2026.06.19 セキュリティ

nginx 1.30.3が修正した脆弱性とCVSS v4.0スコア9.2の読み解き方【2026年6月版】

2026年6月17日、nginxの安定版1.30.3とメインライン1.31.2が公開され、2件の脆弱性(CVE-2026-42055・CVE-2026-48142)が修正されました。検索でよく見かける「nginx v1.30.3 CVSS 4.0」という表記は、スコアの数値4.0ではなく、評価体系であるCVSS v4.0を指すケースがほとんどです。本記事では、修正された脆弱性の中身、F5が付与したCVSS v4.0スコア9.2とnginx公式の「中」評価が食い違う理由、自社が影響を受けるかの切り分け、そして1.30.3と1.31.2のどちらに更新すべきかまでを、実務判断の順に整理します。

目次

nginx 1.30.3対応で押さえる結論と更新判断のまとめ

結論から示します。nginx 1.30.3は、HTTP/2・gRPCプロキシ関連のバッファオーバーフロー(CVE-2026-42055)と、文字コード変換のバッファオーバーリード(CVE-2026-48142)を修正する安定版です。前者はnginx公式では「中」ですが、F5はCVSS v4.0で9.2(v3.1で8.1)と評価しており、深刻度の見え方が二者で大きく異なります。ただし、いずれも発動には特定の非デフォルト設定が前提で、初期設定に近い構成では多くが非該当です。

取るべき行動は、まずnginx -vnginx -Tで自社のバージョンと該当設定を確認し、影響有無を切り分けることです。そのうえで、安定運用を優先するなら1.30.3へ、最新機能やHTTP/3を使うなら1.31.2へ更新し、更新後は必ずnginxを再起動してワーカーにパッチ済みバイナリを読み込ませます。HTTP/3のuse-after-free(CVE-2026-42530)は1.31系のみが対象で、1.30系には影響しません。

nginx 1.30.3が2026年6月17日に修正した2件のCVEの全体像

まず、何が・いつ修正されたのかという事実関係を押さえます。ここを正しく把握しておくと、後続のスコア解釈や更新判断の前提がぶれません。

安定版1.30.3とメインライン1.31.2が同時公開されたリリースの概要

nginxは2026年6月17日、安定版の1.30.3とメインラインの1.31.2を同時に公開しました。1.30.3が修正するのはCVE-2026-42055とCVE-2026-48142の2件です。1.31.2はこの2件に加えて、HTTP/3で発生するuse-after-free(CVE-2026-42530)も修正します。安定版(stable)は機能追加を抑えてセキュリティと安定性の修正を中心に取り込む系列で、本番Webサーバーの多くが採用しています。

CVE-2026-42055とCVE-2026-48142の対象モジュール・影響の比較

2件は対象モジュールも深刻度も異なります。あわせて、メインラインのみが対象のCVE-2026-42530も比較表に並べ、1.30.3で「何が直り」「何が対象外か」を一目で分かるようにします。

CVE番号 対象モジュール nginx公式の深刻度 F5のCVSS v4.0 主なトリガー条件 修正バージョン
CVE-2026-42055 ngx_http_proxy_v2_module / ngx_http_grpc_module 中(medium) 9.2(v3.1は8.1) HTTP/2プロキシ+ignore_invalid_headers off+large_client_header_buffers 2MB超 1.30.3・1.31.2
CVE-2026-48142 ngx_http_charset_module 低(low) 限定的(CWE-125・公式評価は低) source_charset utf-8 と charset の併用 1.30.3・1.31.2
CVE-2026-42530 ngx_http_v3_module(HTTP/3) 重大(major) メインライン側で評価 HTTP/3のQUICセッション悪用 1.31.2のみ(1.30系は非該当)

CVE-2026-42055はヒープバッファオーバーフローで、条件次第でワーカー再起動(DoS)からコード実行まで影響が広がります。CVE-2026-48142はオーバーリード(境界外読み取り)で、限定的なメモリ開示やワーカー再起動にとどまり、制御プレーンへの露出はありません。

NGINX Rift(CVE-2026-42945)から続く2026年のnginx脆弱性の連続

今回の修正は突発的なものではなく、2026年に相次いだnginxのセキュリティ修正の延長線上にあります。直前には、18年間ソースコードに潜んでいたrewriteモジュールの脆弱性が「NGINX Rift」として大きく報じられました。背景と緊急性の評価軸はNGINX Rift(CVE-2026-42945)が緊急とされた理由と発見の経緯で詳しく整理しています。安定版を使っていても定期的にパッチが降ってくる前提で、更新運用を組んでおくことが重要です。

