つみかさね
Top/Security/日報/2026-03-05

【セキュリティ日報】n8nにCVSS 9.9のサンドボックス脱出ほか200件

2026-03-05データソース: NVD, OSV, GHSA, JVN
CVEn8nDjangoAngularSvelteAWS-LCVMwareWordPress

本日は新規・更新CVEが200件報告され、うちCriticalが36件、Highが60件。ワークフロー自動化ツール n8n にサンドボックス脱出の脆弱性(CVSS 9.9)が2件公開されており、セルフホスト環境では早急なアップデートが推奨されます。

また、DjangoのDoS脆弱性やAWS-LCの証明書検証バイパスなど、広く使われているソフトウェアにも影響のある脆弱性が含まれています。

指標数値
新規・更新CVE200件
Critical (9.0+)36件
High (7.0-8.9)60件
Medium (4.0-6.9)66件
Low (0.1-3.9)20件
影響エコシステムnpm, crates.io, PyPI

CVE-2026-27495 — n8n Task Runner サンドボックス脱出

  • CVSSスコア: 9.9 (Critical)
  • CWE: CWE-94 (コードインジェクション)
  • 影響: n8n 2.10.1 / 2.9.3 / 1.123.22 より前のバージョン
  • 概要: 認証済みユーザーがJavaScript Task Runnerのサンドボックスを突破し、サンドボックス外で任意のコードを実行できる脆弱性です。内部Task Runner(デフォルト設定)使用時はホストの完全な侵害につながる可能性があります。
  • 修正: n8n 2.10.1 / 2.9.3 / 1.123.22 へのアップデート
  • 参考: NVD / GHSA-jjpj-p2wh-qf23

CVE-2026-27577 — n8n 式評価における任意コード実行

  • CVSSスコア: 9.9 (Critical)
  • CWE: CWE-94 (コードインジェクション)
  • 影響: n8n 2.10.1 / 2.9.3 / 1.123.22 より前のバージョン
  • 概要: ワークフローパラメータの式評価を悪用し、n8nホスト上で意図しないシステムコマンドを実行できる脆弱性です。CVE-2025-68613のフォローアップとして追加のエクスプロイトが特定されました。
  • 修正: n8n 2.10.1 / 2.9.3 / 1.123.22 へのアップデート
  • 参考: NVD / GHSA-vpcf-gvg4-6qwr

CVE-2025-59059 — Apache Ranger NashornScriptEngineCreator RCE

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-94 (コードインジェクション)
  • 影響: Apache Ranger 2.7.0 以前
  • 概要: NashornScriptEngineCreatorにリモートコード実行の脆弱性が存在します。Apache Rangerを使用してアクセス制御を行っている環境では影響範囲の確認が必要です。
  • 修正: Apache Ranger 2.8.0 へのアップデート
  • 参考: NVD

CVE-2026-27804 — Parse Server Google認証トークン偽造

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-327, CWE-345 (不適切な暗号アルゴリズム、データ完全性検証の欠如)
  • 影響: Parse Server 8.6.3 / 9.1.1-alpha.4 より前のバージョン
  • 概要: alg: "none" を指定したGoogle認証トークンを偽造することで、Googleアカウントに紐づく任意のユーザーとして認証なしにログインできる脆弱性です。Google認証を有効にしているすべてのデプロイが影響を受けます。
  • 修正: Parse Server 8.6.3 / 9.1.1-alpha.4 へのアップデート
  • 参考: NVD / GHSA-4q3h-vp4r-prv2

CVE-2026-22719 — VMware Aria Operations コマンドインジェクション

  • CVSSスコア: 8.1 (High)
  • CWE: CWE-77 (コマンドインジェクション)
  • 影響: VMware Aria Operations(パッチ未適用バージョン)
  • 概要: 未認証の攻撃者がサポート支援によるマイグレーション処理中に任意のコマンドを実行できる脆弱性です。CISAのKnown Exploited Vulnerabilities Catalogに登録されており、積極的な悪用が確認されています。
  • 修正: VMSA-2026-0001に記載のパッチを適用
  • 参考: NVD

CVE-2026-25673 — Django URLField DoS

  • CVSSスコア: 7.5 (High)
  • CWE: CWE-400 (リソース消費の制御不備)
  • 影響: Django 6.0.3 / 5.2.12 / 4.2.29 より前のバージョン
  • 概要: URLField.to_python() が内部で呼び出す urllib.parse.urlsplit() がWindows上で特定のUnicode文字に対して極端に遅いNFKC正規化を行い、大きなURL入力によるDoSが可能になります。
  • 修正: Django 6.0.3 / 5.2.12 / 4.2.29 へのアップデート
  • 参考: NVD / Django Security Releases

