2026年3月24日、Webサーバーやリバースプロキシとして世界中で広く利用されている「nginx」において、サーバープロセスをクラッシュさせる致命的な脆弱性が複数発見されました。
目次
緊急セキュリティアップデート(2026年3月24日版)の概要
2026年3月24日、nginxの提供元であるF5ネットワークス等は、オープンソース版(nginx)および商用版(NGINX Plus)に存在する複数のセキュリティ脆弱性を修正するアップデートを公開しました。
本アップデートでは、深刻度「High(高)」および「Medium(中)」に分類される複数のバグが修正されています。特に警戒すべきは、特定のモジュール処理においてメモリ領域を破壊する「ヒープベースのバッファオーバーフロー(CWE-122)」の脆弱性群です。
アップデートが提供された安全な最新バージョンは以下の通りです。
-
nginx (Mainline):1.29.7
-
nginx (Stable):1.28.3
-
NGINX Plus:R32 P5、R35 P2、R36 P3 など
修正された主な深刻な脆弱性
今回のリリースで情報システム部門が特に注視すべき脆弱性は以下の通りです。
CVE-2026-27654:DAVモジュールにおけるバッファオーバーフロー
nginxの ngx_http_dav_module モジュールに存在するヒープベースのバッファオーバーフロー脆弱性です。 設定ファイル(nginx.conf)において、DAVモジュールの「MOVE」または「COPY」メソッド、正規表現を使用しないプレフィックスロケーション、および「alias」ディレクティブを組み合わせて使用している場合に影響を受けます。
未認証の遠隔の攻撃者がこの脆弱性を悪用すると、nginxのワーカープロセスが強制終了し、サービス拒否(DoS)状態に陥る可能性があります。また、ドキュメントルート外の送信元または宛先のファイル名が不正に変更される(完全性への影響)リスクも指摘されています。
CVE-2026-27784 / CVE-2026-32647:MP4モジュールにおけるバッファオーバーフロー
動画配信などに利用される ngx_http_mp4_module においても、同様に深刻度Medium(中)のバッファオーバーフロー脆弱性が報告されています。こちらも悪用されるとプロセスに予期せぬ影響を与える可能性があります。
その他の影響度の高い脆弱性
上記のほかにも、以下のような複数の脆弱性が同時に修正されています。
-
CVE-2026-27651: メールセッション認証機能(CRAM-MD5またはAPOP使用時)におけるNULLポインタデリファレンス。
-
CVE-2026-28753:
auth_httpおよびXCLIENTにおけるインジェクション脆弱性。








