本日 は NVD で 67件 の CVE が 公開・更新 され、うち Critical が 13件、High が 34件 です。Web フレームワーク Django に ASGI ヘッダー 偽装 や Content-Length 検証 バイパス など 5件、ビルド ツール Vite に ファイル 読み取り 脆弱性 3件 の セキュリティ 修正 が リリース されました。Adobe Commerce の セッション 乗っ取り(CVE-2025-54236)は CISA KEV に 登録 済み で 悪用 が 確認 されて います。OSV では npm 6件、PyPI 5件 の 脆弱性 情報 が 更新 されて います。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 更新 CVE | 67件 |
| Critical (9.0+) | 13件 |
| High (7.0-8.9) | 34件 |
| Medium (4.0-6.9) | 18件 |
| OSV エコシステム | npm 6件, PyPI 5件 |
| MyJVN | 0件 |
Critical / High 脆弱性 の 詳細
CVE-2025-54236 — Adobe Commerce セッション 乗っ取り(CVSS 9.1 / CISA KEV)
Adobe Commerce(旧 Magento)に 入力 検証 の 不備 に よる セッション 乗っ取り 脆弱性 が 存在 します。ユーザー の 操作 なし で 攻撃 が 可能 であり、機密性 と 完全性 へ の 影響 が 高い と 評価 されて います。CISA KEV に 登録 済み で 実際 の 悪用 が 確認 されて います。
- CVSS: 9.1(Critical)
- CWE: CWE-20(不適切 な 入力 検証)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 以前
- 参照: APSB25-88 / CISA KEV
Adobe Commerce / Magento を 運用 して いる 場合 は 最優先 で パッチ を 適用 してください。
Django セキュリティ アップデート — 5件 の 脆弱性 修正
Django 6.0.4 / 5.2.13 / 4.2.30 が リリース され、5件 の セキュリティ 脆弱性 が 修正 されました。ASGI を 使用 して いる 環境 で は 特に 注意 が 必要 です。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-3902 | ASGI ヘッダー 偽装(ハイフン / アンダースコア 混同) | 7.5 |
| CVE-2026-33034 | ASGI Content-Length 検証 バイパス に よる メモリ 枯渇 | 7.5 |
| CVE-2026-33033 | MultiPartParser の base64 空白 に よる DoS | 6.5 |
| CVE-2026-4292 | ModelAdmin.list_editable の 権限 不備 | Low |
| CVE-2026-4277 | GenericInlineModelAdmin の 権限 検証 不備 | Low |
CVE-2026-3902 は ASGIRequest が ハイフン と アンダースコア を 同一視 して ヘッダー を 変換 する ため、リモート 攻撃者 が 認証・認可 ヘッダー を 偽装 できる 問題 です。CVE-2026-33034 は ASGI 環境 で Content-Length ヘッダー が 欠落 または 過小 な 場合、DATA_UPLOAD_MAX_MEMORY_SIZE 制限 を バイパス して 無制限 の リクエスト ボディ を メモリ に 読み込ませる DoS 攻撃 が 可能 です。
Django を 使用 中 の 場合 は 速やか に 修正 バージョン へ アップデート する こと を 推奨 します。特に ASGI 環境(Daphne / Uvicorn 等)で は 優先度 を 上げて ください。
Vite セキュリティ 修正 — 3件 の ファイル 読み取り 脆弱性
Vite 8.0.5 / 7.3.2 / 6.4.2 で 3件 の セキュリティ 脆弱性 が 修正 されました。いずれ も 開発 サーバー を ネットワーク に 公開 して いる 場合(--host オプション 使用時)に 影響 します。
| CVE | 概要 | 深刻度 |
|---|---|---|
| CVE-2026-39363 | WebSocket 経由 の 任意 ファイル 読み取り(server.fs 未 適用) | High |
| CVE-2026-39364 | server.fs.deny の クエリ 文字列 に よる バイパス | High |
| CVE-2026-39365 | .map ファイル の パス トラバーサル | Medium |
CVE-2026-39363 は fetchModule メソッド が server.fs の アクセス 制限 を 適用 しない ため、WebSocket 経由 で サーバー 上 の 任意 ファイル を 読み取れる 問題 です。CVE-2026-39364 は server.fs.deny で 指定 した ファイル が クエリ 文字列 付き の リクエスト で アクセス 可能 に なる バイパス です。
Vite 開発 サーバー を --host で ネットワーク 公開 して いる 場合 は アップデート を 推奨 します。
Next.js Server Components DoS(CVSS 7.5)
Next.js 13.x〜16.x の App Router で、React Server Components に 起因 する DoS 脆弱性 が 報告 されました(GHSA-q4gf-8mx6-v5v3)。上流 の React 側 で CVE-2026-23869 と して 追跡 されて います。
- 修正: Next.js 15.5.15 / 16.2.3
- 参照: GHSA-q4gf-8mx6-v5v3 / Vercel Changelog
CVE-2026-34621 — Adobe Acrobat Reader Prototype Pollution(CVSS 8.6)
