本日 は スコア付き CVE 5件 が 公開・更新 され、うち Critical が 1件、High が 4件。Angular の i18n 属性 バインディング に おける XSS 脆弱性(CVE-2026-32635)が 新規 公開 されて おり、@angular/core と @angular/compiler の 幅広い バージョン に 影響 します。Adobe Commerce の セッション 乗っ取り(CVE-2025-54236、CVSS 9.1)は NVD で 引き続き 更新 されて おり、EC サイト 運営者 は 対応状況 の 確認 を 推奨 します。
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 5件 |
| Critical (9.0+) | 1件 |
| High (7.0-8.9) | 4件 |
| Medium (4.0-6.9) | 0件 |
| Low (0.1-3.9) | 0件 |
| NVD 更新 | 1件 |
| OSV 更新 | 4件 |
| 影響エコシステム | npm, PyPI |
Critical / High 脆弱性 の 詳細解説
CVE-2025-54236 — Adobe Commerce 不正入力 に よる セッション 乗っ取り
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-20(不適切 な 入力 検証)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 以前
- 概要: 不適切 な 入力 検証 の 脆弱性 により、攻撃者 が セッション の 乗っ取り を 実行 できる 可能性 が あります。ユーザー 操作 不要 で 悪用 可能 であり、機密性 と 完全性 に 高い 影響 を 与えます。CISA KEV(Known Exploited Vulnerabilities)カタログ に 登録 されて おり、実際 の 攻撃 が 確認 されて います。
- 修正: Adobe セキュリティ パッチ APSB25-88 を 適用
- 参考: NVD / Adobe セキュリティ 情報 / CISA KEV
CVE-2026-32635 — Angular i18n 属性 バインディング の XSS
- CVSSスコア: CVSS v4 — AV:N/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N
- 影響: @angular/core, @angular/compiler — v19.2.20, v20.3.18, v21.2.4, v22.0.0-next.3 未満
- 概要: Angular の ランタイム と コンパイラ に XSS 脆弱性 が 存在 します。
i18n-<attribute>を 使って セキュリティ に 関わる 属性(例:href)を 国際化 すると、Angular 内蔵 の サニタイズ 機構 が 迂回 されます。未信頼 の ユーザー データ と 組み合わさった 場合、XSS 攻撃 が 成立 する 可能性 が あります。i18n 属性 バインディング を 使用 して いる Angular アプリケーション は 影響 を 受ける ため、早めの 確認 を 推奨 します。 - 修正バージョン: v19.2.20 / v20.3.18 / v21.2.4 / v22.0.0-next.3
- 参考: GitHub Advisory / 修正 PR #67541
CVE-2021-32677 — FastAPI CSRF 脆弱性(メタデータ 更新)
- CVSSスコア: 8.2 (High)
- CVSS ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:H/A:N
- 影響: FastAPI 0.65.2 未満(PyPI)
- 概要: Cookie 認証 を 使用 する パス 操作 が JSON ペイロード を 受け取る 場合、
content-typeヘッダー がapplication/json以外(例:text/plain)でも リクエスト ボディ を JSON として 解析 しよう と する ため、ブラウザ 経由 の CSRF 攻撃 が 成立 する 可能性 が ありました。Cookie ベース の 認証 を 使用 して いる FastAPI アプリケーション が 対象 です。 - 修正: FastAPI 0.65.2 以降 で 修正済み
- 参考: NVD / GitHub Advisory
CVE-2021-43803 — Next.js 不正 URL に よる サーバー クラッシュ(メタデータ 更新)
- CVSSスコア: 7.5 (High)
- CVSS ベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響: Next.js 11.1.0 〜 12.0.4(npm)
- 概要: 不正 な URL や 悪意 の ある URL を 送信 する こと で、サーバー クラッシュ が 発生 する 可能性 が ありました。Node.js 15.0.0 以上 で
next startまたは カスタムサーバー を 使用 して いる 環境 が 対象 です。Vercel ホスティング 環境 で は 無効 な リクエスト が 事前 に フィルタ される ため、影響 を 受けません。 - 修正: Next.js 11.1.3 / 12.0.5 で 修正済み
- 参考: NVD / GitHub Advisory
CVE-2021-37699 — Next.js オープン リダイレクト(メタデータ 更新)
- CVSSスコア: 7.4 (High)
- CVSS ベクトル: CVSS:3.1/AV:N/AC:H/PR:N/UI:R/S:C/C:H/I:L/A:N
- 影響: Next.js 10.0.5 〜 11.0.x(npm)
- 概要:
pages/_error.jsが 静的 生成 されて いる 場合、特殊 な エンコーディング を 含む パス を 利用 して 外部 サイト へ の オープン リダイレクト が 可能 でした。信頼 された ドメイン から 攻撃者 の ドメイン に リダイレクト する こと で、フィッシング 攻撃 の 踏み台 と して 悪用 される リスク が あります。 - 修正: Next.js 11.1.0 で 修正済み
- 参考: NVD / GitHub Advisory
エコシステム別 サマリー(OSV)
本日 の OSV データ は 4件。Angular の XSS(CVE-2026-32635)は 2026年3月13日 に 新規 公開、他 3件 は 過去 に 公開 された 既知 脆弱性 の メタデータ 更新 です。
npm(3件):
- Angular i18n XSS(CVE-2026-32635)— @angular/core, @angular/compiler の v19.2.20 / v20.3.18 / v21.2.4 で 修正。新規
- Next.js サーバークラッシュ(CVE-2021-43803)— v11.1.3 / v12.0.5 で 修正済み
- Next.js オープンリダイレクト(CVE-2021-37699)— v11.1.0 で 修正済み
PyPI(1件):
- FastAPI CSRF(CVE-2021-32677)— v0.65.2 で 修正済み
JVN 日本語 情報
本日 の MyJVN データ に は 該当 する 脆弱性 対策 情報 は ありません でした。
まとめ
本日 は 全体 の CVE 件数 が 5件 と 少ない 日 でしたが、Angular フレームワーク に 影響 する 新規 XSS 脆弱性(CVE-2026-32635)は 注目 に 値 します。i18n-href の ような 国際化 属性 バインディング を 使用 して いる Angular アプリケーション を 運用 して いる 場合、v19.2.20 / v20.3.18 / v21.2.4 以降 へ の アップデート を 検討 して ください。
Adobe Commerce の セッション 乗っ取り(CVE-2025-54236、CVSS 9.1)は CISA KEV カタログ に 登録 済み で、未対応 の EC サイト は 引き続き 優先度 の 高い 対応 が 必要 です。その他 の OSV 更新 3件 は いずれも 2021年 の 既知 脆弱性 で 修正 リリース 済み ですが、古い バージョン を 使い続けて いる 場合 は 影響 を 受ける 可能性 が あります。依存 パッケージ の バージョン 確認 を 推奨 します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。