製品・ソフトウェアに関する情報

JVN脆弱性詳細

F5 Networksのnginx open source等の複数製品におけるヒープベースのバッファオーバーフローの脆弱性

Title	F5 Networksのnginx open source等の複数製品におけるヒープベースのバッファオーバーフローの脆弱性
Summary	NGINX PlusおよびNGINXオープンソースには、ngx_http_rewrite_moduleモジュールに脆弱性があります。この脆弱性は、rewriteディレクティブが異なるが重複するPerl互換正規表現（PCRE）キャプチャ（例：^/((.*))$）を含む正規表現パターンと、複数のそのようなキャプチャを参照する置換文字列（例：$1$2）をリダイレクトまたは引数コンテキストで使用する場合に存在します。認証されていない攻撃者は、自身の制御を超えた条件とともに細工されたHTTPリクエストを送信することで、この脆弱性を悪用できます。これにより、NGINXワーカープロセスでヒープバッファオーバーフローが発生し、プロセスが再起動される可能性があります。さらに、ASLR（アドレス空間配置のランダム化）が無効化されているシステムや攻撃者がASLRを回避できる場合、攻撃者はコードを実行できます。なお、技術サポート終了（EoTS）を迎えたソフトウェアバージョンについては評価されていません。
Possible impacts	・当該ソフトウェアが扱う全ての情報が外部に漏れる可能性があります。・当該ソフトウェアが扱う全ての情報が書き換えられる可能性があります。・当該ソフトウェアが完全に停止する可能性があります。
Solution	ベンダ情報を参照して適切な対策を実施してください。
Publication Date	May 22, 2026, midnight
Registration Date	June 17, 2026, 3:37 p.m.
Last Update	June 17, 2026, 3:37 p.m.

CVSS3.0 : 重要
Score	8.1
Vector	CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H

Affected System

F5 Networks

nginx open source 0.1.17 から 0.9.7

nginx open source 1.0.0 から 1.30.1

nginx open source 1.31.0

NGINX plus 37.0.0 以上 37.0.1.1 未満

NGINX plus r32 から r36

CVE (情報セキュリティ共通脆弱性識別子)

No	Name	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-9256	https://www.cve.org/CVERecord?id=CVE-2026-9256
National Vulnerability Database (NVD)
2	CVE-2026-9256	https://nvd.nist.gov/vuln/detail/CVE-2026-9256

CWE (共通脆弱性タイプ一覧)

No	Name	URL
JVNDB
1	CWE-122	https://cwe.mitre.org/data/definitions/122.html

ベンダー情報

No	Name	URL
Openwall mailing list archives
1	oss-security - NGINX ngx_http_rewrite_module buffer overflow (CVE-2026-9256)	http://www.openwall.com/lists/oss-security/2026/05/22/14
Security Advisory
2	NGINX ngx_http_rewrite_module vulnerability CVE-2026-9256	https://my.f5.com/manage/s/article/K000161377

Change Log

No	Changed Details	Date of change
1	[2026年06月17日] 掲載	June 17, 2026, 3:37 p.m.

NVD Vulnerability Information

CVE-2026-9256

Summary	NGINX Plus and NGINX Open Source have a vulnerability in the ngx_http_rewrite_module module. This vulnerability exists when a rewrite directive uses a regex pattern with distinct, overlapping Perl-Compatible Regular Expression (PCRE) captures (for example, ^/((.*))$) and a replacement string that references multiple such captures (for example, $1$2) in a redirect or arguments context. An unauthenticated attacker along with conditions beyond their control can exploit this vulnerability by sending crafted HTTP requests. This may cause a heap buffer overflow in the NGINX worker process leading to a restart. Additionally, attackers can execute code on systems with Address Space Layout Randomization (ASLR) disabled or when the attacker can bypass ASLR. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
Publication Date	May 23, 2026, 12:16 a.m.
Registration Date	May 27, 2026, 4:05 a.m.
Last Update	May 23, 2026, 10:16 a.m.

Related information, measures and tools

No	URL	refsource	タグ
1	https://my.f5.com/manage/s/article/K000161377	f5sirt@f5.com
2	http://www.openwall.com/lists/oss-security/2026/05/22/14	af854a3a-2127-422b-91ae-364da2661108

Common Vulnerabilities List

No	CWE	Name	URL
1	CWE-122	ヒープオーバーフロー	https://cwe.mitre.org/data/definitions/122.html