「nginx」に複数脆弱性、「クリティカル」も - 修正版を公開
あわせてスライスモジュールにおいて初期化されていないメモリへアクセスするおそれのある脆弱性「CVE-2026-60005」や、特定の構成において中間者攻撃(MITM攻撃)が可能な場合に悪用が可能となる「Use After Free」の脆弱性「CVE-2026-56434」が明らかとなった。
CVSS基本値はそれぞれ「8.8」「8.3」と評価されており、重要度はともに「高(High)」とレーティングされている。
脆弱性の判明を受けて、オープンソース版となる「nginx 1.31.3」「同1.30.4」および、有償版となる「NGINX Plus 37.0.3.1」「同R36 P7」を公開した。また一部脆弱性については緩和策を案内している。
関連製品として「NGINX Gateway Fabric 2.6.7」や「NGINX Ingress Controller 2026-lts-r4」「同5.5.3」に対策を反映している。
(Security NEXT - 2026/07/16 )
ツイート
PR
関連記事
「Oracle EBS」やビル設備向けプロトコルの脆弱性を悪用する攻撃
「Veeam Updater」に権限昇格の脆弱性 - root権限取得のおそれ
Windows版「Zoom」に深刻な脆弱性 - 最新版で修正済み
米セキュリティ当局、5件の悪用脆弱性に注意喚起
「Firefox」にクリティカル脆弱性 - 攻撃コード公開、悪用は未確認
「Chrome」にセキュ更新 - 「クリティカル」2件含む15件を修正
MS月例パッチで500件以上の脆弱性に対応 - ゼロデイ脆弱性も
「VMware Avi Load Balancer」に複数脆弱性 - 「クリティカル」も
「Adobe ColdFusion」に脆弱性 - 悪用リスク高く、早急に対応を
「SonicWall SMA1000シリーズ」にゼロデイ脆弱性 - 更新や侵害調査を

