つみかさね

【セキュリティ日報】Nginx UIにCVSS 9.8の認証なし情報漏洩ほか 200件

2026-03-11データソース: NVD, OSV, GHSA, JVN
CVENVD脆弱性NginxStorybookEnvoyoRPCMCP

本日はスコア付きCVE 200件が公開・更新され、うちCriticalが37件、Highが110件。Nginx UIに認証なしでバックアップデータ(認証情報・SSL秘密鍵)が漏洩するCVE-2026-27944(CVSS 9.8)が最も注目度の高い脆弱性です。

Storybook開発サーバのWebSocket乗っ取り(RCE可能)、oRPCクライアントのprototype pollution、Undertow(WildFly/JBoss)のHostヘッダ検証不備など、広く利用されるソフトウェアのCritical脆弱性が複数含まれています。GHSAでは141件のアドバイザリが更新され、Envoy Proxyに5件、Parse Serverに4件のセキュリティ修正が集中しています。

指標数値
新規・更新CVE200件
Critical (9.0+)37件
High (7.0-8.9)110件
Medium (4.0-6.9)50件
Low (0.1-3.9)3件
GHSAアドバイザリ更新141件
影響エコシステムnpm, Go, Packagist, Maven, PyPI, crates.io

CVE-2026-27944 — Nginx UI 認証なしバックアップ漏洩

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-306 (認証の欠如), CWE-311 (機密データの暗号化の欠如)
  • 影響: Nginx UI 2.3.3 未満
  • 概要: /api/backup エンドポイントが認証なしでアクセス可能で、さらにバックアップの復号に必要な暗号鍵が X-Backup-Security レスポンスヘッダに含まれています。非認証の攻撃者がユーザー認証情報、セッショントークン、SSL秘密鍵、Nginx設定を含む完全なバックアップをダウンロード・復号できます。
  • 修正: バージョン 2.3.3 へのアップデート
  • 参考: NVD / GHSA

CVE-2026-27148 — Storybook 開発サーバ WebSocket乗っ取りによるRCE

  • CVSSスコア: 9.6 (Critical)
  • CWE: CWE-74 (インジェクション), CWE-79 (XSS)
  • 影響: Storybook 7.6.23 / 8.6.17 / 9.1.19 / 10.2.10 未満
  • 概要: Storybook開発サーバのWebSocket接続がOriginを検証しないため、開発者が悪意あるWebサイトを訪問するだけでWebSocketメッセージを送信可能です。componentFilePath フィールドの未サニタイズ入力を介して永続的XSSまたはRCEが成立します。本番ビルドには影響しません。
  • 修正: 各メジャーバージョンの修正版へのアップデート
  • 参考: NVD

CVE-2026-28794 — oRPC クライアント Prototype Pollution

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-1321 (Prototype Pollution)
  • 影響: @orpc/client 1.13.6 未満
  • 概要: RPCのJSONデシリアライザにprototype pollution脆弱性があり、非認証のリモート攻撃者がグローバルな Object.prototype に任意のプロパティを注入可能です。Node.jsプロセスの存続期間中すべてのオブジェクトに影響し、認証バイパス、DoS、潜在的なRCEにつながります。
  • 修正: バージョン 1.13.6 へのアップデート
  • 参考: NVD / GHSA

CVE-2025-12543 — Undertow Hostヘッダ検証不備(WildFly / JBoss EAP)

  • CVSSスコア: 9.6 (Critical)
  • CWE: CWE-20 (入力検証不備)
  • 影響: Undertow を使用する WildFly, JBoss EAP 等のJavaアプリケーション
  • 概要: UndertowライブラリがHTTPリクエストのHostヘッダを適切に検証せず、不正なHostヘッダを含むリクエストが処理されます。キャッシュポイズニング、内部ネットワークスキャン、セッションハイジャックが可能です。Red Hatから複数のエラータが公開されています。
  • 修正: Red Hat エラータ (RHSA-2026:0383 等) の適用
  • 参考: NVD

CVE-2025-64443 — MCP Gateway DNS Rebinding(Docker)

  • CVSSスコア: 9.6 (Critical)
  • CWE: CWE-749 (危険なメソッドまたは機能の公開)
  • 影響: MCP Gateway 0.27.0 以前(SSEまたはstreamingトランスポートモード時)
  • 概要: SSEまたはstreamingトランスポートモードで動作するMCP Gatewayが、DNS rebinding攻撃に対して脆弱です。攻撃者が悪意あるWebサイトを介してMCPサーバのツールを操作可能です。デフォルトのstdioモードでは影響を受けません。
  • 修正: バージョン 0.28.0 へのアップデート
  • 参考: NVD / GHSA

