「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
ウェブサーバ「nginx」の開発チームは現地時間2026年7月15日、複数の脆弱性へ対処したセキュリティアップデートをリリースした。「クリティカル(Critical)」とされる脆弱性にも対処している。
F5は現地時間7月15日にアドバイザリを公開し、3件の脆弱性「CVE-2026-42533」「CVE-2026-60005」「CVE-2026-56434」について明らかにした。有償版、オープンソース版のいずれも影響を受ける。
「CVE-2026-42533」は、ヒープバッファオーバーフローの脆弱性。「map」ディレクティブにおける特定の構成や、キャッシュ不可能な変数を利用している場合に影響を受けるおそれがある。
細工したHTTPリクエストにより、認証を必要とすることなくワーカープロセスが再起動するおそれがあるほか、メモリ保護が不十分な稼働環境では、コードの実行につながるおそれがある。
共通脆弱性評価システム「CVSSv4.0」のベーススコアは「9.2」、重要度は4段階中もっとも高い「クリティカル(Critical)」とレーティングされている。
(Security NEXT - 2026/07/16 )
ツイート
PR
関連記事
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
米セキュリティ当局、5件の悪用脆弱性に注意喚起
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
「Adobe ColdFusion」に脆弱性 - 悪用リスク高く、早急に対応を
「SonicWall SMA1000シリーズ」にゼロデイ脆弱性 - 更新や侵害調査を

