【セキュリティ日報】snapd権限昇格とNext.js 5件修正ほか 218件

本日は NVD で 634件の CVE が公開・更新され、うちスコア付き 200件を分析しました。加えて GHSA で 18件の新規アドバイザリが公開されています。特に注目すべきは、Qualys が報告した snapd のローカル権限昇格脆弱性（CVE-2026-3888）と、Next.js v16.1.7 で修正された 5件のセキュリティ問題です。

Critical / High 脆弱性の詳細解説

CVE-2026-3888 — snapd ローカル権限昇格（snap-confine / systemd-tmpfiles）

• CVSSスコア: HIGH（Qualys 分類: Important）
• 影響: snapd を使用する Ubuntu / Linux ディストリビューション
• 概要: Qualys が 2026年3月17日に公開したアドバイザリによると、snap-confine と systemd-tmpfiles の連携部分に権限昇格の脆弱性が存在します。ローカルの攻撃者がこの脆弱性を悪用すると、root 権限を取得できる可能性があります。
• 対策: Ubuntu のセキュリティアップデートを確認し、パッチ適用を推奨します
• 参考: Ubuntu Security / Qualys Blog

CVE-2026-32635 — Angular XSS（i18n 属性バインディング）

• CVSSスコア: HIGH（CVSS:4.0 VC:H/VI:H/VA:H）
• CWE: CWE-79（クロスサイトスクリプティング）
• 影響: @angular/core, @angular/compiler（v19.2.20 / v20.3.18 / v21.2.4 / v22.0.0-next.3 未満）
• 概要: Angular のランタイムおよびコンパイラにおいて、i18n-<attribute> を使用してセキュリティ上重要な属性（例: href）を国際化した場合、Angular の組み込みサニタイズ機構がバイパスされます。未信頼のユーザーデータとデータバインディングを組み合わせると XSS が成立する可能性があります。
• 修正: 各メジャーバージョンでパッチリリース済み
• 参考: GitHub Advisory / NVD

Next.js v16.1.7 セキュリティ修正（5件）

Next.js v16.1.7 で以下の 5件が修正されました。v15.5.13 にもバックポートされた修正が含まれます。

CVE-2026-29057 — HTTP リクエストスマグリング（rewrites 経由）

• CVSS v4: AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L
• 概要: Next.js の rewrites で外部バックエンドにプロキシする際、Transfer-Encoding: chunked を使った DELETE / OPTIONS リクエストでリクエスト境界の不一致が発生し、意図しないバックエンドルートにリクエストが到達する可能性がありました。
• 修正: v16.1.7 / v15.5.13
• 参考: GitHub Advisory

CVE-2026-27978 — Server Actions CSRF バイパス（null origin）

• 概要: origin: null が「欠落した origin」として扱われ、サンドボックス化された iframe からの Server Actions リクエストが CSRF チェックをバイパスできました。
• 修正: v16.1.7
• 参考: GitHub Advisory

CVE-2026-27979 — PPR resume バッファリング DoS

• 概要: next-resume: 1 ヘッダを含むリクエストで、maxPostponedStateSize の上限が一部の構成で適用されず、無制限のバッファリングが可能でした。
• 修正: v16.1.7

CVE-2026-27980 — next/image ディスクキャッシュ肥大化 DoS

• 概要: /_next/image のディスクキャッシュに上限がなく、大量のユニークな画像最適化バリアントを生成してディスクを枯渇させることが可能でした。LRU ベースのキャッシュ上限（images.maximumDiskCacheSize）が追加されました。
• 修正: v16.1.7

CVE-2026-27977 — dev HMR WebSocket CSRF バイパス

• 概要: next dev で Origin: null が allowedDevOrigins の設定に関わらずバイパスケースとして扱われ、開発サーバーの HMR WebSocket に接続できる可能性がありました。
• 修正: v16.1.7

CVE-2026-32841 — Edimax GS-5008PL 認証バイパス

• CVSSスコア: CRITICAL
• 影響: Edimax GS-5008PL ネットワークスイッチ
• 概要: 認証状態がすべてのクライアント間でグローバルに共有されるため、1人のユーザーがログインすると、他のすべてのユーザーが認証をバイパスできてしまう深刻な脆弱性です。同製品には他にも 4件の脆弱性が報告されています（CVE-2026-32842: 平文での認証情報保存、CVE-2026-32838: HTTP 平文通信、CVE-2026-32840: Stored XSS、CVE-2026-32839: CSRF）。
• 対策: 当該製品はレガシー製品のため、使用の見直しを推奨します
• 参考: VulnCheck Advisory

CVE-2026-21994 — Oracle 脆弱性

• CVSSスコア: CRITICAL
• 概要: Oracle セキュリティアラートで公開された脆弱性です。詳細は Oracle の公式セキュリティアドバイザリマッピングを参照してください。
• 参考: Oracle Security Alerts

CVE-2026-22727 — Cloud Foundry 保護されていない内部エンドポイント

• CVSSスコア: HIGH
• 影響: Cloud Foundry 環境
• 概要: 内部エンドポイントが適切に保護されていない脆弱性です。
• 参考: Cloud Foundry Blog

エコシステム別サマリー

OSV データでは npm エコシステムに 8件、PyPI に 1件の脆弱性が報告されています。

npm: Next.js 関連が 5件と集中しています。v16.1.7 へのアップデートですべて修正済みです。Angular の XSS 脆弱性（CVE-2026-32635）も npm エコシステムに影響します。

PyPI: FastAPI の過去の CSRF 脆弱性（CVE-2021-32677）のメタデータが更新されました。0.65.2 以降で修正済みです。

NVD 大量更新: GStreamer 関連の CVE が 73件再スコアリングされました。2024年末にリリースされた GStreamer 1.24.10 で修正済みのものが大半です。まだ古いバージョンを使用している環境では確認を推奨します。

JVN 日本語情報

JVNDB-2026-000038 — IBM Trusteer Rapport インストーラーの DLL 読み込み脆弱性

• CVE: CVE-2026-2713
• CVSSスコア: 7.8 (High)
• CWE: CWE-427（ファイル検索パスの制御不備）
• 概要: IBM Trusteer Rapport のインストーラーに DLL 読み込みに関する脆弱性が存在します。攻撃者が細工した DLL を配置することで、インストーラー実行時に任意のコードが実行される可能性があります。GMOサイバーセキュリティ byイエラエの松本一真氏が IPA に報告し、JPCERT/CC が調整を行いました。
• 参考: JVN iPedia

まとめ

本日は snapd のローカル権限昇格（CVE-2026-3888）が最も影響範囲が広い脆弱性です。Ubuntu をはじめとする snapd を利用する環境では、早めにセキュリティアップデートの適用状況を確認してください。Next.js v16.1.7 では HTTP リクエストスマグリングや CSRF バイパスなど 5件が修正されており、Next.js を本番運用している場合はアップデートを推奨します。また、Angular の i18n 属性バインディングにおける XSS（CVE-2026-32635）もフロントエンド開発者にとって注意が必要です。

NVD では GStreamer 関連 CVE の大規模な再スコアリングが行われ、Critical 24件の大半はこの再スコアリングによるものです。GStreamer 1.24.10 未満を使用中の環境ではアップデートを検討してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。