【セキュリティニュース】ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ（1ページ目 / 全1ページ）：Security NEXT

Security NEXTでは、最新の情報セキュリティに関する

ニュースを日刊でお届けしています。

ウェブサーバ「NGINX」のTLSプロキシ利用時に

応答改ざんのおそれ

ウェブサーバ「NGINX」において中間者攻撃により応答が改ざんされるおそれ

がある脆弱性が判明した。商用版、オープンソース版のいずれも影響を受け

る。

TLSで保護された上流サーバへプロキシを設定した場合に、中間者攻撃

（MITM攻撃）で応答へ平文データを注入されるおそれがある脆弱性「CVE-

2026-1642」が確認された。

信頼されたデータと信頼されていない外部データを適切に区別せず受け入れ

てしまうことに起因。改ざんされたデータがそのままクライアントへ送信さ

れるおそれがある。

共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.2」、重要度は4

段階中、上から2番目にあたる「高（High）」とレーティングされている。

「CVSSv3.1」ではベーススコアが「5.9」、重要度は「中（Medium）」とされ

る。

F5では、同脆弱性へ対処した「NGINX Open Source 1.29.5」「同1.28.2」、

および「NGINX Plus R36 P2」「同R35 P1」「同R32 P4」をリリース。利用者

にアップデートが呼びかけられている。

また「NGINX Ingress Controller」「NGINX Gateway Fabric」「NGINX

Instance Manager」なども基盤となるNGINXコンポーネントの影響を受ける。

それぞれの製品に向けた修正版はアドバイザリのリリース時点で提供されて

いない。

（Security NEXT - 2026/02/05 ）