Webサーバー「nginx」に3件の脆弱性、「CVSS 4.0」の基本値は最高で10点満点中「9.2」

「nginx」の安定版「1.30.3」と開発版「1.31.2」が公開

　米F5は6月17日（現地時間）、Webサーバー「nginx」（エンジンエックス）の安定版（stable）v1.30.3と開発版（mainline）v1.31.2を公開した。これらのバージョンでは、以下の3件の脆弱性が修正されている。

• CVE-2026-42530：HTTP/3（QUIC）を担う「ngx_http_v3_module」における、解放済みメモリの使用（use-after-free）。HTTP/3を有効にしている環境で、認証されていないリモートの攻撃者が細工したHTTP/3セッションを通じてQPACKエンコーダーストリームを再オープンさせると、ワーカープロセスでuse-after-freeが発生し、プロセスの再起動（DoS）につながる。「ASLR」が無効化された環境などでは、任意のコードが実行されるおそれもある。深刻度の評価は「CVSS 4.0」の基本値（以下同）で10点満点中「9.2」（Critical）
• CVE-2026-42055：「ngx_http_proxy_v2_module」「ngx_http_grpc_module」におけるバッファオーバーフロー。HTTP/2をプロキシする設定で、「ignore_invalid_headers」をオフにし、「large_client_header_buffers」のサイズを2MBより大きくしているなど、特定の条件が重なった場合に悪用されうる。深刻度の評価は「9.2」（Critical）
• CVE-2026-48142：文字コードを扱う「ngx_http_charset_module」における、領域外読み取り（buffer overread）。「source_charset」と「charset」を併用する特定の設定時に、ワーカープロセスで限定的なヒープ領域外読み取りが発生しうる。深刻度の評価は「6.3」（Medium）

　このうち「CVE-2026-42055」「CVE-2026-48142」は、安定版v1.30.3と開発版v1.31.2の両方で修正された。一方、「CVE-2026-42530」が影響するのは開発版のv1.31.0～v1.31.1のみで、安定版（v1.30.x系）は影響を受けない。修正も開発版v1.31.2でのみ行われている。

　いずれにせよ、できるだけ早めに最新版へアップデートする必要がある。