CVE-2026-1699 — Eclipse Theia CI/CDサプライチェーン攻撃

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-829 (信頼できない制御領域からの機能の組み込み)
  • 影響: Eclipse Theia Website リポジトリ
  • 概要: GitHub Actionsワークフローが pull_request_target トリガーを使用しつつ信頼できないPRコードをチェックアウト・実行していました。攻撃者がリポジトリのCI環境で任意のコードを実行し、シークレットの窃取やパッケージの改ざんが可能でした。
  • 参考: NVD

CVE-2026-29042 — Nuclio サーバレスフレームワーク コマンドインジェクション

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-75 (特殊要素の不適切な無害化)
  • 影響: Nuclio 1.15.20 未満
  • 概要: Nuclio Shell Runtimeが X-Nuclio-Arguments ヘッダの値を検証・サニタイズせずにシェルコマンドに組み込みます。HTTP経由で関数を呼び出す際にコマンドインジェクションが成立します。
  • 修正: バージョン 1.15.20 へのアップデート
  • 参考: NVD / GHSA

CVE-2026-28785 — Ghostfolio SQLインジェクション

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-89 (SQLインジェクション)
  • 影響: Ghostfolio 2.244.0 未満
  • 概要: シンボル検証をバイパスすることで、getHistorical() メソッドを通じて任意のSQLコマンドを実行可能です。全ユーザーの金融データの読み取り・変更・削除が可能になります。
  • 修正: バージョン 2.244.0 へのアップデート
  • 参考: NVD / GHSA

CVE-2026-29065 — changedetection.io Zip Slip

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-22 (パストラバーサル)
  • 影響: changedetection.io 0.54.4 未満
  • 概要: バックアップリストア機能にZip Slip脆弱性があり、アップロードされたZIPアーカイブのパストラバーサルにより任意のファイル上書きが可能です。
  • 修正: バージョン 0.54.4 へのアップデート
  • 参考: NVD / GHSA

エコシステム別サマリー(GHSA)

本日のGHSAアドバイザリ141件の内訳です。

npm(15件) — Parse Serverに認証バイパス・LiveQuery CLPバイパス・DoS・Stored XSSの4件が集中。node-tarにシンボリックリンク経由のパストラバーサル(CVE-2026-31802)。ElysiaにReDoS。FeathersにNoSQLインジェクション(Critical)。StudioCMSにIDOR。

Go(9件) — Envoy Proxyに5件のセキュリティアドバイザリが公開されました。RBACヘッダ検証バイパス(CVE-2026-26308)、DNSクラッシュ、off-by-one書き込み、レートリミットクラッシュ、UAFクラッシュ。SiYuanにSVGサニタイザーバイパスのXSS 2件。

Packagist(15件) — Syliusに4件(IDOR、プロモーション利用制限のレースコンディション、オープンリダイレクト、Stored XSS)。Craft Commerceに4件(SQLインジェクション x2、Stored XSS x2)。

Maven(2件) — Apache IoTDBに入力検証不備とデフォルト設定の脆弱性、いずれもCritical。1.3.7 / 2.0.7 で修正。

crates.io(1件) — Quinn QUIC実装にトランスポートパラメータ解析のパニックによるDoS。

PyPI(2件) — pypdfにストリーム長操作によるRAM枯渇。django-unicornにコンポーネント状態操作の脆弱性。

JVN 日本語情報

本日のMyJVNデータには該当する脆弱性対策情報はありませんでした。

まとめ

本日はNginx UIの認証なしバックアップ漏洩(CVSS 9.8)が最も深刻です。Nginx UIを利用中の環境では即座にバージョン2.3.3へのアップデートを推奨します。Storybook開発サーバのWebSocket乗っ取り(CVSS 9.6)はローカル開発環境に影響しますが、開発者が悪意あるサイトを訪問するだけで成立するため油断できません。

Envoy Proxyに5件、Parse Serverに4件のアドバイザリが集中しており、これらを利用している環境ではまとめて対応を検討してください。MCP関連ではDocker MCP GatewayのDNS rebinding(CVSS 9.6)とMCP TypeScript/Python SDKのDNS rebinding保護デフォルト無効化が報告されており、MCPサーバをHTTPモードで運用している場合は確認が必要です。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。