F5がNGINXの定例外更新を公開 – HTTP/3とHTTP/2/gRPCの2脆弱性、特定条件でRCEにつながる可能性

この記事は約14分で読めます。

F5は2026年6月17日、NGINX製品群に影響する複数の脆弱性に対するアウトオブバンドのセキュリティ通知(K000161614)を公開し、6月18日と19日に更新しました。中でも実務的に注目すべきは、ngx_http_v3_moduleのUse-After-Free(解放後メモリー使用、CVE-2026-42530)と、ngx_http_proxy_v2_modulengx_http_grpc_moduleのHeap-based Buffer Overflow(ヒープベースのバッファーオーバーフロー、CVE-2026-42055)の2件です。F5のCVSS v4.0スコアでは両方とも9.2(Critical)と評価されていますが、F5傘下のNGINXプロジェクトがnginx.orgのSecurity Advisoriesに掲載した独自の重大度表記では、それぞれ「major」「medium」となっており、一部のメディアが見出しで用いる「2件のCritical」という表現とは異なります。両脆弱性の技術的な前提条件と評価ラベルの違いを、運用判断に役立つ視点で整理します。

2件の脆弱性の概要

F5は同日付で2件の主要CVEに加え、ngx_http_charset_moduleのBuffer Overread(バッファーオーバーリード、CVE-2026-48142)も同時に修正しました。3件はいずれもデータプレーン側の問題で、コントロールプレーンには影響しません。主要2件についてはリモートかつ未認証の攻撃者がトリガー可能ですが、RCE(リモートコード実行)に到達するには、ASLR(アドレス空間配置のランダム化)が無効であるか、攻撃者がASLRを迂回できることが追加条件となります。成立条件を満たす環境で直接的に想定される影響は、NGINXワーカープロセスのクラッシュによるDoSが中心となります。

CVE 影響モジュール 脆弱性種別 F5 CVSS v4.0 F5 CVSS v3.1 nginx.org
CVE-2026-42530 ngx_http_v3_module Use-After-Free(CWE-416) 9.2 Critical 8.1 High major
CVE-2026-42055 ngx_http_proxy_v2_module
ngx_http_grpc_module		 Heap-based Buffer Overflow(CWE-122) 9.2 Critical 8.1 High medium
CVE-2026-48142 ngx_http_charset_module Buffer Overread(CWE-125) 6.3 Medium 4.8 Medium low

CVE-2026-48142は機密性と可用性の両方に影響する脆弱性です。同一location内でsource_charset utf-8;charsetディレクティブ(例:charset koi8-r;)を併用している構成で、リモートかつ未認証の攻撃者がリクエストを送信し、攻撃者の制御外にある追加条件と組み合わさることで、ngx_http_charset_module内でヒープ領域外読み取りが発生し、限定的なメモリー内容の漏えい、またはワーカープロセスの再起動につながる可能性があります。本体側のパッチ適用に合わせて一緒に修正することが望まれます。

CVE-2026-42530:HTTP/3 QUICのUse-After-Free

1件目はHTTP/3を有効化した構成でのみ顕在化する脆弱性です。攻撃者は特別に細工したHTTP/3セッションを送り、QPACKエンコーダーストリームを再オープンさせることで、NGINXワーカープロセス内でUse-After-Freeを引き起こせます。結果としてワーカープロセスが再起動し、DoSにつながります。ASLRが無効、または攻撃者がASLRを迂回できる場合は、コード実行の可能性もあります。

影響を受けるNGINX Open Sourceは1.31.0と1.31.1です。ngx_http_v3_moduleは既定ではビルドされないため、--with-http_v3_moduleを付けてビルドしたバイナリーを使用し、かつHTTP/3 QUICを有効化している構成のみが対象となります。F5側ではNGINX Instance Manager 2.17.0〜2.22.0、NGINX Gateway Fabric 1.3.0〜1.6.2および2.0.0〜2.6.3、NGINX Ingress Controllerの3.x・4.x・5.x系列に広く影響が及びます。NGINX Open Sourceの修正版は1.31.2、NGINX Gateway Fabric 2.x系の修正版は2.6.4ですが、Gateway Fabric 1.x系とIngress Controller全系列は本稿確認時点で修正版が提供されていません。なお、NGINX PlusはCVE-2026-42530の影響を受けません。

