本日 は NVD で 200件 の CVE が 公開・更新 され、うち Critical が 17件 と 多め です。MCP サーバー 構築 ライブラリ FastMCP に CVSS 10.0 の SSRF 脆弱性、Linux 管理 ツール Cockpit に 認証 不要 の SSH インジェクション(CVSS 9.8)、Django に 5件 の セキュリティ 修正 が 含まれています。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 更新 CVE | 200件 |
| Critical (9.0+) | 17件 |
| High (7.0-8.9) | 78件 |
| Medium (4.0-6.9) | 92件 |
| Low (0-3.9) | 3件 |
| OSV エコシステム | npm 6件 / PyPI 5件 |
| GHSA 更新 | 1件 |
| MyJVN | 2件 |
Critical / High 脆弱性 の 詳細
CVE-2026-32871 — FastMCP パス トラバーサル に よる SSRF(CVSS 10.0)
MCP(Model Context Protocol)サーバー を Python で 構築 する ライブラリ FastMCP の OpenAPIProvider に SSRF 脆弱性 が 発見 されました。_build_url() メソッド で パス パラメータ を URL テンプレート に 直接 展開 する際、URL エンコーディング が 行われず、../ を 使った パス トラバーサル に より 意図 しない バックエンド エンドポイント に リクエスト を 送信 可能 です。
- CVSS: 10.0(Critical)
- CWE: CWE-918(SSRF)
- 修正: FastMCP 3.2.0
- 参照: GHSA-vv7q-7jx5-f767
MCP サーバー を FastMCP で 構築 している 場合 は、速やか に 3.2.0 へ アップデート を 推奨 します。
CVE-2026-4631 — Cockpit SSH インジェクション(CVSS 9.8)
Linux サーバー 管理 ツール Cockpit の リモート ログイン 機能 に、認証 前 の SSH オプション インジェクション 脆弱性 が 発見 されました。Web インターフェース から 送信 される ホスト名 と ユーザー名 が SSH クライアント に バリデーション なし で 渡される ため、攻撃者 は 細工 した HTTP リクエスト 1つ で Cockpit ホスト 上 の 任意 コマンド を 実行 可能 です。
- CVSS: 9.8(Critical)
- CWE: CWE-78(OS コマンドインジェクション)
- 修正: Red Hat セキュリティ アドバイザリ RHSA-2026:7381 / 7382 / 7384
- 参照: Red Hat CVE / Bugzilla
Cockpit を ネットワーク に 公開 している 環境 では、パッチ 適用 まで の 間 アクセス 制限 の 強化 を 検討 してください。
Django セキュリティ リリース — 5件 の 脆弱性 修正(4.2.30 / 5.2.13 / 6.0.4)
Django に 5件 の セキュリティ 脆弱性 が 報告 され、4.2.30 / 5.2.13 / 6.0.4 で 一括 修正 されました。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-4277 | GenericInlineModelAdmin の 権限 検証 不備 | 9.8 |
| CVE-2026-3902 | ASGI ヘッダー スプーフィング | 7.5 |
| CVE-2026-33034 | ASGI Content-Length バイパス に よる DoS | 7.5 |
| CVE-2026-33033 | MultiPartParser DoS(base64 空白) | 6.5 |
| CVE-2026-4292 | ModelAdmin.list_editable 権限 不備 | 2.7 |
特に CVE-2026-4277 は NVD で CVSS 9.8 と 評価 されて おり、GenericInlineModelAdmin で インライン モデル の 追加 権限 が POST データ 偽造 時 に 検証 されない 問題 です。Django を 利用 して いる プロジェクト は 早め の アップデート を 推奨 します。
Next.js App Router DoS(GHSA-q4gf-8mx6-v5v3 / CVE-2026-23869)
Next.js 13.x〜16.x の App Router(React Server Components)に DoS 脆弱性 が 発見 されました。細工 した HTTP リクエスト に より サービス 停止 を 引き起こす ことが 可能 です。上流 の React 側 CVE-2026-23869 と して 追跡 されています。
- CVSS: 7.5(High)— AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 修正: Next.js 15.5.15 / 16.2.3
- 参照: GHSA-q4gf-8mx6-v5v3 / Vercel Changelog
