NGINX脆弱性により認証不要でリモートコード実行が可能
原題: New NGINX Vulnerability Allows Unauthenticated RCE
なぜ重要か
広く使用されているWebサーバーNGINXの重大な脆弱性により、企業のWebインフラに深刻なセキュリティリスクが生じている
NGINXのJavaScript(njs)に新たな脆弱性CVE-2026-8711が発見された。認証されていないリモート攻撃者がヒープベースのバッファオーバーフローを引き起こし、サービス拒否攻撃や一定条件下でのリモートコード実行が可能となる。この脆弱性はjs_fetch_proxy指令がクライアント制御変数を処理する際に発生する。
この脆弱性はNGINX JavaScript(njs)のバージョン0.9.4から0.9.8に影響し、ngx_http_js_moduleモジュールのjs_fetch_proxy指令がクライアント制御のNGINX変数と組み合わせられた際に発生する。攻撃者は巧妙に作成されたHTTPリクエストを送信することで、NGINXワーカープロセス内でヒープバッファオーバーフローを引き起こすことができる。この脆弱性はCWE-122(ヒープベースバッファオーバーフロー)に分類され、F5社により内部的にNGINX PlusとNGINX OSSでID 160として追跡されている。主にワーカープロセスのクラッシュと自動再起動を引き起こし、NGINXデータプレーンでのサービス拒否(DoS)状態を作り出す。Address Space Layout Randomization(ASLR)が無効または不適切に設定されたシステムでは、このオーバーフローがワーカーコンテキストで任意のコードを実行するために悪用される可能性がある。修正はnjs 0.9.9で導入されており、F5社は影響を受けるバージョンを使用する管理者に対して、主要な対策としてNGINX JavaScript 0.9.9以降へのアップグレードを強く推奨している。即座のアップグレードが不可能な環境では、クライアント制御変数を使用するjs_fetch_proxy設定の見直しやASLRの有効化が推奨される。