本日は NVD から 200件、OSV から 2件 の 計 202件 を 確認 しました。GHSA の 新規更新 は 0件、MyJVN も 該当 なし です。NVD の 200件 は すべて 2024年 公開 の WordPress プラグイン 脆弱性 の メタデータ 更新 が 中心 で、Critical 8件、High 35件。OSV 経由 で Next.js の PPR DoS(CVE-2025-59472)と Astro の allowlist バイパス(CVE-2026-33769)の 情報 が 更新 されて います。
本日の概要
| 指標 | 数値 |
|---|---|
| 分析CVE | 200件 |
| Critical (9.0+) | 8件 |
| High (7.0-8.9) | 35件 |
| Medium (4.0-6.9) | 70件 |
| Low (~3.9) | 1件 |
| 未評価 / None | 86件 |
| GHSA更新 | 0件 |
| OSV監視対象 | 2件 |
| JVN更新 | 0件 |
Critical / High 脆弱性の詳細
本日の NVD 更新分 は すべて 2024年 公開 の WordPress プラグイン 脆弱性 です。新規 発見 では なく NVD メタデータ の 更新 です が、未対応 の 場合 は 改めて 確認 して ください。
CVE-2024-30236 — Contest Gallery SQL インジェクション
- CVSS スコア: 9.9(Critical)
- CWE: CWE-89(SQL インジェクション)
- 影響: Contest Gallery プラグイン v21.3.4 以前
- 初回公開: 2024年3月28日
WordPress プラグイン Contest Gallery に SQL インジェクション の 脆弱性 が 存在 します。CVSS 9.9 と 本日 最高 スコア で、認証 済み ユーザー から の データベース 操作 が 可能 です。当該 プラグイン を 利用 して いる 場合 は 最新 版 へ の アップデート を 推奨 します。
- 参考: NVD / Patchstack
WordPress プラグイン — Critical(CVSS 9.8)まとめ
| CVE ID | プラグイン | 脆弱性種別 | CVSS |
|---|---|---|---|
| CVE-2024-30221 | Sunshine Photo Cart | デシリアライゼーション | 9.8 |
| CVE-2024-24882 | Masteriyo LMS | 権限昇格 | 9.8 |
| CVE-2024-35700 | UserPro | 権限昇格(アカウント乗っ取り) | 9.8 |
| CVE-2024-30534 | Calendarista Basic Edition | 認可不備 | 9.8 |
| CVE-2024-30529 | Tainacan | 認可不備 | 9.8 |
| CVE-2024-37228 | InstaWP Connect | 任意ファイルアップロード | 9.8 |
| CVE-2024-37555 | Generate PDF using CF7 | 任意ファイルアップロード | 9.8 |
いずれ も 2024年 に 公開 済み の 脆弱性 です。権限昇格(CWE-266)、認可 不備(CWE-862)、任意 ファイル アップロード(CWE-434)、デシリアライゼーション(CWE-502)と、WordPress プラグイン に 典型的 な 脆弱性 パターン が 揃って います。UserPro(CVE-2024-35700)は 未認証 ユーザー から の アカウント 乗っ取り に 至る ため、利用 中 の 場合 は 特に 注意 が 必要 です。
WordPress プラグイン — High(CVSS 8.8)主要 CVE
| CVE ID | プラグイン | 脆弱性種別 | CVSS |
|---|---|---|---|
| CVE-2024-23507 | InstaWP Connect | SQL インジェクション | 8.8 |
| CVE-2024-25918 | InstaWP Connect | コード インジェクション | 8.8 |
| CVE-2024-22145 | InstaWP Connect | 権限昇格 | 8.8 |
| CVE-2024-29135 | Tourfic | 任意ファイルアップロード | 8.8 |
| CVE-2024-29136 | Tourfic | デシリアライゼーション | 8.8 |
| CVE-2024-30238 | Contest Gallery | SQL インジェクション | 8.8 |
High 35件 の うち 大半 が CVSS 8.8 で、SQL インジェクション(CWE-89)6件、認可 不備(CWE-862)16件、CSRF(CWE-352)4件 が 上位 を 占めて います。InstaWP Connect は Critical 含め 計 4件 の 脆弱性 が 報告 されて おり、利用 中 の 場合 は プラグイン の 更新 確認 を 推奨 します。
CWE 分布(Critical / High)
| CWE | 種別 | 件数 |
|---|---|---|
| CWE-862 | 認可不備 | 16件 |
| CWE-89 | SQL インジェクション | 6件 |
| CWE-502 | デシリアライゼーション | 4件 |
| CWE-434 | 任意ファイルアップロード | 4件 |
| CWE-352 | CSRF | 4件 |
| CWE-266 | 権限の不適切な割り当て | 3件 |
エコシステム別サマリー
OSV 監視対象(npm)
OSV から 2件 の npm パッケージ に関する 脆弱性 情報 の 更新 が ありました。
Next.js — PPR Resume Endpoint DoS(CVE-2025-59472)
Partial Prerendering(PPR)を 有効 に した Next.js で、minimal モード 実行時 に PPR resume エンドポイント が 未認証 の POST リクエスト を 受け付け、メモリ 枯渇 に よる サーバー クラッシュ が 可能 な 脆弱性 です。リクエスト ボディ の 無制限 バッファリング が 原因 です。v16.1.5 で 修正 済み。PPR を 利用 して いる 場合 は バージョン を 確認 して ください。
- CVSS: AV:N/AC:H/PR:N/UI:N/S:U/C:N/I:N/A:H
- 修正バージョン: 16.1.5(15.x 系 は canary 61 で 修正)
- 参考: GitHub Advisory / NVD
Astro — Remote Allowlist バイパス(CVE-2026-33769)
Astro の remotePatterns 設定 で、/* ワイルドカード の パス マッチング が アンカー されて おらず、許可 された プレフィックス を パス の 途中 に 含める こと で allowlist を バイパス できる 脆弱性 です。サーバー サイド の 画像 最適化 エンドポイント 等 で 意図 しない URL へ の アクセス が 可能 に なります。v5.18.1 で 修正 済み。
- CVSS: AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N
- 修正バージョン: 5.18.1
- 参考: GitHub Advisory / NVD
JVN 日本語情報
本日 の MyJVN データ に 該当 する 脆弱性 対策 情報 は ありません でした。
まとめ
本日 は NVD で WordPress プラグイン の 既知 CVE メタデータ が 200件 一斉 更新 された 日 です。新規 発見 では ありません が、Critical 8件・High 35件 と 深刻 な もの が 多く、認可 不備(CWE-862)が 16件 と 最多 です。WordPress サイト を 運用 して いる 場合 は、利用 中 の プラグイン が 影響 を 受けて いない か 改めて 確認 して ください。特に InstaWP Connect、Contest Gallery、Tourfic は 複数 の 脆弱性 が 報告 されて います。
Web フレームワーク 関連 では、Next.js の PPR DoS(CVE-2025-59472、v16.1.5 で 修正)と Astro の allowlist バイパス(CVE-2026-33769、v5.18.1 で 修正)が OSV で 更新 されて います。該当 バージョン を 使用 して いる 場合 は アップデート を 検討 して ください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。