DepthFirst、脆弱性検証ツール Nginx-Rift を公開──NGINX の RCE を AI が発見
2008 年から存在する NGINX のヒープバッファオーバーフローを突く RCE PoC。AI 解析システムがソースコード読み込みから自動で脆弱性を特定した。
リリース: 2026-05-13 · 読了 3 分何が起きた
CVE-2026-42945 は NGINX の ngx_http_rewrite_module に 2008 年から存在していたヒープバッファオーバーフローの脆弱性。
rewrite または set ディレクティブを使用している環境で、未認証の遠隔コード実行 (RCE) が可能。
セキュリティ解析システム depthfirst がソースコードのワンクリックオンボーディング後に自律的に発見。
NGINX Open Source 1.31.0 および 1.30.1、NGINX Plus R36 P4 等の修正版がリリース済み。
なぜ重要
18 年間見逃されていた基本モジュールの脆弱性が AI によって自動発見された事実は、既存の静的解析ツールの限界と AI による脆弱性探索の有効性を証明している。
広範なバージョン(0.6.27 以降)が対象となるため、インフラエンジニアは即時のパッチ適用か、脆弱なディレクティブの利用状況確認を優先すべき。
👁️ 開発者
インフラエンジニアは、AI による自動脆弱性検知が 18 年前のコードに対しても有効であることを認識し、自社プロダクトの静的解析プロセスに AI ベースのツールを導入する検討を開始すべき。
🇯🇵 日本
国内の [大手マネージドサービスプロバイダー] や [CDN 利用企業] は、自社管理の NGINX インスタンスにおける rewrite 指示文の使用状況を棚卸しし、修正版への更新を即座に実施する体制を整えるべき。