【セキュリティ日報】AxiosにCVSS 9.9のSSRF脆弱性ほか Critical 15件

項目	優先度	対応	影響対象	クイックアクション
Axios NO_PROXYバイパスSSRF CVE-2025-62718	high	対応必須	Axios利用者（npm）	Axios 1.15.0 / 0.31.0へアップデート
Goコンパイラループ変数整数オーバーフロー CVE-2026-27143	high	対応必須	Go開発者	Goの最新パッチバージョンへアップデート
Nginx UI MCP認証バイパス CVE-2026-33032	high	対応必須	Nginx UI利用者	パッチ未提供のためアクセス制限を強化
Spring AI SpELインジェクション CVE-2026-22738	high	対応必須	Spring AI SimpleVectorStore利用者	Spring AI 1.0.5 / 1.1.4へアップデート
Apache ActiveMQ Jolokia RCE（KEV登録済み） CVE-2026-34197	high	対応必須	Apache ActiveMQ利用者	ActiveMQ 5.19.4 / 6.2.3へアップデート
GitHub Enterprise Server pushオプションRCE CVE-2026-3854	high	推奨	GitHub Enterprise Server管理者	GHES最新パッチバージョンへアップデート
Helm プラグインパストラバーサル CVE-2026-35204	high	推奨	Helm 4.x利用者	Helm 4.1.4へアップデート

NVDで906件のCVE更新があり、うちCritical 15件・High 75件です。AxiosのNO_PROXYバイパスによるSSRF（CVSS 9.9）が最も深刻で、npmエコシステムに広く影響します。GoコンパイラやNginx UI、Spring AIにもCVSS 9.8のCriticalが報告されています。GHSAは89件更新（Critical 9件）、MyJVNは3件です。

本日の概要

ソース	更新件数	Critical	High	Medium	Low/None
NVD	906件	15件	75件	77件	33件
GHSA	89件	9件	34件	43件	3件
OSV	0件	—	—	—	—
MyJVN	3件	0件	1件	1件	1件

※ NVD 906件には過去CVEの再スコアリングを含みます。2026年4月公開分は156件です

Critical / High 脆弱性の詳細

CVE-2025-62718 — Axios NO_PROXYバイパスによるSSRF（CVSS 9.9）

Axios 1.15.0 / 0.31.0 未満で、localhost.（末尾ドット）や [::1]（IPv6）等のループバックアドレスが NO_PROXY ルールのマッチングをすり抜け、設定済みプロキシを経由してしまう脆弱性です。SSRF攻撃により内部サービスへの不正アクセスにつながります。

CVSS: 9.9（Critical）
影響: Axios < 1.15.0 / < 0.31.0
修正: 1.15.0 / 0.31.0
参照: NVD

CVE-2026-27143 — Goコンパイラループ変数の整数オーバーフロー（CVSS 9.8）

Goコンパイラにおいてループの誘導変数に対するアンダーフロー・オーバーフローの検査が不十分で、実行時に不正なインデックスアクセスが発生しメモリ破壊につながる脆弱性です。

CVSS: 9.8（Critical）
影響: Go（修正前バージョン）
修正: Go CL 763765 / GO-2026-4868
参照: NVD

CVE-2026-33032 — Nginx UI MCP認証バイパスによるサービス乗っ取り（CVSS 9.8）

Nginx UI 2.3.5以前のMCP統合で、/mcp_messageエンドポイントに認証が適用されていません。デフォルトのIPホワイトリストが空のため全アクセスが許可され、認証なしでnginx設定の変更・再起動が可能です。パッチ未提供のため回避策の適用を推奨します。

CVSS: 9.8（Critical）
影響: Nginx UI ≤ 2.3.5
修正: パッチ未提供（2026年4月18日時点）
参照: NVD / GHSA-h6c2-x2m2-mwhf

CVE-2026-22738 — Spring AI SimpleVectorStore SpELインジェクション（CVSS 9.8）

Spring AI の SimpleVectorStore で、ユーザー入力がフィルター式のキーとして使用される際にSpELインジェクションが可能です。任意コード実行につながります。

CVSS: 9.8（Critical）
影響: Spring AI 1.0.0〜1.0.4, 1.1.0〜1.1.3
修正: 1.0.5 / 1.1.4
参照: NVD / Spring Security Advisory

CVE-2026-34197 — Apache ActiveMQ Jolokia経由コードインジェクション（CVSS 8.8）

Apache ActiveMQ Classic のJolokia JMX-HTTPブリッジを悪用し、認証済み攻撃者がリモートSpring XML設定のロードを通じて任意コード実行が可能です。CISA KEV（既知の悪用済み脆弱性）に登録済みのため、早急な対応を推奨します。

