NGINXの重大な脆弱性「NGINX Rift」が18年ぶりに修正、リモートコード実行の可能性
セキュリティ研究者により、**NGINX Plus**および**NGINX Open Source**に、18年間見過ごされていた重大なヒープバッファオーバーフローの脆弱性「**NGINX Rift**」(**CVE-2026-42945**)が発見されました。この脆弱性を悪用すると、認証されていない攻撃者が細工されたHTTPリクエストを送信することで、リモートコード実行やサービス拒否(DoS)を引き起こす可能性があります。
### NGINX Rift: CVE-2026-42945の詳細
**depthfirst**によって発見されたこの脆弱性は、`ngx_http_rewrite_module`に存在します。**F5**によると、この脆弱性は`rewrite`ディレクティブの後に`rewrite`、`if`、または`set`ディレクティブが続き、さらに疑問符(?)を含む置換文字列を持つ名前のないPerl互換正規表現(PCRE)キャプチャ(例: $1、$2)がある場合に発生します。
認証されていない攻撃者は、特定の条件下でこの脆弱性を悪用し、細工されたHTTPリクエストを送信することで、NGINXワーカープロセスのヒープバッファオーバーフローを引き起こす可能性があります。これにより、サーバーの再起動や、アドレス空間配置のランダム化(ASLR)が無効になっている場合はリモートコード実行につながる可能性があります。
### 対象バージョンとパッチ情報
この問題は、2026年4月21日に責任ある開示が行われた後、以下のバージョンで修正されています。
* NGINX Plus R32 - R36 (R32 P6およびR36 P4で修正)
* NGINX Open Source 1.0.0 - 1.30.0 (1.30.1および1.31.0で修正)
* NGINX Open Source 0.6.27 - 0.9.7 (修正予定なし)
* NGINX Instance Manager 2.16.0 - 2.21.1
* F5 WAF for NGINX 5.9.0 - 5.12.1
* NGINX App Protect WAF 4.9.0 - 4.16.0
* NGINX App Protect WAF 5.1.0 - 5.8.0
* F5 DoS for NGINX 4.8.0
* NGINX App Protect DoS 4.3.0 - 4.7.0
* NGINX Gateway Fabric 1.3.0 - 1.6.2
* NGINX Gateway Fabric 2.0.0 - 2.5.1
* NGINX Ingress Controller 3.5.0 - 3.7.2
* NGINX Ingress Controller 4.0.0 - 4.0.1
* NGINX Ingress Controller 5.0.0 - 5.4.1
### 悪用可能性と影響
Depthfirstのアドバイザリは、この脆弱性の深刻さを強調しており、リモートから認証されていない攻撃者が細工されたURIを送信することで、NGINXワーカープロセスのヒープを破損させることができると指摘しています。悪用の容易さとリモートコード実行の可能性から、これは非常に重要な問題です。
「脆弱なNGINXサーバーにHTTP経由でアクセスできる攻撃者は、単一のリクエストを送信することでワーカープロセスのヒープをオーバーフローさせ、リモートコード実行を達成できます」とdepthfirstは述べています。「認証ステップは不要で、事前のアクセス権限も、既存のセッションも必要ありません。」
繰り返しリクエストを送信することでクラッシュループを引き起こし、影響を受けるインスタンスが提供するサイトの可用性を大幅に低下させる可能性もあります。
### その他の修正された脆弱性
最新のNGINXリリースでは、**CVE-2026-42945**に加えて、以下の脆弱性も修正されています。
* **CVE-2026-42946** (CVSS v4スコア: 8.3): `ngx_http_scgi_module`および`ngx_http_uwsgi_module`モジュールにおける過剰なメモリ割り当ての脆弱性。これにより、中間者攻撃(AitM)能力を持つリモート攻撃者がNGINXワーカープロセスのメモリを読み取ったり、再起動を引き起こしたりする可能性があります。
* **CVE-2026-40701** (CVSS v4スコア: 6.3): `ngx_http_ssl_module`モジュールにおけるuse-after-freeの脆弱性。これにより、リモート攻撃者がデータの変更を限定的に制御したり、NGINXワーカープロセスを再起動したりする可能性があります。
* **CVE-2026-42934** (CVSS v4スコア: 6.3): `ngx_http_charset_module`モジュールにおける境界外読み取りの脆弱性。これにより、リモート攻撃者がメモリの内容を漏洩させたり、NGINXワーカープロセスを再起動したりする可能性があります。
### 緩和策と推奨事項
ユーザーは、最適な保護のために最新のNGINXバージョンを適用することを強く推奨します。**CVE-2026-42945**に対して直ちにパッチを適用できない場合、一時的な回避策として、影響を受けるすべての`rewrite`ディレクティブで、名前のないキャプチャを名前付きキャプチャに置き換えることで、リライト設定を変更することが挙げられます。