本日は NVD で 200件 の CVE が 更新 され、OSV / GHSA / MyJVN を あわせる と 200件超 の セキュリティ情報 が 公開・更新 されています。Django に 5件 の セキュリティ修正 が 一斉 リリース(6.0.4 / 5.2.13 / 4.2.30)、Vite 開発サーバー に パストラバーサル 3件、Movable Type に CVSS 9.8 の SQL インジェクション が 報告 されています。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 更新CVE | 200件 |
| Critical (9.0+) | 10件 |
| High (7.0-8.9) | 62件 |
| Medium (4.0-6.9) | 134件 |
| Low (0-3.9) | 1件 |
| OSV (PyPI / npm) | 10件 |
| GHSA 新規 | 2件 |
| MyJVN | 6件 |
Critical / High 脆弱性の詳細
Django セキュリティリリース — 5件(6.0.4 / 5.2.13 / 4.2.30)
Python Web フレームワーク Django に 5件 の セキュリティ脆弱性 が 報告 され、修正版 が 一斉 リリース されました。Django 4.2 / 5.2 / 6.0 シリーズ すべて が 影響 を 受けます。
| CVE ID | CVSS v3 | 脆弱性の種類 | 修正版 |
|---|---|---|---|
| CVE-2026-3902 | 7.5 | ASGI ヘッダー偽装(underscore/hyphen 混同) | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-33034 | 7.5 | ASGI Content-Length 未検証 による DoS | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-33033 | 6.5 | MultiPartParser base64 ホワイトスペース DoS | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-4277 | — | GenericInlineModelAdmin 権限バイパス | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-4292 | 2.7 | list_editable 経由 の 不正インスタンス作成 | 6.0.4 / 5.2.13 / 4.2.30 |
CVE-2026-3902 は ASGI 環境 で ハイフン と アンダースコア の ヘッダー名 が 同一 に マッピング される 問題 で、リモート から ヘッダー 偽装 が 可能 です。CVE-2026-33034 は Content-Length ヘッダー が 不正 または 未設定 の ASGI リクエスト で DATA_UPLOAD_MAX_MEMORY_SIZE 制限 を バイパス し、メモリ枯渇 による DoS が 可能 です。
Django を ASGI 環境(Daphne / Uvicorn 等)で 運用 している 場合 は 早急 な アップデート を 推奨 します。WSGI 環境 は CVE-2026-3902 / CVE-2026-33034 の 影響 を 受けません。
- 修正: Django 6.0.4 / 5.2.13 / 4.2.30
- 参照: Django Security Releases
CVE-2026-33088 — Movable Type コードインジェクション + SQL インジェクション(CVSS 9.8)
シックス・アパート が 提供 する CMS「Movable Type」に コードインジェクション(CVE-2026-25776)と SQL インジェクション(CVE-2026-33088)の 2種類 の 脆弱性 が 報告 されています。CVSS 9.8 の Critical 評価 です。
- CWE: CWE-94(コードインジェクション)/ CWE-89(SQLインジェクション)
- 報告者: GMOサイバーセキュリティ byイエラエ 小田切祥 氏
- 参照: JVNDB-2026-000050
Movable Type を 利用 している サイト 運営者 は、シックス・アパート 社 の アドバイザリ を 確認 し、修正版 への アップデート を 推奨 します。
Vite 開発サーバー — パストラバーサル / ファイル読み取り 3件
フロントエンド ビルドツール Vite の 開発サーバー に 3件 の 脆弱性 が 報告 されています。いずれも --host または server.host で ネットワーク 公開 している 場合 に 影響 します。
| CVE ID | アドバイザリ | 概要 | 修正版 |
|---|---|---|---|
| CVE-2026-39363 | GHSA-p9ff-h696-f583 | WebSocket fetchModule 経由 の 任意ファイル読み取り | 8.0.5 / 7.3.2 / 6.4.2 |
| CVE-2026-39364 | GHSA-v2wj-q39q-566r | server.fs.deny の クエリ文字列 バイパス | 8.0.5 / 7.3.2 |
| CVE-2026-39365 | GHSA-4w7w-66w2-5vf9 | .map ファイル の パストラバーサル | 8.0.5 / 7.3.2 / 6.4.2 |
Vite 開発サーバー を ネットワーク に 公開 して 利用 している 場合 は アップデート を 推奨 します。ローカル 開発 のみ で 使用 している 場合 は リスク は 限定的 です。
CVE-2026-33273 — 抹茶シリーズ SQL インジェクション 等 3件(CVSS 8.8)
アイシーズ が 提供 する 抹茶シリーズ に SQL インジェクション(CVE-2026-24913)、XSS(CVE-2026-27787)、ファイルアップロード 検証不備(CVE-2026-33273)の 3件 が 報告 されています。
- CWE: CWE-89 / CWE-79 / CWE-434
- 報告者: 三井物産セキュアディレクション 近川健太 氏、馬場将次 氏
- 参照: JVNDB-2026-000052
CVE-2025-65116 — JP1/IT Desktop Management 2 RCE + バッファオーバーフロー(CVSS 8.8)
