GHSA(GitHub Advisory Database)で56件のアクション可能なアドバイザリが公開されました。Critical 5件のうち、衛星管制システム「OpenC3 COSMOS」にSQLインジェクションと権限バイパスの2件が報告されています。npmエコシステムではxmldomに4件のXMLインジェクション脆弱性、crates.ioではrust-opensslに4件のメモリ安全性の問題が修正されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| GHSA | 56件(※1) | 5件 | 22件 | 24件 | 5件 |
| NVD | 200件(※2) | — | — | — | — |
| OSV | 0件 | — | — | — | — |
| MyJVN | 8件 | 0件 | 5件 | 2件 | 1件 |
※1 GHSA全体では1,021件が更新されたが、965件はメタデータのみの一括更新 ※2 2006年公開のレガシーCVEの一括再スコアリング(新規2026年CVEは0件)
Critical / High 脆弱性の詳細
OpenC3 COSMOS — SQLインジェクション・権限バイパス(Critical 2件 + High 1件)
衛星管制・テレメトリプラットフォーム「OpenC3 COSMOS」にCritical脆弱性が2件報告されています。
| アドバイザリ | 概要 |
|---|---|
| GHSA-v529-vhwc-wfc5 | QuestDBへのSQLインジェクション。テレメトリデータの不正取得・改ざんが可能 |
| GHSA-2wvh-87g2-89hr | Script Runner Toolを通じた権限バイパス。未割当の管理者操作を実行可能 |
| GHSA-wgx6-g857-jjf7 | セッショントークンのハイジャックによるパスワードリセット(High) |
- 深刻度: Critical / High
- エコシステム: RubyGems(openc3)
- 修正バージョン: 6.10.5 / 7.0.0-rc3
OpenC3 COSMOSを利用している場合は早急にアップデートを推奨します。
Evolver — コマンドインジェクションによるRCE(Critical)
npmパッケージ「@evomap/evolver」にコマンドインジェクションの脆弱性が報告されています。_extractLLM() 関数内の execSync を通じてリモートコード実行が可能です。
- 深刻度: Critical
- エコシステム: npm(@evomap/evolver)
- 修正バージョン: 1.69.3
- 参照: GHSA-j5w5-568x-rq53
同パッケージにはパストラバーサルの脆弱性(GHSA-r466-rxw4-3j9j、High)も報告されており、合わせて修正されています。
CVE-2026-33471 — nimiq-block Quorumバイパス(Critical)
ブロックチェーンプラットフォーム「Nimiq」のブロック処理ライブラリにおいて、BitSetのインデックス範囲外とu16トランケーションを利用したQuorumバイパスの脆弱性があります。
- 深刻度: Critical
- エコシステム: crates.io(nimiq-block)
- 修正バージョン: 修正なし(利用者は代替策の検討を推奨)
xmldom — XMLインジェクション4件(High)
XML DOMパーサー「xmldom」に4件のHigh脆弱性が報告されています。
| CVE | 概要 |
|---|---|
| CVE-2026-41673 | XMLシリアライゼーションでの再帰制御不備によるDoS |
| CVE-2026-41674 | DocumentTypeシリアライゼーションのバリデーション不備によるXMLインジェクション |
| CVE-2026-41672 | コメントシリアライゼーションのバリデーション不備によるXMLノードインジェクション |
| CVE-2026-41675 | ProcessingInstructionシリアライゼーションのバリデーション不備によるXMLノードインジェクション |
- エコシステム: npm
- 修正バージョン:
@xmldom/xmldom0.8.13 / 0.9.10 - 注意: レガシーパッケージ
xmldomには修正なし。@xmldom/xmldomへの移行が必要
xmldomを利用しているプロジェクトは、パッケージ名を確認のうえアップデートを検討してください。
rust-openssl — メモリ安全性の問題4件(High)
Rust用OpenSSLバインディング「rust-openssl」に4件のメモリ安全性に関する脆弱性が修正されています。
| CVE | 概要 |
|---|---|
| CVE-2026-41678 | AESキーラップにおける不正な境界アサーション |
| CVE-2026-41681 | MdCtxRef::digest_final() がバッファ長チェックなしで書き込み |
| CVE-2026-41676 | Deriver::derive / PkeyCtxRef::derive でOpenSSL 1.1.1使用時にバッファオーバーフロー |
| GHSA-hppc-g8h3-xhp3 | PSK/Cookieコールバックの長さ未チェックによる隣接メモリの漏洩 |
- エコシステム: crates.io
