NVDで843件の更新があり、Critical 37件・High 91件を含みます。Azure Cloud ShellにCVSS 10.0のSSRF脆弱性(CVE-2026-32169)が最も深刻です。Webフレームワーク関連ではDjango 4.2/5.2/6.0に5件、Vite開発サーバーに3件の脆弱性修正がリリースされています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low |
|---|---|---|---|---|---|
| NVD | 843件 | 37件 | 91件 | 83件 | 6件 |
| OSV | 11件 | — | 5件 | 4件 | 2件 |
| GHSA | 0件 | — | — | — | — |
| MyJVN | 1件 | — | — | 1件 | — |
Critical / High 脆弱性の詳細
CVE-2026-32169 — Azure Cloud Shell SSRF(CVSS 10.0)
Azure Cloud Shellにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見されました。認証なしでネットワーク経由の特権昇格が可能です。
CVE-2026-28292 — simple-git RCE(CVSS 9.8)
Node.jsのGitクライアントライブラリ simple-git に、過去のCVE修正(CVE-2022-25860, CVE-2022-25912)をバイパスするRCE脆弱性が発見されました。ホストマシン上で任意のOSコマンドを実行される可能性があります。
- CVSS: 9.8(Critical) / CWE-78, CWE-178
- 影響: simple-git 3.15.0〜3.32.2
- 修正: 3.23.0(詳細はGitHub Advisoryを参照)
- 参照: GitHub Advisory / NVD
CVE-2026-21643 — FortiClientEMS SQLインジェクション(CVSS 9.8 / CISA KEV)
Fortinet FortiClientEMS 7.4.4にSQLインジェクションの脆弱性が存在します。認証不要でHTTPリクエスト経由の任意コード実行が可能です。CISA KEV(既知の悪用済み脆弱性カタログ)に登録されています。
- CVSS: 9.8(Critical) / CWE-89
- 影響: FortiClientEMS 7.4.4
- 修正: Fortinetパッチ適用を推奨
- 参照: FortiGuard / CISA KEV
CVE-2026-2293 — NestJS Fastify認証バイパス(CVSS 9.8)
NestJS + Fastifyアダプタで、Fastifyのパス正規化オプション有効時に認証・認可ミドルウェアをバイパスできる脆弱性です。
- CVSS: 9.8(Critical) / CWE-863
- 影響: @nestjs/platform-fastify(NestJS 11.1.13)
- 修正: v11.1.14以降
- 参照: NVD
Django セキュリティアップデート — 5件の脆弱性修正
Django 6.0.4 / 5.2.13 / 4.2.30で以下の脆弱性が修正されました:
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-33034 | ASGI Content-Length未検証によるメモリ枯渇DoS | 7.5 |
| CVE-2026-3902 | ASGIヘッダー偽装(ハイフン/アンダースコア混同) | 7.5 |
| CVE-2026-33033 | MultiPartParser base64ホワイトスペースDoS | 6.5 |
| CVE-2026-4292 | ModelAdmin.list_editable 権限不備 | 2.7 |
| CVE-2026-4277 | GenericInlineModelAdmin 権限不備 | — |
Django利用者は速やかに各シリーズの最新版へアップデートすることを推奨します。
Vite セキュリティアップデート — 3件の脆弱性修正
Vite 8.0.5 / 7.3.2 / 6.4.2で以下の脆弱性が修正されました。いずれもVite開発サーバーをネットワークに公開している場合に影響します。
| CVE | 概要 | 深刻度 |
|---|---|---|
| CVE-2026-39363 | WebSocket経由の任意ファイル読み取り | High |
| CVE-2026-39364 | server.fs.deny クエリ文字列バイパス | High |
| CVE-2026-39365 | .mapファイルパストラバーサル | Medium |
--hostオプションまたはserver.host設定で開発サーバーを公開している場合は、早めのアップデートを推奨します。
Next.js Server Components DoS(GHSA-q4gf-8mx6-v5v3)
Next.js 13.x〜16.xのApp Router使用時に、特定のHTTPリクエストでサービス拒否が発生する脆弱性です。React Server Componentsの上流脆弱性(CVE-2026-23869)に起因します。
- CVSS: 7.5(High)
- 影響: Next.js 13.x〜16.x(App Router使用時)
- 修正: Next.js 15.5.15 / 16.2.3
- 参照: GitHub Advisory
その他の注目更新(NVD Critical)
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-34938 | PraisonAI execute_code() サンドボックスバイパスRCE | 10.0 |
| CVE-2025-6965 | SQLite 3.50.2未満 メモリ破損 | 9.8 |
| CVE-2026-35022 | Claude Code CLI 認証ヘルパーコマンドインジェクション | 9.8 |
| CVE-2026-35171 | Kedro ロギング設定経由RCE | 9.8 |
| CVE-2026-33729 | OpenFGA キャッシュキー衝突による認可バイパス | 9.8 |
エコシステム別サマリー
OSV エコシステム分布
| エコシステム | 件数 | 主な内容 |
|---|---|---|
| npm | 6件 | Next.js DoS、Viteファイル読み取り3件、Astroパスバイパス、NestJS SSEインジェクション |
| PyPI | 5件 | Djangoセキュリティアップデート5件 |
npmエコシステムではフロントエンド開発ツール(Vite、Next.js)に影響する脆弱性が集中しています。PyPIではDjangoの一括セキュリティリリースが中心です。
JVN 日本語情報
JVNDB-2026-010851 — Dynabook Bluetooth ACPIドライバー バッファオーバーフロー
Dynabook製Bluetooth ACPIドライバーにスタックベースのバッファオーバーフロー(CVE-2026-35553)が存在します。ローカルでの攻撃が前提のため影響は限定的ですが、Dynabook製PCの管理者はドライバ更新の有無を確認してください。
- CVSS: 6.7(Medium) / CWE-121
- 参照: JVN iPedia
まとめ
本日はNVD 843件の更新のうち、Azure Cloud ShellのSSRF(CVSS 10.0)が最も深刻です。Web開発者にとっては、Django 5件・Vite 3件の一括セキュリティリリースが影響範囲の広い更新です。Django利用者は4.2.30 / 5.2.13 / 6.0.4への更新を、Vite利用者は--hostで開発サーバーを公開している場合に8.0.5 / 7.3.2 / 6.4.2への更新を推奨します。
npmエコシステムではsimple-gitのRCE(CVSS 9.8)も要注意です。simple-gitを依存に含むプロジェクトはバージョンを確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。