App Router を 使用 して いる Next.js プロジェクト は アップデート を 検討 してください。
Vite Dev Server — 3件 の ファイル 読み取り 脆弱性
フロントエンド ビルド ツール Vite に 3件 の セキュリティ 脆弱性 が 報告 されました。いずれも --host で dev サーバー を ネットワーク に 公開 して いる 場合 に 影響 します。
| CVE | 概要 | 修正 |
|---|---|---|
| CVE-2026-39363 | WebSocket 経由 の 任意 ファイル 読み取り | 6.4.2 / 7.3.2 / 8.0.5 |
| CVE-2026-39364 | server.fs.deny バイパス | 7.3.2 / 8.0.5 |
| CVE-2026-39365 | .map ファイル の パス トラバーサル | 6.4.2 / 7.3.2 / 8.0.5 |
dev サーバー を --host で 公開 して いる 環境 は 速やか に アップデート してください。ローカル 開発 のみ の 場合 は 影響 は 限定的 です。
CVE-2026-34400 — Alerta SQL インジェクション(CVSS 9.8)
監視 ツール Alerta の 検索 API(q= パラメータ)に SQL インジェクション 脆弱性 が 発見 されました。Postgres クエリ パーサー が f-string で ユーザー 入力 を SQL に 直接 展開 して おり、認証 なし で データベース に アクセス 可能 です。
- CVSS: 9.8(Critical)
- CWE: CWE-89(SQL インジェクション)
- 修正: Alerta 9.1.0
- 参照: GitHub PR #2040
エコシステム 別 サマリー
npm(6件)
| パッケージ | 脆弱性 | 修正 バージョン |
|---|---|---|
| next | Server Components DoS | 15.5.15 / 16.2.3 |
| vite | WebSocket ファイル 読み取り | 6.4.2 / 7.3.2 / 8.0.5 |
| vite | server.fs.deny バイパス | 7.3.2 / 8.0.5 |
| vite | .map パス トラバーサル | 6.4.2 / 7.3.2 / 8.0.5 |
| astro | remotePatterns バイパス | 5.18.1 |
| @nestjs/core | SSE ストリーム インジェクション | 11.1.18 |
PyPI(5件)
| パッケージ | 脆弱性 | 修正 バージョン |
|---|---|---|
| django | GenericInlineModelAdmin 権限 不備 | 4.2.30 / 5.2.13 / 6.0.4 |
| django | ASGI ヘッダー スプーフィング | 4.2.30 / 5.2.13 / 6.0.4 |
| django | ASGI Content-Length バイパス | 4.2.30 / 5.2.13 / 6.0.4 |
| django | MultiPartParser DoS | 4.2.30 / 5.2.13 / 6.0.4 |
| django | list_editable 権限 不備 | 4.2.30 / 5.2.13 / 6.0.4 |
GHSA(1件)
MetaGPT に eval インジェクション 脆弱性(CVE-2026-5971、Moderate)。修正 バージョン は 未 リリース です。
JVN 日本語 情報
JVNDB-2026-000053 — EmoCheck に おける DLL 読み込み の 脆弱性
JPCERT/CC 提供 の マルウェア Emotet 感染 確認 ツール EmoCheck に DLL 検索 パス の 問題 が あり、同一 ディレクトリ の 悪意 ある DLL を 読み込む 可能性 が あります。
- CVE: CVE-2026-28704
- CVSS: 7.8(High)
- CWE: CWE-427(ファイル 検索 パス の 制御 不備)
- 参照: JVNDB-2026-000053
JVNDB-2026-010580 — CrewAI に おける 複数 の 脆弱性
マルチ エージェント AI フレームワーク CrewAI に 4件 の 脆弱性(サンドボックス 脱出、SSRF、任意 ファイル 読み取り 等)が 報告 されています。
- CVE: CVE-2026-2285 / CVE-2026-2286 / CVE-2026-2287 / CVE-2026-2275
- 参照: JVNDB-2026-010580
まとめ
本日 は FastMCP の CVSS 10.0 SSRF 脆弱性 が 最 注目 です。MCP エコシステム を 利用 して いる 場合 は バージョン 確認 を 推奨 します。Django の 5件 一括 修正 は Web 開発者 に 広く 影響 する ため、4.2.30 / 5.2.13 / 6.0.4 への アップデート を 検討 してください。Cockpit を インターネット に 公開 して いる 環境 は、パッチ 適用 まで アクセス 制限 の 見直し を お勧め します。フロントエンド 開発者 は Vite と Next.js の アップデート も 確認 してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。