NVDで200件のCVE更新があり、うちCritical 6件・High 52件です。Immutable.jsのPrototype Pollution(CVSS 9.8)がnpmエコシステムに広く影響します。Djangoは5件のセキュリティ修正を含む一括リリース(6.0.4 / 5.2.13 / 4.2.30)を公開。GHSAは287件更新(Critical 17件)、OSVは7件(Django・Next.js・NestJS)です。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 200件 | 6件 | 52件 | 55件 | 87件 |
| GHSA | 287件 | 17件 | 72件 | 88件 | 110件 |
| OSV | 7件 | 0件 | 3件 | 2件 | 2件 |
| MyJVN | 1件 | 0件 | 1件 | 0件 | 0件 |
Critical / High 脆弱性の詳細
CVE-2026-29063 — Immutable.js Prototype Pollution(CVSS 9.8)
Immutable.js の mergeDeep()、mergeDeepWith()、merge()、Map.toJS()、Map.toObject() APIにPrototype Pollutionの脆弱性があります。React/Redux環境で広く使われるライブラリのため影響範囲が大きく、早期のアップデートを推奨します。
- CVSS: 9.8(Critical)
- 影響: Immutable.js < 3.8.3 / < 4.3.7 / < 5.1.5
- 修正: 3.8.3, 4.3.7, 5.1.5
- 参照: NVD / GHSA-wf6x-7x77-mvgw
CVE-2026-34582 — Botan TLS 1.3 クライアント認証バイパス(CVSS 9.1)
Botan 3.11.1未満のTLS 1.3実装で、ApplicationDataレコードがFinishedメッセージ受信前に処理される脆弱性です。クライアント証明書認証を要求するサーバーに対し、認証メッセージを省略して認証をバイパスできます。mTLS環境では致命的な影響があります。
- CVSS: 9.1(Critical)
- 影響: Botan < 3.11.1
- 修正: 3.11.1
- 参照: NVD / GHSA-pxcj-9ppx-g86g
Django セキュリティリリース — 5件の脆弱性修正
Django 6.0.4 / 5.2.13 / 4.2.30がリリースされ、以下の脆弱性が修正されています。
| CVE | 概要 | 深刻度 |
|---|---|---|
| CVE-2026-33034 | Content-Length未設定でDATA_UPLOAD_MAX_MEMORY_SIZEバイパス | High |
| CVE-2026-3902 | ASGIヘッダーのアンダースコア/ハイフン混同による偽装 | High |
| CVE-2026-33033 | MultiPartParser base64ホワイトスペースによるDoS | Medium |
| CVE-2026-4277 | GenericInlineModelAdmin権限バイパス | Low |
| CVE-2026-4292 | ModelAdmin.list_editable不正インスタンス作成 | Low |
Django利用者は 6.0.4 / 5.2.13 / 4.2.30 へのアップデートを推奨します。
GHSA-q4gf-8mx6-v5v3 — Next.js Server Components DoS
Next.js 13.x〜16.xのApp Routerで、特別に細工されたHTTPリクエストによりDoSが発生する脆弱性です。上流のCVE-2026-23869(React Server Components)に起因します。
- 影響: Next.js 13.x / 14.x / 15.x / 16.x(App Router使用時)
- 修正: 15.5.15 / 16.2.3
- 参照: GHSA-q4gf-8mx6-v5v3
HashiCorp Vault — 2件のセキュリティアドバイザリ
| CVE | 概要 | 深刻度 |
|---|---|---|
| CVE-2026-4525 | ヘッダーサニタイズ不備によるAuth Pluginへのトークン漏洩 | High |
| CVE-2026-5807 | 未認証のRoot Token生成/Rekey操作によるDoS | High |
Vault利用者はセキュリティアドバイザリを確認してください。
その他の注目 Critical / High
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-32892 | Chamilo LMS OSコマンドインジェクション | 9.1(Critical) |
| CVE-2026-33810 | Go 証明書検証 DNS wildcard制約バイパス | 8.2(High) |
| CVE-2026-40111 | PraisonAIAgents shell=True コマンドインジェクション | 8.8(High) |
| CVE-2026-35515 | @nestjs/core SSEストリーム改行インジェクション | Moderate |
| CVE-2026-33894 | node-forge RSASSA-PKCS1-v1.5 署名偽造(e=3) | 7.5(High) |
エコシステム別サマリー
| エコシステム | GHSA件数 | 主な内容 |
|---|---|---|
| npm | 65件 | OpenClaw多数 / Flowise SSRF・IDOR / compressing シンボリックリンク |
| Go | 16件 | HashiCorp Vault / Dapr ACLバイパス / go-git 認証情報漏洩 / Nhost OAuth |
| PyPI | 14件 | Django 5件 / NLTK任意ファイル読み取り |
| crates.io | 13件 | Zebra コンセンサス乖離・DoS / SP1 回路バグ |
| Maven | 12件 | 過去CVE更新が中心 |
GHSAではOpenClawに約30件のアドバイザリが集中公開されています。Flowise(AI自動化ツール)にもSSRF保護バイパス・Mass Assignment・未認証TTS利用の3件が報告されています。go-gitにはクロスホストリダイレクト時の認証情報漏洩(GHSA-3xc5-wrhm-f963)、DaprにはService InvocationのパストラバーサルによるACLバイパス(GHSA-85gx-3qv6-4463)が報告されています。
JVN 日本語情報
JVNDB-2026-000057 — CubeCart 複数の脆弱性(CVSS 7.2)
CubeCartにOSコマンドインジェクション(CVE-2026-21719)、SQLインジェクション(CVE-2026-34018)、パストラバーサル(CVE-2026-35496)の3件が報告されています。CubeCart利用者は最新版へのアップデートを推奨します。
- 参照: JVN iPedia
まとめ
本日はImmutable.js(CVSS 9.8)のPrototype Pollutionが最もスコアが高く、React/Reduxプロジェクトではバージョン確認を推奨します。Djangoはセキュリティリリース(6.0.4 / 5.2.13 / 4.2.30)で5件を一括修正しており、特にContent-Lengthバイパス(CVE-2026-33034)とASGIヘッダー偽装(CVE-2026-3902)は認証なしで悪用可能なため早めの対応が望ましいです。Botan TLS 1.3のクライアント認証バイパス(CVE-2026-34582)はmTLS環境で致命的な影響があるため該当者は即時対応を検討してください。HashiCorp VaultとNext.js App Routerにもそれぞれ対応が必要なアドバイザリが出ています。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。