NVDで495件のCVEが公開・更新されました(うちCVSSスコア付き200件)。Critical 14件のうち、NEC Atermシリーズのパストラバーサル・コマンドインジェクション(CVSS 9.8 × 3件)とMovable TypeのSQLインジェクション(CVSS 9.8)が国内環境への影響度が高く、早急な確認を推奨します。OSVではDjangoのセキュリティ修正が12件まとめて反映されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 495件 | 14件 | 73件 | 103件 | 10件 |
| OSV | 14件 | 3件 | 7件 | 2件 | 2件 |
| GHSA | 184件 | 11件 | 56件 | 106件 | 11件 |
| MyJVN | 1件 | 0件 | 1件 | 0件 | 0件 |
※ NVD 495件のうち295件は分析待ち(CVSSスコア未付与)
Critical / High 脆弱性の詳細
NEC Aterm シリーズ — パストラバーサル・コマンドインジェクション 3件(CVSS 9.8)
NEC Platforms製のAtermシリーズルーターに、ネットワーク経由で悪用可能な3件のCritical脆弱性が報告されています。いずれもCVSS 9.8で、認証なしにリモートから攻撃可能です。
| CVE | 概要 | CWE |
|---|---|---|
| CVE-2026-4619 | パストラバーサルによる任意ファイル書き込み | CWE-22 |
| CVE-2026-4620 | OSコマンドインジェクション | CWE-78 |
| CVE-2026-4622 | OSコマンドインジェクション(別エンドポイント) | CWE-78 |
- CVSS: 9.8(Critical)× 3件
- 参照: NEC セキュリティ情報
Atermシリーズは家庭・SOHO向けルーターとして国内で広く利用されています。NECが公開しているセキュリティ情報を確認し、ファームウェアの更新を推奨します。
CVE-2026-33088 — Movable Type SQLインジェクション(CVSS 9.8)
Six Apart製CMS「Movable Type」にSQLインジェクションの脆弱性があり、任意のSQL文の実行が可能です。国内で広く利用されているCMSであり、影響範囲が大きい可能性があります。
- CVSS: 9.8(Critical)
- CWE: CWE-89(SQLインジェクション)
- 修正: MT 9.07で修正済み
- 参照: JVN / Movable Typeリリースノート
CVE-2026-4747 — FreeBSD RPCSEC_GSS スタックオーバーフロー(CVSS 8.8)
FreeBSDのkgssapi.koにおけるRPCSEC_GSS実装にスタックオーバーフローの脆弱性が存在します。認証不要でパケット送信が可能な攻撃者により、カーネル内でのリモートコード実行が可能です。NFSサーバーを公開している環境では特に注意が必要です。
- CVSS: 8.8(High)
- CWE: CWE-121(スタックベースバッファオーバーフロー)
- 参照: FreeBSD Security Advisory
CVE-2026-33810 — Go crypto/x509 証明書検証バイパス(CVSS 8.2)
Goの crypto/x509 パッケージにおいて、DNS名前制約の検証にバイパスが可能な脆弱性があります。ワイルドカードDNS SANの大文字・小文字が制約と異なる場合に、excluded DNS constraintが正しく適用されません。信頼されたCAから発行された証明書チェーンの検証時にのみ影響します。
- CVSS: 8.2(High)
- CWE: CWE-295(不正な証明書検証)
- 修正: Go CL 763763
- 参照: NVD / Go Issue 78332
Go製のサービスでTLS証明書検証を行っている場合は、ランタイムのアップデートを検討してください。
PraisonAI — 複数のCritical脆弱性(CVSS 9.1〜9.8)
AIマルチエージェントフレームワーク「PraisonAI」に、ワークフローYAMLを介した任意コード実行やSQLインジェクションなど、4件のCritical脆弱性が報告されています。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-40288 | ワークフローYAML経由の任意コード実行 | 9.8 |
| CVE-2026-40315 | SQLiteConversationStoreのSQLインジェクション | 9.8 |
| CVE-2026-40289 | ブラウザブリッジのセッションハイジャック | 9.1 |
| CVE-2026-40313 | GitHub Actions認証情報漏洩 | 9.1 |
いずれもPraisonAI 4.5.139以前が対象で、4.5.139〜4.5.140で修正されています。
Django セキュリティ一斉修正 — 12件