CVSS v4.0スコア9.2とnginx公式「中」評価が食い違う理由

「nginx v1.30.3 CVSS 4.0」で調べる人がつまずきやすいのが、評価体系と数値の取り違え、そして評価主体による深刻度のズレです。ここが本記事の核心で、競合の英語報道がスコアの数値だけを引用しがちな部分でもあります。

「CVSS 4.0」がスコア値4.0ではなく評価体系v4.0を指す前提

CVSSは脆弱性の深刻度を0.0〜10.0で表す国際指標で、4.0〜6.9が「中」、7.0〜8.9が「高」、9.0以上が「極めて高い」に対応します。一方でCVSS v4.0は、FIRSTが2023年に公開した評価体系そのもののバージョンを指します。F5は2024年8月以降、自社脆弱性についてCVSS v3.1とv4.0の両方のスコアを併記しているため、「CVSS 4.0」という表記は通常、スコア値4.0ではなくこのv4.0体系での評価値を意味します。CVEとCVSSの基本的な関係はCVEとは何かを定義から解説した記事もあわせて参照すると整理しやすくなります。

CVE-2026-42055のCVSS v4.0=9.2/v3.1=8.1と公式「中」のギャップ

CVE-2026-42055について、F5はCVSS v3.1で8.1(高)、CVSS v4.0で9.2(極めて高い)を付与しました。これに対しnginx公式は同じ脆弱性を「中」と評価しています。この差は誤りではなく、評価の前提の違いから生まれます。CVSSのベーススコアは「悪用された場合の影響と難度」を中立的に数値化する一方、nginxの定性評価は「発動には非デフォルト設定が必要」という現実の条件を加味しています。つまり、最大限の影響を見るとv4.0で9.2、典型的な運用での発生しやすさを見ると「中」、という関係です。

数値より悪用条件を先に読むCVSS活用の実務判断

CVSSスコアは「優先度の出発点」であって「自社のリスクそのもの」ではありません。9.2という数値に反応する前に、攻撃元(ネットワーク/ローカル)、認証要否、前提条件を読むことで、現実の危険度は大きく変わります。CVE-2026-42055は未認証・ネットワーク経由で悪用しうる一方、特定の設定が前提です。インターネットに公開され、かつ該当設定を持つnginxは最優先、閉域で該当設定もない環境は相対的に後回し、という具合に「数値×条件×公開状況」で並べ替えるのが実務的です。

影響を受ける非デフォルト設定条件と自社環境の確認手順

更新を急ぐ前に、そもそも自社が影響を受けるのかを切り分けます。両CVEとも発動条件が具体的なため、設定を見れば該当・非該当をかなり明確に判断できます。

CVE-2026-42055が発動する3つの非デフォルト設定条件

CVE-2026-42055は、次の条件がそろったときに発動します。いずれもnginxの初期設定ではない点がポイントです。

  • proxy_http_version 2 またはgrpc_pass でHTTP/2をアップストリームへプロキシしている
  • ignore_invalid_headers を off に設定している(既定は on)
  • large_client_header_buffers のサイズを2MB超に設定している

3条件がそろわない構成では、このバッファオーバーフローは発生しません。HTTP/2バックエンドやgRPCを使わない一般的なリバースプロキシ構成は、多くが非該当です。

CVE-2026-48142が発動するsource_charsetとcharsetの併用条件

CVE-2026-48142は、同一のlocationブロックでsource_charset utf-8;とcharsetディレクティブ(例: charset koi8-r;)を併用し、文字コード変換が走る構成で発生します。多言語サイトで明示的に文字コード変換を設定している場合に限られ、変換設定を入れていなければ該当しません。影響も限定的なメモリ開示やワーカー再起動にとどまります。

nginx -vとnginx -Tで自社バージョンと該当設定を確認する手順

確認は2段階です。まずバージョンをnginx -vで取得し、1.30.3未満(安定版系)または1.31.2未満(メインライン系)であれば修正前バイナリです。次にnginx -Tで実効設定全体を出力し、proxy_http_version・grpc_pass・ignore_invalid_headers・large_client_header_buffers・source_charsetの値を確認します。バイナリが古くても、上記の該当設定がなければ実害の前提を欠くため、優先度を下げて計画的に更新する判断ができます。

安定版1.30.3とメインライン1.31.2の更新先を選ぶ判断基準

更新が必要と判断したら、次は「どこに上げるか」です。安定版とメインラインは思想が異なり、選択を誤ると不要な機能変更や検証コストを抱えます。

安定版(1.30系)とメインライン(1.31系)の運用方針の違い

安定版(偶数マイナー、現行は1.30系)は、機能追加を抑えてセキュリティ・安定性修正を中心に取り込む系列で、本番運用の標準的な選択肢です。メインライン(奇数マイナー、現行は1.31系)は新機能をいち早く取り込みます。本番のWebサーバーは安定版1.30.3への更新が無難で、メインラインの新機能や系列の位置づけはnginx 1.29.7と1.29系列の背景を整理した記事が参考になります。HTTP/3を本番採用している場合のみ、次項の理由からメインライン1.31.2を選びます。

