オープンソースのWebサーバーnginxで2026年5月13日、2008年から存在するヒープバッファオーバーフローを引き起こす深刻度：緊急（Critical）を含む4つの脆弱性が報告された。この脆弱性はnginxのバージョン0.6.27～1.30.0に存在し、最新のnginx-1.30.1 stableおよびnginx-1.31.0 mainlineで修正されている。

これらの脆弱性は、米国のセキュリティスタートアップDepthfirstのエンジニアZhenpeng (Leo) Lin氏により発見された。同氏によると、今回の脆弱性は同社のAIエージェントを活用したソースコード解析システムによって自律的に発見されたという。

• NGINX Rift: Achieving NGINX Remote Code Execution via an 18-Year-Old Vulnerability -Depthfirst

今回発見されたのは以下の4つの脆弱性。

• CVE-2026-42945
• CVE-2026-42946
• CVE-2026-40701
• CVE-2026-42934

このうち、最も重大とされたCVE-2026-42945（NGINX Riftと呼ばれる）脆弱性は、疑問符（?）を含む置換文字列を使用するrewriteディレクティブの後に、名前のない正規表現キャプチャ（$1、$2など）を使用するrewrite、if、またはsetディレクティブが続く場合に発生する。認証されていない攻撃者が、細工されたHTTPリクエストを送信することでこの脆弱性を悪用し、ヒープバッファオーバーフローを発生させることができる。さらに、ASLR（Address Space Layout Randomization：アドレス空間配置ランダム化）が無効になっているシステムではコード実行が可能となる。

該当するバージョンを使用している場合、脆弱性が修正されたバージョンに直ちに更新するか、すぐにバージョンアップできない場合の緊急対策を施すことが推奨されている。