製品・ソフトウェアに関する情報

JVN脆弱性詳細

F5 NetworksのNGINX Gateway Fabric等の複数製品におけるエンコーディングエラーに関する脆弱性

タイトル	F5 NetworksのNGINX Gateway Fabric等の複数製品におけるエンコーディングエラーに関する脆弱性
概要	NGINX Open Sourceがproxy_http_versionを2に設定してHTTP/2トラフィックをプロキシするように構成され、さらにproxy_set_bodyを使用している場合、攻撃者はフレームヘッダーやペイロードバイトをアップストリームピアに注入する可能性があります。注意：技術サポート終了（EoTS）に達しているソフトウェアバージョンは評価されていません。
想定される影響	・当該ソフトウェアが扱う情報について、外部への漏えいは発生しません。・当該ソフトウェアが扱う情報の一部が書き換えられる可能性があります。・当該ソフトウェアは停止しません。
対策	ベンダ情報を参照して適切な対策を実施してください。
公表日	2026年5月13日0:00
登録日	2026年6月22日11:37
最終更新日	2026年6月22日11:37

影響を受けるシステム

F5 Networks

NGINX Gateway Fabric 1.3.0 から 1.6.2

NGINX Gateway Fabric 2.0.0 から 2.6.0

NGINX Ingress Controller 3.5.0 から 3.7.2

NGINX Ingress Controller 4.0.0 から 4.0.1

NGINX Ingress Controller 5.0.0 から 5.4.2

NGINX Instance Manager 2.16.0 から 2.22.0

nginx open source 1.29.4 から 1.30.0

CVE (情報セキュリティ共通脆弱性識別子)

No	名前	URL
Common Vulnerabilities and Exposures (CVE)
1	CVE-2026-42926	https://www.cve.org/CVERecord?id=CVE-2026-42926
National Vulnerability Database (NVD)
2	CVE-2026-42926	https://nvd.nist.gov/vuln/detail/CVE-2026-42926

CWE (共通脆弱性タイプ一覧)

No	名前	URL
JVNDB
1	CWE-172	https://cwe.mitre.org/data/definitions/172.html

ベンダー情報

No	名前	URL
Security Advisory
1	NGINX ngx_http_proxy_v2_module vulnerability CVE-2026-42926	https://my.f5.com/manage/s/article/K000161131

変更履歴

No	変更内容	変更日
1	[2026年06月22日] 掲載	2026年6月22日11:37

NVD脆弱性情報

CVE-2026-42926

概要	When NGINX Open Source is configured to proxy HTTP/2 traffic by setting proxy_http_version to 2, and also uses proxy_set_body, an attacker may be able to inject frame headers and payload bytes to the upstream peer. Note: Software versions which have reached End of Technical Support (EoTS) are not evaluated.
公表日	2026年5月14日1:16
登録日	2026年5月15日4:21
最終更新日	2026年5月14日1:27