概要
NGINX Plus および NGINX Open Source の ngx_http_rewrite_module モジュールにヒープバッファオーバーフロー(CWE-122)が存在します。rewrite ディレクティブに特定のパターン(名前なし PCRE キャプチャ $1, $2 を含み、? を含む置換文字列)が続く場合に悪用が可能です。
通常、攻撃が成功すると NGINX ワーカープロセスが再起動します(サービス一時中断)。ただし、ASLR(アドレス空間配置ランダム化)が無効なシステム、または攻撃者が ASLR を回避できる環境ではコード実行につながる可能性もあります。
類似の脆弱性として CVE-2026-9256(重複する PCRE キャプチャパターン)も同日公開されており、合わせて確認が必要です。
CVSSベクトル
| 項目 | 値 | 意味 |
|---|---|---|
| 攻撃経路(AV) | ネットワーク(N) | リモートから攻撃可能 |
| 攻撃の複雑さ(AC) | 高(H) | 特定の設定条件が必要 |
| 必要な権限(PR) | なし(N) | 認証不要 |
| ユーザー操作(UI) | なし(N) | ユーザー操作不要 |
| スコープ変更(S) | 変更なし(U) | — |
| 機密性影響(C) | 高(H) | — |
| 完全性影響(I) | 高(H) | — |
| 可用性影響(A) | 高(H) | — |
影響を受けるソフトウェア
| 製品 | 影響バージョン | 修正方法 |
|---|---|---|
| NGINX Plus | EoTS 以外の対象バージョン | F5 サポートポータルで確認 |
| NGINX Open Source | EoTS 以外の対象バージョン | F5 サポートポータルで確認 |
修正バージョンと対応策
- F5 サポートポータル の K000160926 で修正バージョンを確認してください
- NGINX の設定で
rewriteディレクティブに名前なし PCRE キャプチャ($1,$2等)と?を含む置換文字列を組み合わせている場合は、設定の見直しも検討してください - 参考: DepthFirst Disclosures の Nginx-Rift レポート
関連リンク
データソース: NVD (NIST), F5 Security Advisory AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。