【セキュリティ日報】RcloneにCritical認証バイパス2件、Django多数修正ほか 588件

項目	優先度	対応	影響対象	クイックアクション
Rclone 未認証options/setによる認証バイパス・コマンド実行 CVE-2026-41176	high	対応必須	Rclone rcd利用者	Rclone 1.73.5へアップデート
Rclone 未認証operations/fsinfoによるコマンド実行 CVE-2026-41179	high	対応必須	Rclone rcd利用者	Rclone 1.73.5へアップデート
OpenVPN auth-oauth2 認証バイパス CVE-2026-41070	high	対応必須	openvpn-auth-oauth2利用者	openvpn-auth-oauth2 1.27.3へアップデート
Apache Airflow XCom経由RCE CVE-2026-25917	high	対応必須	Apache Airflow利用者	apache-airflow-core 3.2.0へアップデート
Flowise CSV Agent プロンプトインジェクションRCE CVE-2026-41264	high	対応必須	Flowise利用者	Flowise 3.1.0へアップデート
lxml XXE脆弱性 CVE-2026-41066	high	推奨	lxml利用者	lxml 6.1.0へアップデート
Tekton Pipeline Git Resolver引数インジェクション CVE-2026-40938	high	推奨	Tekton Pipeline Git Resolver利用者	Tekton Pipeline 1.11.1へアップデート
Django _connector SQLインジェクション CVE-2025-64459	high	対応必須	Django利用者	Django 5.2.8 / 5.1.14 / 4.2.26へアップデート
LiveOn Meet DLL読み込み脆弱性 CVE-2026-32679	high	推奨	LiveOn Meet Windows利用者	ベンダーの修正情報を確認

GHSA（GitHub Advisory Database）で588件のアドバイザリが公開・更新されました。Critical 34件のうち、ファイル同期ツール「Rclone」に未認証でのコマンド実行が可能な脆弱性が2件、OpenVPN認証プラグインに認証バイパスが報告されています。OSVではDjango関連の脆弱性が12件集中して更新されており、SQLインジェクションからDoSまで幅広い修正が含まれます。

本日の概要

ソース	更新件数	Critical	High	Medium	Low/None
GHSA	588件	34件	140件	253件	161件
NVD	200件（※）	—	—	—	—
OSV	15件	0件	8件	5件	2件
MyJVN	3件	0件	2件	1件	0件

※ NVD 200件は2007〜2017年公開のレガシーCVEの一括再スコアリング（新規2026年CVEは0件）

Critical / High 脆弱性の詳細

Rclone — 未認証コマンド実行 2件（Critical）

クラウドストレージ同期ツール「Rclone」にCriticalな認証バイパスの脆弱性が2件報告されています。

CVE	概要
CVE-2026-41176	`options/set` エンドポイントが未認証でアクセス可能。ランタイム認証設定の上書きにより、機密操作やコマンド実行が可能
CVE-2026-41179	`operations/fsinfo` エンドポイントが未認証でアクセス可能。攻撃者が制御するバックエンドのインスタンス化を通じたローカルコマンド実行が可能

深刻度: Critical
エコシステム: Go
修正バージョン: 1.73.5
参照: GitHub Advisory

Rcloneのリモートコントロール機能（rclone rcd）を利用している場合は即座に1.73.5へのアップデートを推奨します。

CVE-2026-41070 — OpenVPN auth-oauth2 認証バイパス（Critical）

OpenVPN用OAuth2認証プラグイン「openvpn-auth-oauth2」に、client-deny 時に FUNC_SUCCESS を返してしまうバグがあり、認証を拒否されたクライアントが未認証でVPNにアクセスできる脆弱性があります。

深刻度: Critical
エコシステム: Go
修正バージョン: 1.27.3
参照: GitHub Advisory

VPN認証の根幹に関わる問題のため、該当プラグインを利用している場合は優先的に対応してください。

CVE-2026-25917 — Apache Airflow XCom経由RCE（Critical）

Apache Airflow 3.2.0未満で、細工されたXComペイロードを通じてコード実行が可能な脆弱性が報告されています。

深刻度: Critical
エコシステム: PyPI（apache-airflow-core）
修正バージョン: 3.2.0
参照: NVD

CVE-2026-41264 — Flowise CSV Agent プロンプトインジェクションRCE（Critical）

ローコードAIプラットフォーム「Flowise」のCSV Agentにプロンプトインジェクションによるリモートコード実行の脆弱性があります。

深刻度: Critical
エコシステム: npm（flowise, flowise-components）
修正バージョン: 3.1.0
参照: GitHub Advisory