CVE-2026-3336 / CVE-2026-3338 — AWS-LC PKCS7検証バイパス

  • CVSSスコア: 7.5 (High)
  • CWE: CWE-295 / CWE-347 (証明書検証不備、署名検証不備)
  • 影響: AWS-LC 1.69.0 より前のバージョン
  • 概要: PKCS7_verify() に2つの脆弱性があり、複数署名者を持つPKCS7オブジェクトで証明書チェーン検証を回避できる問題と、Authenticated Attributes処理時の署名検証を回避できる問題が報告されています。AWSサービスの利用者は対応不要ですが、AWS-LCを直接利用しているアプリケーションはアップデートが必要です。
  • 修正: AWS-LC 1.69.0 へのアップデート
  • 参考: NVD (CVE-2026-3336) / NVD (CVE-2026-3338) / AWS Security Bulletin

CVE-2026-2628 — WordPress Microsoft 365 SSO 認証バイパス

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-288 (代替認証の使用による認証バイパス)
  • 影響: All-in-One Microsoft 365 & Entra ID / Azure AD SSO Login プラグイン 2.2.5 以前
  • 概要: 未認証の攻撃者が認証をバイパスし、管理者を含む他のユーザーとしてログインできる脆弱性です。Microsoft 365 SSOを利用しているWordPressサイトは速やかに確認が必要です。
  • 修正: プラグインの最新版へのアップデート
  • 参考: NVD / Wordfence

エコシステム別サマリー(npm)

OSVデータによると、npmエコシステムで4件の脆弱性が更新されています。

  • Next.js (CVE-2025-29927): Middlewareの認可チェックをバイパスできる脆弱性。15.2.3 / 14.2.25 / 13.5.9 / 12.3.5 で修正済み。Vercelホスト環境は自動保護されています。
  • Angular (CVE-2026-27970): i18nパイプラインのICUメッセージ処理でXSSが可能。@angular/core 21.2.0 / 21.1.6 / 20.3.17 / 19.2.19 で修正。
  • Svelte (CVE-2026-27902, CVE-2026-27901): SSRのエラーバウンダリおよびcontenteditableバインディングでXSSが可能。svelte 5.53.5 で修正。

また、GHSA経由で以下が新規公開されています。

  • @hono/node-server (CVE-2026-29087): エンコードされたスラッシュにより静的ファイルの保護パスを回避可能。1.19.10 で修正。
  • Vaultwarden (CVE-2026-27802): Managerロールが権限のないコレクションへの一括権限変更で権限昇格可能。1.35.4 で修正。

JVN 日本語情報

MyJVNデータから、本日公開の国内向け脆弱性情報です。

  • JVNDB-2026-000032 — Dell UPS Multi-UPS Management Console(MUMC)における複数の脆弱性(CVSS 7.8)。引用符で囲まれていないファイルパス(CWE-428)と不適切なファイルアクセス権設定(CWE-276)の2件。GMOサイバーセキュリティ byイエラエがIPAに報告。
  • JVNDB-2026-005745 — 三菱電機 MELSEC iQ-FシリーズのEtherNet/IPユニットおよびEthernetユニットにおける複数の脆弱性。制御フローの不備やリソースの不適切なシャットダウンなど3件のCVEが含まれています。
  • JVNDB-2026-005744 — キヤノン製IJ Scan Utilityにおける引用符で囲まれていない検索パスの脆弱性(CVSS 6.7)。

まとめ

本日はCritical 36件と多めの日です。特に n8n の2件(CVSS 9.9)はセルフホスト環境で深刻な影響があるため、該当バージョンを利用中の場合は速やかなアップデートを推奨します。

フロントエンド領域では Angular / Svelte / Next.js にそれぞれXSSや認可バイパスの修正が出ています。また、Django の URLField DoS(CVE-2026-25673)や AWS-LC の PKCS7 検証バイパスなど、バックエンド・インフラ寄りの脆弱性にも注意が必要です。VMware Aria Operations の脆弱性(CVE-2026-22719)はCISAのKEVカタログに登録済みであり、対象環境では優先的にパッチを適用してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。