Webサーバー「nginx」に再び致命的な脆弱性、修正版が公開

「nginx」に致命的な脆弱性（CVE-2026-9256）、修正版が公開

　米F5は5月22日（現地時間）、Webサーバーシステム「nginx」（エンジンエックス）に致命的な脆弱性があることを明らかにした。「ngx_http_rewrite_module」にヒープバッファオーバーフローの脆弱性（CVE-2026-9256）があり、悪用されると外部からワーカープロセスのクラッシュ（DoS）が引き起こされるほか、「ASLR」が無効化された環境などでは、最悪の場合、任意のコードが実行されてしまう可能性があるという。

　同社によると、この問題は「ngx_http_rewrite_module」の「rewrite」命令の処理に起因する。重複・ネストしたPCREキャプチャーグループで複数のキャプチャー参照（$1、$2など）を含む置換文字列を使用した場合のチェックに問題があるようで、リモートの認証されていない攻撃者が、細工したHTTPリクエストを送るだけで悪用できてしまう。

　深刻度の評価は、「CVSS 4.0」の基本値で「9.2」（10点満点、Critical）。v0.1.17からv1.31.0までの広いバージョンに影響する。

　問題を解決するには、修正版の「nginx」v1.31.1（mainline）/v1.30.2（stable）以降へアップデートすることが望ましい。すぐに対処できない場合は、「rewrite」ディレクティブの番号付きキャプチャーを名前付きキャプチャーに置き換えることで緩和できる。

　なお、0.x系はサポートを終了しているため、アップデートが提供されない点には注意。