CVSS: 8.8（High）
影響: ActiveMQ < 5.19.4, 6.0.0〜6.2.2
修正: 5.19.4 / 6.2.3
参照: NVD / CISA KEV

CVE-2026-3854 — GitHub Enterprise Server pushオプション経由RCE（CVSS 8.8）

GitHub Enterprise Serverで、git pushオプション値が内部サービスヘッダーに適切にサニタイズされず組み込まれる脆弱性です。リポジトリへのpush権限を持つ攻撃者がメタデータフィールドを注入しRCEが可能です。

CVSS: 8.8（High）
影響: GHES 3.14〜3.19（修正前）
修正: 3.14.25, 3.15.20, 3.16.16, 3.17.13, 3.18.7, 3.19.4
参照: NVD

CVE-2026-35204 — Helm プラグインインストール時のパストラバーサル（CVSS 8.6）

Helm 4.0.0〜4.1.3で、悪意のあるプラグインのplugin.yamlにパストラバーサルを含めることで任意のファイルシステム位置に書き込みが可能です。

CVSS: 8.6（High）
影響: Helm 4.0.0〜4.1.3
修正: 4.1.4
参照: NVD / GHSA-vmx8-mqv2-9gmg

その他の注目 Critical / High

CVE	概要	CVSS
CVE-2025-57735	Apache Airflow ログアウト時JWT未無効化	9.1（Critical）
CVE-2026-5187	wolfSSL DecodeObjectId ヒープOOB書き込み	9.8（Critical）
CVE-2026-40088	PraisonAI コマンドインジェクション	9.6（Critical）
CVE-2026-27140	Go SWIG cgoコード密輸	8.8（High）
CVE-2026-32316	jq 整数オーバーフローによるヒープ破壊	8.2（High）
CVE-2026-20039	Cisco ASA/FTD VPN DoS	8.6（High）

エコシステム別サマリー

エコシステム	件数	主な内容
Maven	11件+	Spring AI SpELインジェクション / ActiveMQ RCE / Bouncy Castle / Hibernate
NuGet	6件	.NET / .NET Framework DoS（CVE-2026-33116, CVE-2026-26171）
npm	数件	Axios SSRF（CVSS 9.9） / simple-git
Go	数件	Goコンパイラメモリ破壊 / Helm パストラバーサル / Go SWIG
PyPI	数件	PraisonAI コマンドインジェクション / Airflow JWT / Unfurl
RubyGems	2件	http gem 情報漏洩（古いCVE更新）

GHSAではMaven系のBouncy Castle（CVE-2025-14813, Critical）やWordPressプラグインのバックドア（CVE-2026-6443, Critical）、Veeam製品の脆弱性（CVE-2026-21708, Critical）なども更新されています。

JVN 日本語情報

JVNDB-2026-000057 — CubeCart 複数の脆弱性（CVSS 7.2）

CubeCart にOSコマンドインジェクション（CVE-2026-21719）、SQLインジェクション（CVE-2026-34018）、パストラバーサル（CVE-2026-35496）の3件の脆弱性が報告されています。CVSS 7.2（High）で、CubeCart利用者は最新版へのアップデートを推奨します。

参照: JVN iPedia

JVNDB-2026-000056 — Arcserve UDP Console リダイレクト脆弱性

Arcserve UDP Consoleに通信チャネルの接続先指定の不備（CWE-941）による脆弱性が存在します。CVSS 6.3（Medium）。

参照: JVN iPedia

JVNDB-2026-011472 — オムロン UPS管理アプリ DLL読み込み脆弱性

オムロン製UPS管理アプリケーションにDLL検索パスの問題（CWE-427）があり、同一ディレクトリの特定DLLを読み込む可能性があります。

参照: JVN iPedia

まとめ

本日はCritical 15件と多く、特にAxios（CVSS 9.9）のNO_PROXYバイパスはnpmの利用範囲を考えると影響が広いため、1.15.0への早期アップデートを推奨します。GoコンパイラのCVE-2026-27143（9.8）もGo開発者全般に影響するため要確認です。Apache ActiveMQ（CVE-2026-34197）はCISA KEVに登録されており、実際の悪用が確認されているため優先度の高い対応が必要です。Nginx UIのMCP認証バイパス（CVE-2026-33032）はパッチ未提供のため、Nginx UIを公開環境で使用している場合はアクセス制限の強化を検討してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。