概要
NGINX Plus および NGINX Open Source の mail_auth_http_module に おいて、NULL ポインタ 参照(CWE-476)に より ワーカー プロセス が クラッシュ する 脆弱性 が 存在 します。メール プロキシ 構成 で NGINX を 使用 して いる 場合、サービス 拒否(DoS)に 至る 可能性 が あります。
CVSS ベクトル
| 項目 | 値 |
|---|---|
| CVSS スコア | 7.5(High) |
| 攻撃 元 区分 | ネットワーク |
| 攻撃 条件 の 複雑 さ | 低 |
| 必要 な 特権 レベル | 不要 |
| ユーザー 関与 | 不要 |
| CWE | CWE-476(NULL ポインタ 参照) |
影響 を 受ける ソフトウェア
| 製品 | 影響 バージョン | 修正 バージョン |
|---|---|---|
| NGINX Plus | F5 Advisory 参照 | F5 Advisory 参照 |
| NGINX Open Source | F5 Advisory 参照 | F5 Advisory 参照 |
修正 バージョン と 回避策
- F5 の セキュリティ アドバイザリ K000160383 に 記載 された 修正 バージョン を 適用
- mail_auth_http_module を 使用 して いない 場合 は 影響 なし
関連 リンク
データソース: NVD (NIST) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。