日立 の JP1/IT Desktop Management 2 および JP1/NETM/DM に リモートコード実行(CVE-2025-65115)と バッファオーバーフロー(CVE-2025-65116)が 報告 されています。
CVE-2026-35515 — NestJS SSE インジェクション
NestJS の SseStream._transform() で message.type / message.id の 改行文字 が サニタイズ されず、Server-Sent Events プロトコル 上 で イベント 境界 の 操作 が 可能 です。
- 修正: @nestjs/core 11.1.18 以降
- 参照: GHSA-36xv-jgw5-4q75
その他 の NVD Critical 脆弱性(既存CVE 更新)
NVD で 更新 された 既存 CVE の うち、Critical 評価 の もの です。いずれも 2022〜2023年 に 公開済み の WordPress プラグイン 脆弱性 で、NVD レコード の メタデータ 更新 です。
| CVE ID | CVSS | ソフトウェア | 概要 |
|---|---|---|---|
| CVE-2022-0888 | 9.8 | Ninja Forms File Uploads (WP) | 任意ファイルアップロード |
| CVE-2022-0992 | 9.8 | SiteGround Security (WP) | 2FA 認証バイパス |
| CVE-2022-1453 | 9.8 | RSVPMaker (WP) | SQL インジェクション |
| CVE-2022-1505 | 9.8 | RSVPMaker (WP) | SQL インジェクション |
| CVE-2022-1768 | 9.8 | RSVPMaker (WP) | SQL インジェクション |
| CVE-2022-2437 | 9.8 | Feed Them Social (WP) | デシリアライゼーション |
| CVE-2022-45063 | 9.8 | xterm | フォント操作 経由 コード実行 |
| CVE-2023-0556 | 9.8 | ContentStudio (WP) | 認可バイパス |
| CVE-2022-3708 | 9.6 | Web Stories (WP) | SSRF |
エコシステム別サマリー
PyPI(5件)
すべて Django 関連 です。Django 4.2 / 5.2 / 6.0 の 3シリーズ で 同時 に 修正 が リリース されました。ASGI 環境 を 使用 している 場合 は 優先度 が 高く なります。
npm(7件)
| パッケージ | CVE | 概要 | 修正版 |
|---|---|---|---|
| vite | CVE-2026-39363 | WebSocket ファイル読み取り | 8.0.5 / 7.3.2 / 6.4.2 |
| vite | CVE-2026-39364 | fs.deny バイパス | 8.0.5 / 7.3.2 |
| vite | CVE-2026-39365 | .map パストラバーサル | 8.0.5 / 7.3.2 / 6.4.2 |
| astro | CVE-2026-33769 | remotePatterns パスバイパス | 5.18.1 |
| @nestjs/core | CVE-2026-35515 | SSE インジェクション | 11.1.18 |
| basic-ftp | — | FTP CRLF コマンドインジェクション | 5.2.1 |
| agixt (PyPI) | — | safe_join パストラバーサル | 1.9.2 |
JVN 日本語情報
MyJVN から 6件 の 脆弱性対策情報 が 公開 されています。
JVNDB-2026-000050 — Movable Type(CVSS 9.8 Critical)
シックス・アパート の Movable Type に コードインジェクション と SQL インジェクション の 2種類 の 脆弱性 です。Movable Type を 利用 した Web サイト は 早急 な アップデート を 推奨 します。
JVNDB-2026-000052 — 抹茶シリーズ(CVSS 8.8 High)
SQL インジェクション、XSS、ファイルアップロード 検証不備 の 3件 の 脆弱性 です。
JVNDB-2026-010301 — JP1/IT Desktop Management 2(CVSS 8.8 High)
日立 JP1 製品 に リモートコード実行 と バッファオーバーフロー が 報告 されています。
その他
| JVN ID | CVE | 製品 | 概要 |
|---|---|---|---|
| JVNDB-2026-010302 | CVE-2025-14816 | 三菱電機 GENESIS64 等 | 重要情報 の 平文保存 |
| JVNDB-2026-010300 | CVE-2024-47554 | Hitachi Ops Center Viewpoint | 複数 の 脆弱性 |
| JVNDB-2026-010299 | CVE-2026-1190 | Hitachi Ops Center Common Services | 複数 の 脆弱性 |
まとめ
本日は Django の セキュリティリリース が 最大 の トピック です。5件 の 脆弱性 が 同時 に 修正 され、特に ASGI 環境 で の ヘッダー偽装(CVE-2026-3902、CVSS 7.5)と DoS(CVE-2026-33034、CVSS 7.5)は ネットワーク 経由 で 認証 なし に 悪用 可能 な ため、Daphne / Uvicorn 等 で Django を 運用 している 場合 は 6.0.4 / 5.2.13 / 4.2.30 への アップデート を 推奨 します。
Vite 開発サーバー に パストラバーサル / ファイル読み取り 3件 が 報告 されています。--host で ネットワーク 公開 している 場合 のみ 影響 する ため、ローカル 開発 環境 では リスク は 限定的 ですが、チーム 共有 の 開発サーバー 等 では 注意 が 必要 です。JVN から は Movable Type に CVSS 9.8 の Critical が 報告 されており、日本国内 で Movable Type を 利用 して いる サイト は 速やか な 対応 を 推奨 します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。