CVE-2026-42530が1.30.3に含まれずメインラインのみ対象である理由

HTTP/3のuse-after-free(CVE-2026-42530・公式評価「重大」)は、メインライン1.31.0〜1.31.1で混入した不具合で、1.31.2で修正されました。1.30系列はこの不具合の対象ではないため、1.30.3に同修正は含まれていません。したがって、HTTP/3を有効化している環境はメインライン1.31.2へ、HTTP/3を使わない安定運用環境は1.30.3へ、と切り分けるのが合理的です。

アップグレード手順と即時更新が難しい場合の暫定緩和策

最後に、実際の適用手順と、すぐに更新できない場合の暫定対応をまとめます。緩和策はあくまで一時しのぎで、最終的にはパッチ適用が前提です。

バージョン更新と再起動までの実務手順

更新は次の順で進めます。再起動を省くと、稼働中のワーカーが旧バイナリのまま残るため必ず実施します。

  1. 現行バージョンをnginx -vで確認する
  2. 該当設定の有無をnginx -Tで点検する
  3. 公式リポジトリまたはディストリのパッケージで1.30.3(安定版)か1.31.2(メインライン)へ更新する
  4. 設定の妥当性をnginx -tでテストする
  5. サービスを再起動またはリロードし、ワーカーにパッチ済みバイナリを読み込ませる
  6. 更新後にnginx -vで目的のバージョンを再確認する

パッケージ管理経由で更新した場合、ディストリ側のバージョン表記が公式の系列と異なることがあるため、修正取り込みのリリースノートもあわせて確認します。

即時更新が難しい場合に設定で攻撃面を減らす暫定緩和策

すぐに更新できない場合は、発動条件を崩すことで攻撃面を一時的に減らせます。CVE-2026-42055では、ignore_invalid_headersを既定のonへ戻す、large_client_header_buffersを2MB以下に抑える、不要なproxy_http_version 2やgrpc_passを使わない、といった調整が有効です。CVE-2026-48142では、不要なsource_charset utf-8とcharsetの併用を外します。あわせて、コード実行への発展を抑えるASLR(多くのLinuxで既定で有効)を無効化しない運用を維持します。いずれも恒久対策ではないため、計画的なパッチ適用とセットで扱います。

よくある質問

nginx 1.30.3とCVSS v4.0をめぐって、現場で実際に問われやすい点を整理します。

nginx 1.30.3はどのCVEを修正したバージョンですか?

2026年6月17日公開の安定版で、ngx_http_proxy_v2_module・ngx_http_grpc_moduleのバッファオーバーフロー(CVE-2026-42055)と、ngx_http_charset_moduleのバッファオーバーリード(CVE-2026-48142)の2件を修正します。HTTP/3のCVE-2026-42530は同日のメインライン1.31.2側で修正され、1.30.3には含まれません。

CVSS v4.0で9.2なのにnginx公式が「中」と評価しているのはなぜですか?

評価の前提が異なるためです。F5のCVSS v4.0=9.2は「悪用時の最大の影響と難度」を中立的に数値化したもので、nginxの「中」は「発動に非デフォルト設定が必要」という現実の条件を加味した定性評価です。どちらかが誤りではなく、最大影響と発生しやすさという別の側面を表しています。

デフォルト設定のnginxでもCVE-2026-42055の影響を受けますか?

受けません。発動にはHTTP/2やgRPCのアップストリームプロキシ、ignore_invalid_headers off、large_client_header_buffers 2MB超という非デフォルトの組み合わせが必要です。初期設定に近い一般的なリバースプロキシ構成は、多くが非該当です。

安定版1.30.3とメインライン1.31.2のどちらに更新すべきですか?

本番運用で安定性を優先するなら1.30.3が無難です。HTTP/3を有効化している環境は、CVE-2026-42530の修正が必要なため1.31.2を選びます。新機能を積極採用しないサイトは、安定版系列での更新運用が管理しやすくなります。

CVE-2026-42530は1.30.3では修正されていないのですか?

はい。CVE-2026-42530はメインライン1.31.0〜1.31.1で混入した不具合で、1.31.2で修正されました。1.30系列はこの不具合の対象外のため、1.30.3に同修正は含まれていません。HTTP/3利用環境のみ1.31.2への更新を検討してください。

関連記事

資料請求

RELATED POSTS 関連記事

一覧へ戻る