OSVデータにDjangoのセキュリティ修正が12件反映されています。SQLインジェクション関連が最も深刻で、DoS・ヘッダースプーフィング・権限昇格まで幅広い修正が含まれます。
SQLインジェクション(Critical / High)
| CVE | 概要 | 修正バージョン |
|---|---|---|
| CVE-2026-1287 | FilteredRelationのカラムエイリアス経由 | 6.0.2 / 5.2.11 / 4.2.28 |
| CVE-2026-1207 | RasterField(PostGIS)のバンドインデックス経由 | 6.0.2 / 5.2.11 / 4.2.28 |
| CVE-2025-64459 | QuerySet._connector経由 | 5.2.8 / 5.1.14 / 4.2.26 |
| CVE-2025-59681 | カラムエイリアス経由(MySQL/MariaDB) | 5.2.7 / 5.1.13 / 4.2.25 |
| CVE-2025-57833 | FilteredRelationカラムエイリアス経由 | 5.2.6 / 5.1.12 / 4.2.24 |
DoS / ヘッダースプーフィング(High)
| CVE | 概要 | 修正バージョン |
|---|---|---|
| CVE-2026-33034 | ASGI Content-Length不正によるメモリ消費 | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-3902 | ASGIヘッダースプーフィング | 6.0.4 / 5.2.13 / 4.2.30 |
| CVE-2026-25673 | URLField.to_python()のDoS(Windows) | 6.0.3 / 5.2.12 / 4.2.29 |
| CVE-2025-64458 | HttpResponseRedirectのDoS(Windows) | 5.2.8 / 5.1.14 / 4.2.26 |
| CVE-2026-33033 | MultiPartParserのDoS | 6.0.4 / 5.2.13 / 4.2.30 |
Django利用者は、使用バージョンに対応する最新のセキュリティリリースへのアップデートを推奨します。最新の修正バージョンは Django 6.0.4 / 5.2.13 / 4.2.30 です。
エコシステム別サマリー
OSVデータでは以下のエコシステムに脆弱性が報告されています。
| エコシステム | 件数 | 主な対象 |
|---|---|---|
| PyPI | 21件 | Django(12件のセキュリティ修正) |
| npm | 2件 | Next.js DoS、NestJS SSEインジェクション |
Next.js(GHSA-q4gf-8mx6-v5v3): App Router使用時にServer Componentsへの特殊なHTTPリクエストでDoSが可能。15.5.15 / 16.2.3で修正済み。
NestJS(CVE-2026-35515): @nestjs/core の SseStream._transform() でSSEプロトコルへのインジェクションが可能。11.1.18で修正済み。
GHSAではPodmanのsymlink traversal(CVE-2025-9566、Go)やPHPUnitの引数インジェクション(GHSA-qrr6-mg7r-m243、Packagist)も注目です。
JVN 日本語情報
JVNDB-2026-000051 — SKYSEA Client View 不適切なファイルアクセス権設定(CVSS 7.8)
Sky株式会社のIT資産管理ツール「SKYSEA Client View」および「SKYMEC IT Manager」に、インストールフォルダにおける不適切なファイルアクセス権設定の脆弱性(CWE-276)が報告されています。CVE-2026-39454として採番されています。
- CVSS: 7.8(High)
- 影響: SKYSEA Client View / SKYMEC IT Manager利用環境
- 参照: JVN iPedia
国内企業で広く導入されているIT資産管理ツールのため、利用者はベンダーの修正情報を確認してください。
まとめ
本日はNVDの更新が495件と大量です。NEC Atermシリーズへの3件のCritical脆弱性(CVSS 9.8)は、国内家庭・SOHOネットワークへの影響が大きいため最優先で確認してください。Movable Type(CVSS 9.8)もCMS利用者への影響が大きく、MT 9.07への更新を推奨します。Djangoは12件のセキュリティ修正が一斉に反映されており、特にSQLインジェクション5件は深刻度が高いため、Django利用者は最新パッチバージョンへの更新を検討してください。Go crypto/x509の証明書検証バイパス(CVE-2026-33810)もTLSを利用するGoサービスでは要確認です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。