18年間見逃されていたNGINXのヒープバッファオーバーフロー、AIが発見したCVE-2026-42945

🔴 CVSS v4スコア9.2。認証不要で攻撃可能、PoC公開済み。

NGINXに、18年間誰も気づかなかったヒープバッファオーバーフローが潜んでいました。発見したのは人間のセキュリティ研究者ではなく、AIエージェントです。

セキュリティスタートアップのdepthfirstが開発したLLMベースのプラットフォームがNGINXのコードベースを解析し、複数の脆弱性を特定しました。そのうち最も深刻なものがCVE-2026-42945です。CVSS v4スコアは9.2、CWEの分類はCWE-122（ヒープベースのバッファオーバーフロー）。ngx_http_rewrite_moduleに存在するこの欠陥は、認証不要のリモートコード実行（RCE）やサービス妨害（DoS）につながる可能性があるとされています。

脆弱性の概要

この脆弱性はNGINX Plus、NGINX Open Source双方に影響します。攻撃者は細工したHTTPリクエストを送信するだけでNGINXのワーカープロセスにヒープメモリ破壊を引き起こせるとみられ、PoC（概念実証コード）はすでに公開されています。

DoSが確実なラインで、条件次第ではRCEにまで発展する可能性があるとされています。

AIによるバグハンティングの時代

今回の件で注目されているもうひとつの側面は、発見の経緯です。depthfirstのLLMベースプラットフォームが見つけ出したこの脆弱性は、18年の間、多数のセキュリティ研究者やコードレビュー、静的解析ツールをかいくぐってきました。

ツールが変われば見える景色も変わる。それ自体は歓迎すべきことですが、裏を返せば「AI以前から存在していた未発見の脆弱性」がNGINX以外にも残っている可能性を示唆しています。

対応のポイント

✅ やること・NGINX Open Source / NGINX Plus をF5の公式セキュリティアドバイザリで案内されている修正済みバージョンにアップグレードする
・パッチ適用後は必ずNGINXを再起動する
・nginx.conf 内の rewrite ディレクティブに問題のある記述パターンがないか確認する
・Kubernetesのingressコントローラーとして利用している場合は自動生成された設定ファイルも対象に含める

💡 CVE-2026-42945はNGINX Plus・NGINX Open Sourceの双方に影響します。修正バージョンの詳細はF5の公式セキュリティアドバイザリを参照してください。

ngx_http_rewrite_moduleは長年にわたりNGINXの根幹を担ってきたコンポーネントです。18年間見落とされてきた欠陥が今、PoCとともに公開されている。