と照合する。
3. パッチ適用： 緊急の変更ウィンドウを設定し、該当する修正を適用する。
4. 強化： 開示された露出を緩和するため、BIG-IPアプライアンスのSMTP設定を見直す。