緩和策として、HTTP/3を停止する方法をF5が案内しています。具体的にはlistenディレクティブからquicオプションを取り除けば、本脆弱性のトリガー条件そのものが成立しなくなります。

CVE-2026-42055:HTTP/2/gRPCプロキシのバッファーオーバーフロー

2件目はアップストリームへのHTTP/2またはgRPCプロキシ構成における脆弱性で、トリガー条件が極めて具体的です。F5公式アドバイザリ(K000161584)の記述を整理すると、以下の3条件が同時に満たされる場合に成立します。

  • proxy_http_version 2またはgrpc_passディレクティブでHTTP/2トラフィックをプロキシしている
  • ignore_invalid_headersoffに設定されている(既定値はon
  • large_client_header_buffersの第2引数(size)が2 MBを超える

これらが揃った状態で、未認証の攻撃者が大きなヘッダーを含むリクエストを送ることで、アップストリーム向けリクエスト生成時にHeap-based Buffer Overflowを誘発できます。ワーカープロセスのクラッシュ(DoS)が直接的な影響で、ASLRが無効、または攻撃者がASLRを迂回できる場合はRCEへ発展する可能性があります。F5自身も「既定のNGINX構成を使用しているデプロイメントは本脆弱性の影響を受けない」と明記しています。

影響範囲は広く、NGINX Open Sourceに加えて、NGINX Plus、NGINX Gateway Fabric、NGINX Ingress Controller、F5 WAF for NGINX、NGINX App Protect WAF/DoS、F5 DoS for NGINXに及びます。修正版は製品ごとに細かく分かれており、本稿の後半に一覧表として整理します。

パッチ適用が困難な場合の緩和策は2つで、ignore_invalid_headers offディレクティブを設定から削除するか、large_client_header_buffersの第2引数(size)を2 MB未満に縮小する方法をF5が案内しています。既定値の4 8kを使用している環境では、第2引数(size)が2 MBを超える条件を満たしません。

「Critical」表現の違いをどう読むか

本件で実務者が混乱しやすいのが、評価軸ごとに異なる重大度ラベルです。F5は両CVEともCVSS v4.0で9.2(Critical)を付与していますが、F5傘下のNGINXプロジェクトが、nginx.orgのSecurity Advisoriesで掲載するプロジェクト独自の重大度表記では、それぞれmajor、mediumです。一部のメディアはF5のCVSS評価を基に「2件のCritical RCE」と書きますが、nginx.orgのラベルを反映すると「1件major(HTTP/3使用時)と1件medium(非既定構成時)」になります。

nginx.orgのmajor/mediumは、CVSSとは別のプロジェクト独自の重大度表記です。nginx.orgは今回のラベル選定理由を詳しく公開していないため、F5のCVSS 9.2との違いを、攻撃難度や構成条件だけに帰することはできません。CVSS Base Scoreは脆弱性の固有の重大度を表す指標であり、組織固有のリスクとは異なる点にも留意が必要です。

運用判断は、自社環境の構成と照合して優先度を決めるのが妥当です。NGINX Open Source 1.30.x系は、CVE-2026-42530の影響を受けません。1.31.0または1.31.1を使用している場合も、ngx_http_v3_moduleを含むバイナリーでHTTP/3 QUICを有効化している構成が対象です。HTTP/2/gRPCプロキシの3条件を満たさない一般的な構成では、CVE-2026-42055の現実的なリスクは限定的です。一方、API GatewayやサービスメッシュでgRPCバックエンドを利用し、かつignore_invalid_headers offと2 MB超のlarge_client_header_buffersを併用している環境では、優先度を上げる必要があります。

