F5 NGINX Plus & Open‑Source Flaw Lets Attackers Execute Code via MP4 File
2026/03/25 gbhackers — F5 が公表したのは、NGINX の ngx_http_mp4_module に存在する深刻な脆弱性 CVE-2026-32647 である。この脆弱性を悪用する攻撃者は、細工された MP4 ファイルを介して任意のコード実行やサービス拒否 (DoS) を引き起こす可能性を得る。この脆弱性が影響を及ぼす範囲は、MP4 ストリーミング・モジュールがサーバ設定で明示的に有効化されている、 NGINX Plus および NGINX Open Source の環境となる。
脆弱性の詳細
CVE-2026-32647 の CVSS v4.0 スコアは 8.5/ CVSS v3.1 スコアは 7.8 であり、深刻度 High と評価され、CWE-125 (範囲外読み取り) に分類される。
この問題はデータ・プレーンに存在し、ローカルの認証済み攻撃者による、細工済み MP4 ファイルのアップロードと処理のトリガーにより発動する。その結果として、NGINX ワーカ・プロセスが当該ファイルを処理する際に、バッファのオーバーリード/オーバーライト (読み取りオーバーラン/書き込みオーバーラン) が引き起こされる可能性がある。
このメモリ破壊により、ワーカ・プロセスは強制的に再起動され、一時的なトラフィックの停止による DoS 状態へと至る。さらに特定条件下では、このメモリ破壊を悪用する攻撃者が、ホスト・サーバ上でリモート・コード実行 (RCE) を引き起こす可能性がある。
NGINX Open Source では、MP4 モジュールはデフォルトで無効化されているため、コンフィグ・ファイルに mp4 ディレクティブを明示的に追加した環境のみが影響を受ける。
影響製品および修正
この脆弱性が、NGINX の複数バージョンに影響することが、F5 により確認されており、すでに公式パッチが提供されている。
- NGINX Plus
影響を受けるバージョン:R32 〜 R36
修正バージョン:R36 P3/R35 P2/R32 P5
- NGINX Open Source
影響を受けるバージョン:1.1.19 〜 1.29.6
修正バージョン:1.29.7/1.28.3
なお、BIG-IP Next/BIG-IQ Centralized Management/F5OS/F5 Distributed Cloud Services に関しては、この MP4 モジュールの欠陥が影響しないことが確認されている。
この脆弱性は、Xint Code/Aisle Research の Pavel Kohout により発見され、適切に開示されたものだ。
緩和策および回避策
公式アップデートを直ちに適用できない場合には、以下の対策を実施する必要がある。
- 音声/動画ファイルのアップロードを、信頼済みユーザーに限定する
- MP4 疑似ストリーミング機能を無効化する
mp4 疑似ストリーミングは、設定ファイル (/etc/nginx 配下) において mp4 ディレクティブをコメントアウトすることで無効化できる。http/server/location コンテキスト内の mp4 設定行の先頭に、”#” を追加することで無効化できる。
変更後は以下のコマンドで、変更が反映されていることを検証すべきである。
- sudo nginx -t
- sudo service nginx reload
これにより、このモジュールを悪用した攻撃リスクを低減できる。
訳者後書:この脆弱性 CVE-2026-32647 は、NGINX で MP4 ファイルを扱うモジュールがデータを読み書きする際、あらかじめ用意されたメモリの範囲を超えて処理を行ってしまうことが原因で発生します。本来はアクセス不可のメモリ領域での操作を許すため、システムの動作が不安定になり、サービス停止や不正な外部コマンドの実行などの恐れが生じます。この脆弱性が影響を及ぼす範囲は、NGINX Plus や NGINX Open Source の、mp4 ディレクティブが有効化されている環境となります。ご利用のチームは、ご注意ください。よろしければ、NGINX での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.