F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks
2026/06/18 gbhackers — F5 がリリースしたのは、NGINX コンポーネントに存在する複数の高深刻度の脆弱性 CVE-2026-42530/CVE-2026-42055 に対処するための、定例外のセキュリティ通知である。これらの脆弱性は、特定のコンフィグにおいてリモート・コード実行 (RCE) およびサービス拒否 (DoS) 攻撃を引き起こす可能性がある。F5 がユーザーに推奨するのは、影響を受けるデプロイメントに対する速やかなパッチ適用もしくはアップグレードである。
2026年6月17日に F5 は、定例外セキュリティ通知 K000161614 を発行し、NGINX Open Source/NGINX Plus/NGINX Instance Manager/NGINX Gateway Fabric/NGINX Ingress Controller および、関連する App Protect WAF/DoS モジュールをカバーするかたちで、複数の High/Medium の脆弱性を修正した。
このアドバイザリは 6月18日に更新され、影響を受ける製品/バージョン/修正済みリリースなどに関する一覧を提供するとともに、HTTP/2/HTTP/3/gRPC トラフィック処理パスに対するリスク上昇を強調している。
この通知は、F5 の通常の Quarterly Security Notifications を補完するものであり、その緊急性について各国の CERT からも周知されている。
CVE-2026-42530:NGINX HTTP/3 v3 モジュールの欠陥
最も懸念される脆弱性 CVE-2026-42530 については、F5 の K000161616 で詳述されている。NGINX が HTTP/3 QUIC モジュールを使用するようコンフィグされている場合に、この脆弱性による影響が NGINX の ngx_http_v3_module に生じる。
未承認のリモート攻撃者は、細工した HTTP/3 トラフィックを送信して QPACK encoder stream を再オープンし、NGINX worker プロセスで use-after-free を引き起こす恐れがある。その結果として、worker が繰り返しクラッシュし、DoS が発生する可能性がある。ASLR が無効化されているシステムや、バイパス可能なシステムにおいては、コード実行につながる可能性もある。
現代的なデプロイメントにおける High 〜 Critical の影響プロファイルを反映するかたちで、このバグに対して CVSS v3.1 基本スコア 8.1、CVSS v4.0 基本スコア 9.2 が割り当てられている。
CVE-2026-42055:HTTP/2 バックエンドの欠陥
2 つ目の高深刻度の脆弱性 CVE-2026-42055 は、F5 の K000161584 で詳述されている。HTTP/2 バックエンドで、ngx_http_proxy_v2_module または gRPC モジュールを使用している、NGINX Plus/NGINX Open Source に影響が生じる。
proxy_http_version が “2” に設定されている場合、または、gRPC upstream が有効化されている場合に、不正な形式の HTTP/2/gRPC ストリームにより、メモリ処理に欠陥が発生する可能性がある。その結果、環境のハードニング状況によっては、クラッシュやコード実行が引き起こされる可能性がある。
この欠陥も、CVSS v3.1 で 8.1、CVSS v4.0 で 9.2 と評価されており、前述の脆弱性 CVE-2026-42530 と同程度の深刻度であると評価されている。
脆弱性 CVE-2026-11311/CVE-2026-50107
さらに F5 は、NGINX Gateway Fabric における複数の高深刻度の脆弱性も修正している。その中には、K000161611 および K000161785 で説明されている、CVE-2026-11311/CVE-2026-50107 が含まれる。
これらの問題は、各種の Gateway Fabric リリース 2.x に影響を及ぼす。サービスメッシュおよびゲートウェイのデプロイメントにおいて、ルーティングの不安定化/サービス停止/完全性と可用性への影響を引き起こす可能性がある。すでに F5 は、Gateway Fabric 2.6.4 で修正を導入している。影響を受ける顧客に推奨されるのは、このバージョンへの速やかなアップデートである。
High CVE マトリクス
F5 が提供した高深刻度の脆弱性とメタデータを、以下の表に記す。
| CVE/記事 | CVSS v3.1 | CVSS v4.0 | 影響を受ける製品 | 影響を受けるバージョン | 修正版 |
|---|---|---|---|---|---|
| CVE-2026-42530 (K000161616) | 8.1 (High) | 9.2 (Critical) | NGINX Open Source | 1.31.0 〜 1.31.1 | 1.31.2 |
