🌐 日本語 English
Yuru Security
セキュリティ general vulnerability

18年間見逃されていたNGINXのヒープバッファオーバーフロー、AIが発見したCVE-2026-42945

🔴 CVSS v4スコア9.2。認証不要で攻撃可能、PoC公開済み。

NGINXに、18年間誰も気づかなかったヒープバッファオーバーフローが潜んでいました。発見したのは人間のセキュリティ研究者ではなく、AIエージェントです。

セキュリティスタートアップのdepthfirstが開発したLLMベースのプラットフォームがNGINXのコードベースを解析し、複数の脆弱性を特定しました。そのうち最も深刻なものがCVE-2026-42945です。CVSS v4スコアは9.2、CWEの分類はCWE-122(ヒープベースのバッファオーバーフロー)。ngx_http_rewrite_moduleに存在するこの欠陥は、認証不要のリモートコード実行(RCE)やサービス妨害(DoS)につながる可能性があるとされています。

脆弱性の概要

この脆弱性はNGINX Plus、NGINX Open Source双方に影響します。攻撃者は細工したHTTPリクエストを送信するだけでNGINXのワーカープロセスにヒープメモリ破壊を引き起こせるとみられ、PoC(概念実証コード)はすでに公開されています。

攻撃の流れ 攻撃者 細工したHTTP rewriteモジュール ヒープ破壊 DoS / RCE

DoSが確実なラインで、条件次第ではRCEにまで発展する可能性があるとされています。

AIによるバグハンティングの時代

今回の件で注目されているもうひとつの側面は、発見の経緯です。depthfirstのLLMベースプラットフォームが見つけ出したこの脆弱性は、18年の間、多数のセキュリティ研究者やコードレビュー、静的解析ツールをかいくぐってきました。

ツールが変われば見える景色も変わる。それ自体は歓迎すべきことですが、裏を返せば「AI以前から存在していた未発見の脆弱性」がNGINX以外にも残っている可能性を示唆しています。

対応のポイント

✅ やること ・NGINX Open Source / NGINX Plus をF5の公式セキュリティアドバイザリで案内されている修正済みバージョンにアップグレードする
・パッチ適用後は必ずNGINXを再起動する
・nginx.conf 内の rewrite ディレクティブに問題のある記述パターンがないか確認する
・Kubernetesのingressコントローラーとして利用している場合は自動生成された設定ファイルも対象に含める
💡 CVE-2026-42945はNGINX Plus・NGINX Open Sourceの双方に影響します。修正バージョンの詳細はF5の公式セキュリティアドバイザリを参照してください。

ngx_http_rewrite_moduleは長年にわたりNGINXの根幹を担ってきたコンポーネントです。18年間見落とされてきた欠陥が今、PoCとともに公開されている。

セキュリティ general enterprise vulnerability

cPanelの認証バイパス脆弱性、公開直後から複数のPoCが出回り攻撃が急増——「少なくとも1ヶ月前からゼロデイ悪用の可能性」と研究者

🔴 重大:公開から間もなく複数の概念実証コードが登場。7000万以上のドメインを支えるインフラが標的となっており、野外での悪用が活発に確認されている。

公開から時間が経たないうちに、複数の概念実証(PoC)コードが出回り始めた——cPanelの認証バイパス脆弱性をめぐる状況は、セキュリティ研究者たちが「フレンジー(狂乱)」と呼ぶほど急速に展開しています。

cPanelとWHM(WebHost Manager)は、世界7000万以上のドメインで使われているウェブホスティング管理ソフトウェアです。WHMがサーバー管理者向けのインターフェース、cPanelが個々のアカウント向けのパネルとして機能する——つまりこの組み合わせは、ウェブホスティングインフラの土台そのものです。そこに、認証を完全に迂回できる欠陥があったということになります。

開示直後、複数のPoCが一斉に登場

今回の脆弱性は、リモートの攻撃者が認証情報なしに管理パネルへアクセスし、サーバーおよびホストされているウェブサイトを掌握できる可能性があるものと説明されています。

問題をより深刻にしているのは、脆弱性の開示からほぼ同時に複数のPoCが出回ったことです。PoCが公開されると、技術的な解析能力が限られた攻撃者でも同じ手法を再現できるようになります。「自分で脆弱性を発見・解析する」という高いハードルが一気に消えるわけで、攻撃者層が一気に広がる構図です。今回はまさにその展開をたどりました。

「開示の1ヶ月前から、すでに悪用されていた可能性」

今回の件でとりわけ注目すべき点があります。ある研究者が、この脆弱性はCVEとして開示される少なくとも1ヶ月前から、ゼロデイとして野外で悪用されていた可能性があると主張しているのです。

もしこれが事実であれば、公式なパッチが出る以前にすでに侵害されたインスタンスが存在する可能性が高くなります。「パッチを当てたから安全」という判断では済まず、パッチ適用前の期間に遡ったログの精査が必要になります。これは管理者にとってかなり重い作業です。

ゼロデイ期間中の被害範囲が現時点でどの程度なのかは不明ですが、7000万以上のドメインを支えるプラットフォームを考えると、影響の潜在的な広がりは無視できません。

攻撃のウィンドウは、すでに開いている

✅ 確認すべきこと ・cPanel/WHMを最新バージョンへ即時アップデート(自動更新機能が有効かどうかを確認)
・管理パネルへのアクセスログを遡って精査し、不審なログインや設定変更がないかチェック
・「開示前の期間」も含めて調査対象に——ゼロデイ悪用の可能性がある以上、パッチ以前の期間が盲点になりやすい

複数のPoCが出回り、野外での悪用が確認されている段階では、「確認してから対応しよう」というペースではすでに間に合わない可能性があります。

cPanelはウェブホスティングの世界で事実上の標準インフラです。それだけに、攻撃者にとっても「効率のいい標的」になります。管理者側が速度で上回れるかどうか、今がその分岐点です。