- 修正バージョン: 0.10.78
rust-opensslは広く利用されているcrateのため、特にOpenSSL 1.1.1環境では早めの更新を推奨します。
NocoBase — SQLインジェクション2件(High)
ローコードプラットフォーム「NocoBase」にSQLインジェクションの脆弱性が2件報告されています。
| CVE | 概要 |
|---|---|
| CVE-2026-41640 | 再帰的Eagerローディングでの文字列結合によるSQLインジェクション |
| CVE-2026-41641 | checkSQL 呼び出し欠落によるSQLバリデーションバイパス |
- エコシステム: npm(@nocobase/database, @nocobase/plugin-collection-sql)
- 修正バージョン: 2.0.39
CVE-2026-40372 — ASP.NET Core DataProtection 権限昇格(High)
Microsoft ASP.NET Coreの Microsoft.AspNetCore.DataProtection に権限昇格の脆弱性があります。
- 深刻度: High
- エコシステム: NuGet
- 修正バージョン: 10.0.7
- 参照: NVD
その他の注目すべきHigh脆弱性
| CVE / GHSA | 対象 | 概要 | 修正 |
|---|---|---|---|
| CVE-2026-41683 | i18next-http-middleware (npm) | HTTPレスポンス分割・DoS | 3.9.3 |
| CVE-2026-41139 | mathjs (npm) | プロトタイプ汚染 | 15.2.0 |
| CVE-2026-41644 | monetr (Go) | SSRF(Lunch Flow) | 1.12.5 |
| CVE-2026-41135 | free5GC PCF (Go) | CORSミドルウェア経由のメモリリークDoS | 1.4.3 |
| GHSA-hjh7-r5w8-5872 | SiYuan (Go) | ダブルURLエンコーディングによるパストラバーサル | 3.6.5 |
| GHSA-p3h2-2j4p-p83g | MCPHub (npm) | マニフェスト名経由のパストラバーサル | 0.12.13 |
エコシステム別サマリー
GHSAデータで報告されたエコシステム別の影響範囲です。
| エコシステム | 件数 | 主な対象 |
|---|---|---|
| npm | 29件 | xmldom(4件)、NocoBase(2件)、Evolver、i18next、mathjs |
| crates.io | 15件 | rust-openssl(4件)、nimiq-block、RustFS |
| Go | 14件 | monetr、free5GC、SiYuan、NornicDB |
| RubyGems | 7件 | OpenC3 COSMOS(3件) |
| PyPI | 4件 | — |
| NuGet | 2件 | ASP.NET Core DataProtection |
| Packagist | 2件 | — |
npmエコシステムが最多で、XMLパーサー(xmldom)とローコードプラットフォーム(NocoBase)に集中しています。crates.ioではrust-opensslのメモリ安全性修正が目立ちます。
JVN 日本語情報
JVNDB-2026-000059 — LogonTracerにおける複数の脆弱性(CVSS 8.8)
JPCERT/CCが提供するWindowsイベントログ分析ツール「LogonTracer」に、OSコマンドインジェクション(CVE-2026-33277)とデータベースクエリの不適切な無害化(CVE-2026-33566)の2件の脆弱性が報告されています。
- CVSS: 8.8(High)
- 影響: 認証済みユーザーによるコマンド実行・データ改ざん
JVNDB-2026-000064 — GROWIにおけるReDoS脆弱性(CVSS 7.5)
Wikiシステム「GROWI」に正規表現を用いたサービス運用妨害(ReDoS)の脆弱性が存在します。
- CVE: CVE-2026-41040
- CVSS: 7.5(High)
JVNDB-2026-000063 — i-PRO IP簡単設定ソフトウェア DLL読み込みの脆弱性(CVSS 7.3)
i-PRO株式会社のIP簡単設定ソフトウェアにDLL検索パスの制御不備の脆弱性があります。
- CVE: CVE-2026-34488
- CVSS: 7.3(High)
まとめ
本日はnpmとcrates.ioの主要パッケージに影響する脆弱性が目立ちます。xmldomを利用しているプロジェクトではレガシーパッケージ(xmldom)から @xmldom/xmldom への移行と最新版へのアップデートを推奨します。rust-opensslは広く利用されているcrateのため、0.10.78への更新を確認してください。OpenC3 COSMOSはニッチな分野ですがCritical脆弱性が2件と深刻度が高く、利用者は優先的に対応してください。JVNではLogonTracerにCVSS 8.8のOSコマンドインジェクションが報告されており、利用環境がある場合は確認を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。