OSV で 7件 の 脆弱性 が 報告 され、うち High が 3件 です。Django の セキュリティ リリース(6.0.4 / 5.2.13 / 4.2.30)で ASGI 関連 の DoS・ヘッダ 偽装 を 含む 5件 が 修正 されて おり、Django 利用者 は アップデート を 推奨 します。Next.js Server Components の DoS(CVSS 7.5)も 15.5.15 / 16.2.3 で 修正済み です。NVD 200件 は 1990年代 CVE の 再評価 が 中心 です。
本日 の 概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 200件 | 2件 | 3件 | 0件 | 195件 |
| OSV | 7件 | 0件 | 3件 | 2件 | 2件 |
| GHSA | 0件 | — | — | — | — |
| MyJVN | 3件 | 0件 | 0件 | 2件 | 1件 |
※ NVD の Critical / High は いずれも 1990年代 の 古い CVE の 再スコアリング です
Critical / High 脆弱性 の 詳細
CVE-2026-33034 — Django ASGI Content-Length バイパス による DoS(CVSS 7.5)
Django の ASGI リクエスト 処理 に おいて、Content-Length ヘッダ が 未指定 または 過小 な 値 の 場合、DATA_UPLOAD_MAX_MEMORY_SIZE 制限 を バイパス して 無制限 の リクエスト ボディ を メモリ に 読み込める 脆弱性 が 存在 します。認証 不要 で リモート から の DoS 攻撃 に つながります。
- CVSS: 7.5(High) / AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響: Django 6.0〜6.0.3, 5.2〜5.2.12, 4.2〜4.2.29(ASGI 使用時)
- 修正: 6.0.4 / 5.2.13 / 4.2.30
- 参照: NVD / Django セキュリティ リリース
CVE-2026-3902 — Django ASGI ヘッダ スプーフィング(CVSS 7.5)
Django の ASGIRequest に、ハイフン と アンダースコア の 2種類 の ヘッダ 変種 が 同一 の アンダースコア 版 に マッピング される 曖昧性 を 利用 した ヘッダ 偽装 の 脆弱性 が 存在 します。認証 や アクセス制御 に HTTP ヘッダ を 使用 している 場合、バイパス の 可能性 が あります。
- CVSS: 7.5(High) / AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N
- 影響: Django 6.0〜6.0.3, 5.2〜5.2.12, 4.2〜4.2.29(ASGI 使用時)
- 修正: 6.0.4 / 5.2.13 / 4.2.30
- 参照: NVD / Django セキュリティ リリース
CVE-2026-23869 — Next.js Server Components DoS(CVSS 7.5)
React Server Components パッケージ の 脆弱性 に より、Next.js 13.x〜16.x の App Router 使用時 に 特定 の HTTP リクエスト で サーバー が DoS 状態 に なる 可能性 が あります。上流 の React 側 で 追跡 されて おり、Next.js 15.5.15 / 16.2.3 で 修正済み です。
- CVSS: 7.5(High) / AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H
- 影響: Next.js 13.x, 14.x, 15.x, 16.x(App Router 使用時)
- 修正: 15.5.15 / 16.2.3
- 参照: GHSA-q4gf-8mx6-v5v3 / Vercel Changelog
その他 の Django セキュリティ 修正
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-33033 | MultiPartParser base64 ホワイトスペース による DoS | 6.5(Medium) |
| CVE-2026-35515 | @nestjs/core SseStream SSE インジェクション | 5.3(Medium) |
| CVE-2026-4292 | ModelAdmin.list_editable 権限 バイパス | 2.7(Low) |
| CVE-2026-4277 | GenericInlineModelAdmin 権限 バイパス | 2.3(Low) |
Django は 計 5件 の 脆弱性 を 一括 で セキュリティ リリース しています。6.0.4 / 5.2.13 / 4.2.30 で すべて 修正済み の ため、まとめて アップデート する こと を 推奨 します。
エコシステム 別 サマリー
OSV エコシステム 分布
| エコシステム | 件数 | 主な 内容 |
|---|---|---|
| PyPI | 5件 | Django セキュリティ リリース 5件(ASGI DoS / ヘッダ偽装 / MultiPartParser / 権限バイパス ×2) |
| npm | 2件 | Next.js Server Components DoS / @nestjs/core SSE インジェクション |
Django が 5件 を 占め、PyPI エコシステム に 集中 しています。npm では Next.js と NestJS の 脆弱性 が 報告 されて います。NestJS の CVE-2026-35515 は SSE ストリーム の type / id フィールド に 改行 が 注入 可能 な 問題 で、@nestjs/core 11.1.18 で 修正済み です。
JVN 日本語 情報
JVNDB-2026-000056 — Arcserve UDP Console リダイレクト 脆弱性
Arcserve 製 UDP Console に、不適切 に 指定 された 接続先 へ リダイレクト される 脆弱性(CVE-2026-40118)が 存在 します。CVSS 6.3(Medium)で、通信 チャネル の 接続先 指定 の 不備(CWE-941)が 原因 です。
- CVSS: 6.3(Medium)
- 参照: JVN iPedia
JVNDB-2026-000055 — GROWI 格納型 XSS
GROWI に 格納型 クロスサイト スクリプティング の 脆弱性(CVE-2026-26291)が 存在 します。CVSS 5.4(Medium)。GROWI を 利用 して いる 場合 は 最新版 への アップデート を 推奨 します。
- CVSS: 5.4(Medium) / CWE-79
- 参照: JVN iPedia
JVNDB-2026-011246 — Siemens 製品 アップデート(2026年4月)
Siemens から 2026年4月 の セキュリティ アップデート が 発行 されて います。SCALANCE W-700、RUGGEDCOM CROSSBOW 等 複数 製品 が 対象 です。ICS 環境 の 管理者 は 確認 を 推奨 します。
- 参照: JVN iPedia
まとめ
本日 は Django の セキュリティ リリース が 最大 の トピック です。ASGI 使用 環境 で の Content-Length バイパス DoS(CVE-2026-33034)と ヘッダ スプーフィング(CVE-2026-3902)は ともに CVSS 7.5 で、認証 不要 の ネットワーク 経由 攻撃 が 可能 です。Django 4.2 / 5.2 / 6.0 系 を 使用 中 の 場合 は 速やかに パッチ バージョン へ の アップデート を 推奨 します。
Next.js の Server Components DoS(CVE-2026-23869)も CVSS 7.5 で、App Router 使用者 は 15.5.15 / 16.2.3 へ の 更新 を 検討 して ください。NVD 200件 は 1990年代 CVE の 再評価 が 中心 で、現行 システム へ の 影響 は 限定的 です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。