ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ

ウェブサーバ「NGINX」において中間者攻撃により応答が改ざんされるおそれがある脆弱性が判明した。商用版、オープンソース版のいずれも影響を受ける。

TLSで保護された上流サーバへプロキシを設定した場合に、中間者攻撃（MITM攻撃）で応答へ平文データを注入されるおそれがある脆弱性「CVE-2026-1642」が確認された。

信頼されたデータと信頼されていない外部データを適切に区別せず受け入れてしまうことに起因。改ざんされたデータがそのままクライアントへ送信されるおそれがある。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.2」、重要度は4段階中、上から2番目にあたる「高（High）」とレーティングされている。「CVSSv3.1」ではベーススコアが「5.9」、重要度は「中（Medium）」とされる。

F5では、同脆弱性へ対処した「NGINX Open Source 1.29.5」「同1.28.2」、および「NGINX Plus R36 P2」「同R35 P1」「同R32 P4」をリリース。利用者にアップデートが呼びかけられている。

また「NGINX Ingress Controller」「NGINX Gateway Fabric」「NGINX Instance Manager」なども基盤となるNGINXコンポーネントの影響を受ける。それぞれの製品に向けた修正版はアドバイザリのリリース時点で提供されていない。

（Security NEXT - 2026/02/05 ）ツイート