**NGINX**および**NGINX Plus**のユーザーは、`ngx_http_rewrite_module`におけるヒープバッファオーバーフロー脆弱性である**CVE-2026-42945**の活発な悪用が報告されたことを受けて、最新のパッチを適用することが強く推奨されます。この脆弱性は、2008年に導入されたとされるNGINXバージョン0.6.27から1.30.0に影響します。 ### NGINX脆弱性の詳細 CVSSスコア9.2のこの脆弱性は、認証されていない攻撃者が細工されたHTTPリクエストを通じてワーカープロセスのクラッシュを引き起こしたり、リモートコード実行の可能性を引き起こしたりする可能性があります。ただし、リモートコード実行（RCE）の成功は、対象システムでAddress Space Layout Randomization（ASLR）が無効になっていることに依存します。 セキュリティ研究者のKevin Beaumont氏は、エクスプロイトには特定のNGINX構成と攻撃者によるその構成の知識が必要であると指摘しています。AlmaLinuxのメンテナーもこれに同調し、ASLRが有効なデフォルト構成では信頼性の高いコード実行は容易ではないかもしれませんが、ワーカークラッシュによるサービス拒否（DoS）のリスクは、即時の注意を払うに値するほど大きいと述べています。 **VulnCheck**は、自社のハニーポットネットワークに対する活発な悪用試行を確認していますが、これらの攻撃の正確な性質と目的は不明なままです。ユーザーは、潜在的な脅威を軽減するために、**F5**からの最新の修正を適用することが強く推奨されます。 ### openDCIMの脆弱性が活発に攻撃されている 並行して、**VulnCheck**は、データセンターインフラストラクチャ管理用のオープンソースアプリケーションである**openDCIM**における2つのクリティカルな脆弱性の活発な悪用も報告しました。両方の脆弱性はCVSSスコア9.3です。 * **CVE-2026-28515**: 認証されたユーザーが、割り当てられた権限に関係なくLDAP構成機能にアクセスできる可能性がある、認証不足の脆弱性です。Dockerデプロイメントで認証強制がない場合、アプリケーション構成の不正な変更につながる可能性があります。 * **CVE-2026-28517**: `report_network_map.php`コンポーネントにおけるオペレーティングシステムコマンドインジェクションの脆弱性です。これは、適切なサニタイズなしに「dot」パラメータを処理し、それをシェルコマンドに直接渡すため、任意のコード実行の可能性があります。 これらの脆弱性は、**openDCIM**におけるSQLインジェクション脆弱性である**CVE-2026-28516**と共に、**VulnCheck**のセキュリティ研究者Valentin Lobsteinによって発見されました。Lobstein氏は、これらの3つの脆弱性を連鎖させることで、5回のHTTPリクエストを通じてリモートコード実行を達成し、最終的にリバースシェルを生成できることを実証しました。 **VulnCheck**のセキュリティリサーチ担当バイスプレジデントであるCaitlin Condon氏は、観測された攻撃者の活動は単一の中国のIPアドレスから発信されており、脆弱なインストールを特定するためにカスタマイズされたAI脆弱性発見ツールVulnhuntrの実装を利用してからPHPウェブシェルを展開しているようです。