NGINX 1.31.0 のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) を検出:ASLR バイパスによる RCE の可能性

New NGINX 0-Day RCE “nginx-poolslip” Threatens Millions of Servers

2026/05/21 gbhackers — 新たに発見された NGINX のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) が悪用されると、数百万台のサーバが潜在的なリモート・コード実行 (RCE) 攻撃の危険にさらされる可能性がある。この脆弱性により、世界中のサイバーセキュリティ・コミュニティにおいて、深刻な懸念が引き起こされている。この脆弱性は、世界中の Web サイトの推定 30〜40% で利用されている、Web サーバ・ソフトウェア NGINX のバージョン 1.31.0 に影響するものであり、NebSec チームのセキュリティ研究者 Vega により発見され、2026年5月21日に公開された。

NGINX における重大な RCE リスク

脆弱性 nginx-poolslip は、NGINX の内部メモリプール管理メカニズムに存在する。セキュリティ情報 (CSN) によると、この欠陥を悪用する未認証の攻撃者は、リモート・コード実行を達成し、最終的にシステム全体の侵害や乗っ取りを引き起こす可能性がある。 

この脆弱性が危険である理由は、メモリ悪用の攻撃を防止するために設計された、OS の主要な防御機構である Address Space Layout Randomization (ASLR) をバイパス可能にする点にある。この機構の回避に成功した攻撃者は、脆弱なシステム上での悪意のペイロード実行を可能にする。 

この問題は、コードベースに 18 年以上にわたって存在しており、約 570 万台の NGINX サーバを DoS 攻撃/RCE 攻撃のリスクにさらしてきた。先日に修正された ngx_http_rewrite_module におけるヒープバッファ・オーバーフローの脆弱性 CVE-2026-42945 に続くものである。

前述の脆弱性については、バージョン 1.31.0/1.30.1 で対処されているが、その修正により根本的な攻撃対象領域が排除されなかったことを、NebSec の研究者は確認している。新たに発見された nginx-poolslip は、これらの既存の緩和策を実質的に回避し、完全にアップデートされたシステムであっても危険をもたらす。 

現時点では、nginx-poolslip に対する正式な CVE ID は割り当てられていない。F5 および NGINX プロジェクトからのパッチも未公開であるが、NebSec は責任ある開示プロセスに従うことを明言し、パッチの利用が可能になった後に、完全な技術的詳細を公開すると説明している。 

このような状況において、前回の脆弱性から保護するためにシステムをアップグレードした組織は、依然として極めて深刻なリスクを抱えることになる。

緩和策

正式パッチが提供されるまで、セキュリティ・チームに対して推奨されるのは、以下の対策を直ちに実施することである。

  • NebSec/F5 のセキュリティアドバイザリを継続的に監視し、更新情報やパッチ公開に注意を払う。
  • NGINX Plus の管理インターフェイスへのアクセス制限により、攻撃対象領域を縮小する。
  • WAF ルールを展開し、悪意のトラフィックをフィルタリングする。
  • ASLR が完全に有効化されていることを確認する (randomize_va_space = 2)。
  • rewrite/if/set ディレクティブを含むコンフィグの箇所を監査する。特に、名前なし PCRE キャプチャグループを使用している部分に注意を払う。
  • 重要な環境では、代替アーキテクチャやメモリセーフなプロキシ導入を検討する。

NGINX は、Web サーバ/リバース・プロキシ/ロード・バランサ/API ゲートウェイとして広範に利用されているため、nginx-poolslip の潜在的な影響の範囲は極めて広大である。組織にとって必要なことは、緊急パッチ適用のワークフローの準備を進めるとともに、公式アップデートに即応できる体制を整えることである。 

さらなる技術的な詳細や、追加の緩和策が公開される可能性もあることから、サイバー・セキュリティ・コミュニティ全体が、この動向を注視している。

訳者後書:この問題の原因は、 NGINX の内部にあるメモリプール管理メカニズムの不具合にあります。先日に修正された脆弱性 CVE-2026-42945 への対策だけでは、攻撃のきっかけとなる根本的な領域を消し去ることができず、この脆弱性が発生しています。プログラムの深い部分にある、管理方法に問題が残っており、最新版にアップデートしたシステムであっても、 OS の防御機能をすり抜けられてしまう状態になっています。なお、今回の nginx-poolslip 自体には、現時点で正式な CVE は割り当てられていません。ご利用のチームは、ご注意ください。よろしければ、2026/05/18 の「NGINX の深刻な RCE 脆弱性 CVE-2026-42945:公開直後から実環境での悪用を確認」も、ご参照ください。