| CVE-2026-42530 (K000161616) | 8.1 (High) | 9.2 (Critical) | NGINX Instance Manager | 2.17.0 〜 2.22.0 | なし (現時点で修正なし) |
| CVE-2026-42530 (K000161616) | 8.1 (High) | 9.2 (Critical) | NGINX Gateway Fabric | 2.0.0 〜 2.6.3、1.3.0 〜 1.6.2 | 2.6.4 |
| CVE-2026-42530 (K000161616) | 8.1 (High) | 9.2 (Critical) | NGINX Ingress Controller | 5.0.0 〜 5.5.0、4.0.0 〜 4.0.1、3.5.0 〜 3.7.2 | なし (現時点で修正なし) |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Plus | 37.0.0 〜 37.0.1、R33 〜 R36 | 37.0.2.1、R36 P6 |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Open Source | 1.31.1、1.30.0 〜 1.30.2 | 1.31.2、1.30.3 |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Instance Manager | 2.17.0 〜 2.22.0 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | F5 WAF for NGINX | 5.9.0 〜 5.13.1 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX App Protect WAF | 5.2.0 〜 5.8.0、4.10.0 〜 4.16.0 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | F5 DoS for NGINX | 4.9.0 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX App Protect DoS | 4.3.0 〜 4.7.0 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Gateway Fabric | 2.0.0 〜 2.6.3、1.3.0 〜 1.6.2 | なし |
| CVE-2026-42055 (K000161584) | 8.1 (High) | 9.2 (Critical) | NGINX Ingress Controller | 5.0.0 〜 5.5.0、4.0.0 〜 4.0.1、3.5.0 〜 3.7.2 | なし |
| CVE-2026-11311 (K000161611) | 8.1 (High) | 8.6 (High) | NGINX Gateway Fabric | 2.5.0 〜 2.6.3 | 2.6.4 |
| CVE-2026-50107 (K000161785) | 8.1 (High) | 8.6 (High) | NGINX Gateway Fabric | 2.3.0 〜 2.6.3 | 2.6.4 |
F5 が強く推奨するのは、以下のバージョンへの速やかなアップグレードである。
- NGINX Open Source 1.31.2
- NGINX Plus 37.0.2.1/R36 P6
- NGINX Gateway Fabric 2.6.4
迅速なパッチ適用が不可能な組織は、暫定措置として以下を検討すべきである。
- HTTP/3 および QUIC サポートの無効化
- HTTP/2 および gRPC の露出の制限
- 厳格なアクセス制御の適用
- ASLR などの悪用緩和策の強化
管理者に推奨されるのは、F5 の quarterly security notifications とベンダーの RSS/メール・チャネルを監視し、今後の更新や悪用の状況に関する変化を追跡することである。
また、Ingress Controller および App Protect コンポーネントについては、今後のパッチ適用済みリリースが提供され次第、それらを適用することが推奨される。
訳者後書:人気の Web サーバ NGINX に、深刻な脆弱性 CVE-2026-42530/CVE-2026-42055 が発生しました。これらの問題の原因は、HTTP/2 や HTTP/3 を処理する内部プログラムにおいて、データの通り道を再度開いてしまう不整合や、特殊な接続要求を受け取った際のメモリ管理の不備にあります。これらの脆弱性が悪用されると、細工されたデータの送信によるサービス停止や、不正な命令の実行に至る危険性があります。ご利用のチームは、ご注意ください。よろしければ、NGINX での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.