Adobe Acrobat Reader に Prototype Pollution 脆弱性 が 存在 し、悪意 の ある PDF ファイル を 開く こと で 任意 コード 実行 の 可能性 が あります。ユーザー 操作(ファイル を 開く こと)が 必要 です が、PDF は 攻撃 ベクトル と して 広く 利用 される ため 注意 が 必要 です。
- 影響: Acrobat Reader 24.001.30356, 26.001.21367 以前
- 参照: APSB26-43
Totolink A7100RU OS コマンド インジェクション — 11件 Critical(CVSS 9.8)
Totolink A7100RU ルーター の CGI ハンドラー(/cgi-bin/cstecgi.cgi)に 11件 の OS コマンド インジェクション 脆弱性 が 報告 されました。いずれ も CVSS 9.8 で リモート から 認証 なし で 悪用 可能 です。ファームウェア 7.4cu.2313_b20191024 が 対象 です。
- CVE: CVE-2026-6112〜CVE-2026-6116, CVE-2026-6131, CVE-2026-6132, CVE-2026-6138〜CVE-2026-6140
- 対策: 当該 ルーター を 使用 中 の 場合、メーカー から の ファームウェア 更新 を 確認 してください
Tenda F451 スタック バッファ オーバーフロー — 10件 High(CVSS 8.8)
Tenda F451 ルーター(1.0.0.7 / 1.0.0.7_cn_svn7958)の httpd に 10件 の スタック バッファ オーバーフロー が 報告 されました。リモート から 攻撃 可能 です。
その他 の 注目 CVE
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2025-40931 | Apache::Session::Generate::MD5 安全 でない セッション ID 生成 | 9.1 |
| CVE-2026-40393 | Mesa WebGPU 境界外 メモリ アクセス | 8.1 |
| CVE-2026-6110 | MetaGPT Tree-of-Thought コード インジェクション | 7.3 |
| CVE-2026-6130 | Chatbox MCP サーバー OS コマンド インジェクション | 7.3 |
| CVE-2026-6126 | chatgpt-on-wechat CowAgent 認証 欠如 | 7.3 |
| CVE-2026-35515 | @nestjs/core SSE ストリーム インジェクション | Medium |
| CVE-2026-5704 | tar 隠し ファイル インジェクション | 5.0 |
| CVE-2026-31413 | Linux kernel BPF スカラー フォーキング 不備 | N/A |
AI ツール 関連 では MetaGPT、chatgpt-on-wechat、Chatbox の 3 プロジェクト に 脆弱性 が 報告 されて います。MCP サーバー 経由 の コマンド インジェクション(Chatbox CVE-2026-6130)は AI エージェント の セキュリティ と して 注目 すべき 傾向 です。
エコシステム 別 サマリー
npm(6件)
| パッケージ | 脆弱性 | 修正 バージョン |
|---|---|---|
| next | Server Components DoS | 15.5.15 / 16.2.3 |
| vite | WebSocket 経由 ファイル 読み取り | 8.0.5 / 7.3.2 / 6.4.2 |
| vite | .map パス トラバーサル | 8.0.5 / 7.3.2 / 6.4.2 |
| vite | server.fs.deny バイパス | 8.0.5 / 7.3.2 |
| astro | リモート 許可 リスト バイパス | 5.18.1 |
| @nestjs/core | SSE ストリーム インジェクション | 11.1.18 |
PyPI(5件)
| パッケージ | 脆弱性 | 修正 バージョン |
|---|---|---|
| django | ASGI ヘッダー 偽装 | 6.0.4 / 5.2.13 / 4.2.30 |
| django | Content-Length 検証 バイパス DoS | 6.0.4 / 5.2.13 / 4.2.30 |
| django | MultiPartParser base64 DoS | 6.0.4 / 5.2.13 / 4.2.30 |
| django | list_editable 権限 不備 | 6.0.4 / 5.2.13 / 4.2.30 |
| django | GenericInlineModelAdmin 権限 不備 | 6.0.4 / 5.2.13 / 4.2.30 |
JVN 日本語 情報
本日 の MyJVN に は 該当 する 脆弱性 対策 情報 は ありませんでした。
まとめ
本日 は Web フレームワーク の セキュリティ 修正 が 目立つ 日 でした。Django は ASGI 環境 に おける ヘッダー 偽装 と DoS を 含む 5件、Vite は 開発 サーバー の ファイル 読み取り を 含む 3件 が 修正 されて います。Next.js の App Router に も DoS 脆弱性 が 報告 されて おり、モダン Web 開発 スタック 全般 で 影響 が ある 1日 です。利用 中 の フレームワーク バージョン を 確認 し、早め の アップデート を 推奨 します。
Adobe Commerce の CVE-2025-54236 は CISA KEV 登録 済み で 実際 の 悪用 が 確認 されて います。運用 中 の 場合 は 最優先 で パッチ 適用 してください。NVD の Critical 13件 は 大半 が Totolink A7100RU の OS コマンド インジェクション(11件、CVSS 9.8)で、一般的 な Web 開発 環境 へ の 影響 は 限定的 です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。