nginxにおける脆弱性(CVE-2026-42945)への対応について

nginxにおける脆弱性「CVE-2026-42945（Nginx-Rift）」への対応についてお知らせいたします。

本脆弱性に関して、弊社が運用を担当するサーバおよびトクログ運用環境について影響調査を実施し、対象となるシステムへの対策はすべて完了しております。 また、現時点において本脆弱性を悪用した影響は確認されておりません。 本件については継続的に関連情報の収集および必要に応じた対応を行ってまいります。

ご参考までに、本脆弱性について掲載いたします。

参考情報

CVSS

CVSS 3.1：8.1（High）

概要

CVE-2026-42945は、NGINX PlusおよびNGINX Open Sourceの ngx_http_rewrite_module に関する脆弱性です。

本脆弱性は、置換後の文字列にクエリ文字列（?）を含む rewrite ディレクティブの後に、 同じ location 設定内で、$1 や $2 などの名前のないPCREキャプチャを利用する if または set ディレクティブが続く場合に発生する可能性があります。

悪用された場合、細工されたHTTPリクエストによりヒープバッファオーバーフローが発生し、 NGINXのworker processが異常終了する可能性があります。また、環境や条件によっては任意コード実行につながる可能性があるとされています。

チェックポイント

• 利用中の nginx が影響を受けるバージョンに該当していないか確認する。
• nginx -T 等を利用し、置換後の文字列にクエリ文字列（?）を含む rewrite ディレクティブが存在しないか確認する。
• 同じ location 設定内で、$1 や $2 などの名前のないPCREキャプチャを利用する if または set ディレクティブが続いていないか確認する。
• ディストリビューションおよびパッケージ提供元から提供されている修正版へのアップデート状況を確認する。
• 修正版へのアップデートが困難な場合は、公開情報で案内されている名前付きキャプチャの利用などの回避策を検討する。
• 詳しくは参考情報をご覧ください。

参考サイト

• Red Hat | CVE-2026-42945
• F5 | K000161019: NGINX ngx_http_rewrite_module vulnerability CVE-2026-42945
• nginx | Security Advisories

最新の情報は参考サイトをご確認ください。

脆弱性対応などセキュリティに関するご相談

「自社のシステムが対象なのか判断がつかない」「定期的なセキュリティ対応を自社で行うのが難しい」 といったご不安がございましたら、どうぞお気軽に弊社までご相談ください。 専門のエンジニアが、貴社環境の調査から今後の継続的な保守運用まで、一括してサポートいたします。

保守運用サービスへのお問い合わせはこちら

更新履歴

2026/05/15 初版公開
2026/06/02 内容を拡充