修正バージョン一覧

本表はF5公式アドバイザリ(K000161584、K000161616、K000161585)の評価対象テーブルを基にしています。F5は技術サポート終了(EoTS)に達していないバージョンのみを評価対象としているため、F5の影響バージョン範囲は、nginx.orgが示す技術的な脆弱バージョン範囲よりも狭くなります。nginx.orgが示すNGINX Open Sourceの脆弱バージョン範囲は次の通りです。

  • CVE-2026-42530:1.31.0〜1.31.1(F5評価と一致)
  • CVE-2026-42055:1.13.10〜1.31.1(F5評価は1.30.0〜1.30.2と1.31.1)
  • CVE-2026-48142:0.3.50〜1.31.1(F5評価は1.0.0〜1.30.2と1.31.0〜1.31.1)

CVE-2026-42530

製品 系列 影響バージョン(F5評価) 修正版
NGINX Open Source 1.x 1.31.0〜1.31.1 1.31.2
NGINX Instance Manager 2.x 2.17.0〜2.22.0 修正版なし(緩和策を適用)
NGINX Gateway Fabric 2.x 2.0.0〜2.6.3 2.6.4
1.x 1.3.0〜1.6.2 修正版なし(緩和策を適用)
NGINX Ingress Controller 5.x 5.0.0〜5.5.0 修正版なし
4.x 4.0.0〜4.0.1 修正版なし
3.x 3.5.0〜3.7.2 修正版なし

CVE-2026-42055

製品 系列 影響バージョン(F5評価) 修正版
NGINX Plus 37.x 37.0.0〜37.0.1 37.0.2.1
Rx R33〜R36 R36 P6
NGINX Open Source 1.x 1.30.0〜1.30.2、1.31.1 1.30.3、1.31.2
NGINX Instance Manager 2.x 2.17.0〜2.22.0 修正版なし(緩和策を適用)
F5 WAF for NGINX 5.x 5.9.0〜5.13.1 修正版なし(緩和策を適用)
NGINX App Protect WAF 5.x 5.2.0〜5.8.0 修正版なし(緩和策を適用)
4.x 4.10.0〜4.16.0 修正版なし(緩和策を適用)
F5 DoS for NGINX 4.x 4.9.0 修正版なし(緩和策を適用)
NGINX App Protect DoS 4.x 4.3.0〜4.7.0 修正版なし(緩和策を適用)
NGINX Gateway Fabric 2.x 2.0.0〜2.6.3 2.6.4
1.x 1.3.0〜1.6.2 修正版なし(緩和策を適用)
NGINX Ingress Controller 5.x 5.0.0〜5.5.0 5.5.1
4.x 4.0.0〜4.0.1 修正版なし(緩和策を適用)
3.x 3.5.0〜3.7.2 修正版なし(緩和策を適用)

CVE-2026-48142

製品 系列 影響バージョン(F5評価) 修正版
NGINX Plus 37.x 37.0.0〜37.0.1 37.0.2.1
Rx R33〜R36 R36 P6
NGINX Open Source 1.x 1.0.0〜1.30.2、1.31.0〜1.31.1 1.30.3、1.31.2
NGINX Instance Manager 2.x 2.17.0〜2.22.0 修正版なし
F5 WAF for NGINX 5.x 5.9.0〜5.13.1 修正版なし
NGINX App Protect WAF 5.x 5.2.0〜5.8.0 修正版なし
4.x 4.10.0〜4.16.0 修正版なし
F5 DoS for NGINX 4.x 4.9.0 修正版なし
NGINX App Protect DoS 4.x 4.3.0〜4.7.0 修正版なし
NGINX Gateway Fabric 2.x 2.0.0〜2.6.3 2.6.4
1.x 1.3.0〜1.6.2 修正版なし
NGINX Ingress Controller 5.x 5.0.0〜5.5.0 5.5.1
4.x 4.0.0〜4.0.1 修正版なし
3.x 3.5.0〜3.7.2 修正版なし

