CVE-2026-42530: 重大なNGINX HTTP/3の脆弱性がDoSやRCEの可能性を引き起こす

F5は、複数のNGINXの脆弱性に対処するための緊急セキュリティアップデートをリリースしました。その中にはCVE-2026-42530も含まれています。これは、リモートからの認証されていない攻撃者によって悪用可能な、ngx_http_v3_moduleの重大な問題です。この欠陥は、NGINXのHTTP/3実装における解放後使用の状態で、ワーカープロセスの再起動とサービス拒否を引き起こす可能性があります。ASLRが無効化されている、もしくはバイパスされることが可能な環境では、任意コード実行へのパスが開かれる可能性があります。

この問題は特に重要です。なぜなら、それがHTTP/3 QUICを使用するインターネット フェイシングのNGINXデプロイメントに影響を与えるからであり、これは現代のウェブインフラストラクチャのエッジによく配置されているからです。公開された報告はまた、ngx_http_proxy_v2_moduleおよびngx_http_grpc_moduleのCVE-2026-42055という2番目の重大なバグも強調しており、現在のNGINXリリースのパッチを適用することへの緊急性を強調しています。

検出の探索

CVE-2026-42530の分析

CVE-2026-42530の分析では、核となる問題はngx_http_v3_moduleにおける解放後使用バグです。公開された報告によれば、リモート攻撃者は、特別に作成されたHTTP/3セッションを通じてQPACKエンコーダー ストリームを再開することでこの欠陥を引き起こすことができます。その際、NGINX Open SourceがHTTP/3 QUICモジュールを使用するように設定されている必要があります。成功すると、攻撃によりNGINXワーカープロセスが再起動され、サービス拒否状態を作成する可能性があります。

CVE-2026-42530は、セキュリティが弱化されている環境ではより深刻です。F5は、ASLRが無効化されているか攻撃者がそれをバイパスできる場合に任意のコード実行が可能になると述べており、一部のデプロイメントが安定性問題にとどまらないものになっています。

CVE-2026-42530は、「すべてのNGINXサーバーが脆弱である」という一般的な表現が示唆するよりも狭い脆弱性です。影響を受けるオープンソースのバージョンは1.31.0と1.31.1であり、HTTP/3のサポートが有効になっているかによります。対照的に、関連するCVE-2026-42055の欠陥は、HTTP/2プロキシとgRPCパスに影響を及ぼし、proxy_http_version 2またはgrpc_passの使用を含む異なる条件下で影響を及ぼします。

記載日時点では、CVE-2026-42530の公共の証明概念（poc）やCVE-2026-42530の具体的なインジケーター（ioc）は指摘されていません。現在利用可能なCVE-2026-42530の詳細は、脆弱なモジュール、影響を受けるバージョン、およびワーカークラッシュを超えてコード実行の可能性を高める条件に集中しています。

CVE-2026-42530の軽減策

CVE-2026-42530の最も効果的な軽減策は、すぐに修正リリースにアップグレードすることです。NGINX Open Sourceについては、1.31.2以上に移行することを意味します。F5サポート製品であるNGINX Plusやその他の関連製品を使用している組織は、ベンダーが発行したセキュリティアップデートをできるだけ早く適用する必要があります。

CVE-2026-42530の検出に関して、防御側はまずすべてのNGINXシステムをインベントリして、HTTP/3 QUICが有効かどうかを確認する必要があります。特にHTTP/3が信頼されていないクライアントに公開されているNGINX Open Source 1.31.0または1.31.1を実行しているインターネットフェイスシステムを優先する必要があります。

パッチが適用される間、環境を保護するため、すべての公開サービスにHTTP/3が必要かどうかを再確認し、不要なプロトコル露出を可能な限り制限する必要があります。公開報告は安定したエクスプロイトの指標を提供しないため、リスクを検出する最も実用的な方法は、シグネチャベースの検出だけでなく、脆弱なバージョンと構成を特定することです。