CVE-2026-41066 — lxml XXE脆弱性（High）

PythonのXML処理ライブラリ「lxml」のデフォルト設定で iterparse() および ETCompatXMLParser() がローカルファイルへのXXE（XML External Entity）を許可する脆弱性があります。

深刻度: High
エコシステム: PyPI
修正バージョン: 6.1.0
参照: GitHub Advisory

lxmlは非常に広く利用されているライブラリのため、XMLの外部入力を処理している場合は影響を確認してください。

CVE-2026-40938 — Tekton Pipeline Git Resolver引数インジェクション（High）

Tekton PipelineのGit Resolverにおいて、revisionパラメータのサニタイズ不備によりgit引数インジェクションが可能で、RCEに繋がる脆弱性があります。

深刻度: High
エコシステム: Go
修正バージョン: 1.11.1
参照: GitHub Advisory

Django — 複数脆弱性の更新（High〜Low）

OSVデータでDjango関連の脆弱性が12件更新されています。SQLインジェクション、DoS、ヘッダースプーフィングなど多岐にわたります。

CVE	概要	CVSS	修正バージョン
CVE-2025-64459	`_connector` 引数を通じたSQLインジェクション	9.1	5.2.8 / 5.1.14 / 4.2.26
CVE-2026-1287	FilteredRelation カラムエイリアスSQLインジェクション	Critical (v4)	6.0.2 / 5.2.11 / 4.2.28
CVE-2026-1207	RasterField band indexパラメータSQLインジェクション	Critical (v4)	6.0.2 / 5.2.11 / 4.2.28
CVE-2026-3902	ASGIRequestヘッダースプーフィング	7.5	6.0.4 / 5.2.13 / 4.2.30
CVE-2026-33034	ASGI Content-Length不正によるDoS	7.5	6.0.4 / 5.2.13 / 4.2.30
CVE-2026-25673	URLField NFKC正規化によるDoS	7.5	6.0.3 / 5.2.12 / 4.2.29
CVE-2026-33033	MultiPartParser base64ホワイトスペースDoS	6.5	6.0.4 / 5.2.13 / 4.2.30

Djangoを利用しているプロジェクトでは、使用バージョンに応じた最新パッチの適用を検討してください。特にSQLインジェクション系の3件は深刻度が高いため優先対応を推奨します。

エコシステム別サマリー

GHSAおよびOSVデータでは以下のエコシステムに脆弱性が報告されています。

エコシステム	件数	主な対象
PyPI	20件	Django（12件）、lxml、Apache Airflow
npm	14件	Flowise、Next.js、Astro、NestJS、i18next
Go	10件	Rclone（2件）、OpenVPN auth-oauth2、Tekton Pipeline
Packagist	5件	CI4MS（2件）、PHPUnit
crates.io	2件	Brillig
Maven	1件	OpenRemote

PyPIエコシステムではDjango関連が突出しており、SQLインジェクション修正が複数のバージョン系列にまたがっています。Goエコシステムではインフラツールの認証バイパスが目立ちます。

JVN 日本語情報

JVNDB-2026-000061 — LiveOn Meet DLL読み込みの脆弱性（CVSS 7.8）

ジャパンメディアシステム株式会社のWeb会議システム「LiveOn Meet」のWindows PC用クライアントインストーラに、DLL検索パスの制御不備の脆弱性があります。同一ディレクトリの細工されたDLLが読み込まれる可能性があります。

CVE: CVE-2026-32679
CVSS: 7.8（High）

JVNDB-2026-000058 — Ziostation2 パストラバーサル（CVSS 7.5）

ザイオソフト株式会社の医用画像処理システム「Ziostation2」にパストラバーサルの脆弱性が存在します。

CVE: CVE-2026-40062
CVSS: 7.5（High）

JVNDB-2026-000060 — DeepL Chrome拡張機能 XSS（CVSS 6.1）

DeepL Chrome拡張機能にクロスサイトスクリプティングの脆弱性が報告されています。DeepL拡張機能を利用している場合は最新版への更新を確認してください。

CVE: CVE-2026-40451
CVSS: 6.1（Medium）

まとめ

本日はRcloneのリモートコントロール機能にCriticalな認証バイパスが2件報告されており、rclone rcd を利用している環境では即座に1.73.5へのアップデートを推奨します。OpenVPN auth-oauth2の認証バイパスもVPN環境のセキュリティに直結するため、該当プラグイン利用者は早急に対応してください。Django関連は12件の脆弱性が更新されており、特にSQLインジェクション系（CVE-2025-64459、CVE-2026-1287、CVE-2026-1207）は深刻度が高いため、各バージョン系列の最新パッチ適用を検討してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。