未修正の関連製品と注意点

F5アドバイザリでは、NGINX Instance Manager、F5 WAF for NGINX、NGINX App Protect WAF/DoS、F5 DoS for NGINXの主要バージョンに加え、NGINX Gateway Fabric 1.x系、NGINX Ingress Controller 3.x/4.x系が「影響を受けるが現時点で直接の修正が未提供」と扱われています。これらの製品は、F5パッケージに含まれるNGINXコンポーネントの影響を受ける構造のため、利用者側で内部のNGINXだけを独自に置き換えるのではなく、CVEごとに対応方針が異なる点を踏まえた対応が必要です。緩和策が用意されているCVE-2026-42530とCVE-2026-42055については、CVEごとの緩和策を適用したうえで対応リリースの公開を継続監視してください。CVE-2026-42530はlistenディレクティブからquicオプションを削除してHTTP/3を無効化することで成立条件が崩れます。CVE-2026-42055はignore_invalid_headers offディレクティブの削除、またはlarge_client_header_buffersの第2引数(size)を2 MB未満に縮小することで対応できます。一方、CVE-2026-48142についてはF5アドバイザリ(K000161585)に明示的な緩和策の記載がないため、修正版が提供されるまでは対応リリースの監視を継続する必要があります。

また、本件は通常の四半期セキュリティ通知(Quarterly Security Notification)とは別枠の、アウトオブバンド通知として公開されました。本稿確認時点で、CVE-2026-42530およびCVE-2026-42055の実環境悪用は公表されていません。ただし、いずれもネットワーク経由かつ認証なしでトリガー可能なため、悪用報告がないことを理由に対応を先送りすべきではありません。

推奨される対応

運用環境への対応優先度は、以下の順で判断すると整理しやすくなります。

  1. NGINX 1.31.0/1.31.1でHTTP/3を有効化している場合:最優先でアップグレードまたはHTTP/3停止
  2. NGINX PlusでHTTP/2/gRPCバックエンドを利用し、ignore_invalid_headers offと2 MB超のlarge_client_header_buffersを併用している場合:37.0.0〜37.0.1は37.0.2.1へ、R33〜R36はR36 P6へ更新
  3. NGINX Open Source 1.30.0〜1.30.2または1.31.0〜1.31.1を運用している場合:CVE-2026-42055およびCVE-2026-48142は1.30.3または1.31.2へ更新(CVE-2026-42055について構成が3条件を満たすかの事前確認も併せて実施)
  4. NGINX Open SourceのEoTS(技術サポート終了)系列を運用している場合:nginx.orgの脆弱バージョン範囲(CVE-2026-42055は1.13.10〜1.31.1、CVE-2026-48142は0.3.50〜1.31.1)に該当するため、サポート対象の修正版系列(1.30.3または1.31.2)への移行が望まれます
  5. NGINX Gateway Fabric 2.x系:2.6.4へアップグレード(1.x系は修正版未提供のため緩和策を適用)
  6. NGINX Ingress Controller 5.x系:CVE-2026-42055およびCVE-2026-48142については5.5.1へ更新(CVE-2026-42530は全系列で修正版未提供のため緩和策を適用)
  7. NGINX Instance Manager/App Protect/F5 WAF for NGINX/F5 DoS for NGINXユーザー:CVE-2026-42530およびCVE-2026-42055についてはF5が案内する緩和策を適用し、CVE-2026-48142については修正版の公開を継続監視

本脆弱性は構成依存性が強い一方で、攻撃条件を満たす環境では細工されたリクエストによりワーカープロセスが再起動し、可用性へ影響する可能性があります。自環境の構成条件を確認したうえで、修正版または緩和策を速やかに適用する必要があります。

参考リンク

slug: nginx-rce-cve-2026-42530-cve-2026-42055

コメント

タイトルとURLをコピーしました