つみかさね

CVE-2026-42238

Critical(9.8)

CVE-2026-42238 — Nginx-UI 認証なしリモートコード実行

公開日: 2026-05-07データソース: NVD, GitHub Advisory

影響を受けるソフトウェア

製品ベンダー影響バージョン
nginx-ui0xJacky< 2.3.8

対応ガイド

high|対応必須セキュリティ修正影響: 広範

推奨アクション

  1. 1Nginx-UI のバージョンを確認する
  2. 2v2.3.8 未満であれば速やかにアップデートする
  3. 3管理画面がインターネットに直接公開されていないか確認する

影響対象

Nginx-UI を利用するサーバー管理者

補足

  • -認証不要でRCEが可能なため、インターネット公開環境では最優先で対応してください
CVENginx-UIRCE認証バイパス

概要

Nginx-UI において、バックアップ復元機能を通じて認証なしでリモートコード実行 (RCE) が可能な脆弱性が発見されました。攻撃者は認証を経ることなくバックアップ復元のエンドポイントにアクセスし、任意のコードを実行できます。

Nginx-UI は Nginx の設定管理を Web ベースの GUI で行えるオープンソースツールです。本脆弱性では、バックアップ復元機能において認証チェックが適切に行われていないため、外部から直接悪意のあるリクエストを送信することでサーバー上で任意のコマンドを実行される危険性があります。認証が不要であること、およびリモートからの攻撃が可能であることから、インターネットに公開されている Nginx-UI インスタンスは即座に攻撃対象となり得ます。

Nginx-UI を利用してサーバー管理を行っている環境では、速やかに v2.3.8 へアップデートすることが必要です。アップデートが即座に適用できない場合は、Nginx-UI の管理画面へのアクセスをファイアウォールや VPN で制限することを強く推奨します。

CVSSベクトル

指標
CVSSスコア9.8
深刻度Critical
CWECWE-94 (コードインジェクション)
攻撃元区分ネットワーク
攻撃条件の複雑さ
必要な特権レベル不要

影響を受けるソフトウェア

製品ベンダー影響バージョン
nginx-ui0xJacky< 2.3.8

修正バージョンと回避策

  • 修正バージョン: Nginx-UI v2.3.8 にアップデートしてください
  • 回避策: アップデートが即座に適用できない場合は、Nginx-UI の管理画面へのアクセスをファイアウォールや VPN 等で信頼できるネットワークに制限してください
  • 確認事項: Nginx-UI がインターネットに直接公開されていないか確認してください

関連リンク

データソース: NVD (NIST), GitHub Advisory Database AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

参考リンク

NVD:https://nvd.nist.gov/vuln/detail/CVE-2026-42238
GitHub Advisory:https://github.com/0xJacky/nginx-ui/security/advisories/GHSA-4pvg-prr3-9cxr
GitHub Release:https://github.com/0xJacky/nginx-ui/releases/tag/v2.3.8
Xでシェアはてブ
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。