NVDで200件のCVEが公開・更新され、うちCritical 9件、High 41件。グラフDB「Dgraph」に認証不要でデータベース全体を窃取可能なDQLインジェクション脆弱性が2件公開されたほか、Apache KafkaのOAUTHBEARER JWT検証不備も注目です。Django関連は9件がまとめて更新されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 200件 | 9件 | 41件 | 91件 | 59件 |
| GHSA | 408件(※1) | 31件 | 72件 | 145件 | 160件 |
| OSV | 10件 | 0件 | 9件 | 1件 | 0件 |
| MyJVN | 4件 | 0件 | 3件 | 1件 | 0件 |
※1 GHSA全体408件のうち、エコシステム情報を持つアクション可能なアドバイザリは41件。残りはNVDスタブ
Critical / High 脆弱性の詳細
CVE-2026-41328 / CVE-2026-41327 — Dgraph 認証不要DQLインジェクション
グラフデータベースDgraphに、認証なしでDQLインジェクションが可能な脆弱性が2件公開されました。NQuad Langフィールド(CVE-2026-41328)およびUpsert Conditionフィールド(CVE-2026-41327)を悪用することで、データベース全体の内容を窃取されるおそれがあります。
- 深刻度: Critical(GitHub Security Advisory)
- 影響: Dgraph v24系 / v25系 / main
- 対策: 修正バージョンが公開され次第アップデートを推奨
- 参考: GHSA-x92x-px7w-4gx4, GHSA-mrxx-39g5-ph77
CVE-2026-33557 — Apache Kafka OAUTHBEARER JWT検証不備
Apache KafkaのOAUTHBEARER認証実装においてJWTトークンの検証が行われない脆弱性です。不正なトークンで認証を突破される可能性があります。
- 深刻度: Critical(GitHub Security Advisory)
- 影響: Apache Kafka kafka-clients(4.1.2未満)
- 対策: kafka-clients 4.1.2以降へアップデート
- 参考: GHSA-28jg-cgg7-j4wc
CVE-2025-62373 — Pipecat Pickle経由RCE
AI音声パイプラインフレームワーク「Pipecat」のLivekitFrameSerializerにおいて、Pickleデシリアライゼーション経由でリモートコード実行が可能です。AI/MLツールのセキュリティが注目される中、重大な事例です。
- 深刻度: Critical(GitHub Security Advisory)
- 影響: pipecat-ai(PyPI)
- 対策: 修正バージョンへのアップデートを推奨
- 参考: GHSA-c2jg-5cp7-6wc7
CVE-2025-64459 — Django SQLインジェクション(_connector引数)
QuerySet.filter(), exclude(), get()、および Q() クラスにおいて、辞書展開の _connector 引数経由でSQLインジェクションが可能な脆弱性です。
- CVSSスコア: 9.1(CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N)
- 影響: Django 5.2〜5.2.7 / 5.1〜5.1.13 / 4.2〜4.2.25
- 対策: Django 5.2.8 / 5.1.14 / 4.2.26 以降へアップデート
- 参考: NVD
CVE-2026-4001 — WooCommerce Custom Product Addons Pro RCE
カスタム価格計算式で eval() が使用されており、テキストフィールドへの入力値を通じて未認証のリモートコード実行が可能です。
- CVSSスコア: 9.8(Critical)
- 影響: WooCommerce Custom Product Addons Pro 5.4.1以前
- 対策: プラグインの最新版へアップデート
- 参考: NVD
CVE-2025-54236 — Adobe Commerce セッション乗っ取り
入力検証の不備によりセッション乗っ取りが可能な脆弱性です。CISA KEV(既知の悪用済み脆弱性カタログ)に登録されています。
- CVSSスコア: 9.1(Critical)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7 等
- 対策: Adobeセキュリティパッチ(APSB25-88)を適用
- 参考: NVD
CVE-2026-3533 — Jupiter X Core 無制限ファイルアップロード
WordPressプラグイン「Jupiter X Core」に無制限のファイルアップロードの脆弱性があり、リモートコード実行につながります。
- CVSSスコア: 8.8(High)
- 影響: Jupiter X Core WordPress プラグイン
- 対策: プラグインの最新版へアップデート
- 参考: NVD
CVE-2026-33566 — LogonTracer 複数の脆弱性
JPCERT/CCが提供するWindowsイベントログ分析ツール「LogonTracer」にOSコマンドインジェクション(CVE-2026-33277)とデータベースクエリの不適切な無害化の2件の脆弱性が報告されています。
- CVSSスコア: 8.8(High)
- 影響: LogonTracer
- 対策: 最新版へのアップデートを推奨
- 参考: JVN
エコシステム別サマリー
GHSAおよびOSVのデータから、エコシステム別の脆弱性件数は以下の通りです。
| エコシステム | 件数 | 主な影響パッケージ |
|---|---|---|
| PyPI | 15件 | Django(9件)、Pipecat、LiteLLM |
| Go | 9件 | Dgraph(2件)、Argo Workflows、Contour、Grafana |
| npm | 8件 | Astro、liquidjs |
| crates.io | 5件 | russh |
| Packagist | 5件 | Kirby CMS(3件) |
| NuGet | 4件 | OpenTelemetry .NET SDK(4件一括修正) |
| RubyGems | 3件 | ERB、Avo |
| Maven | 2件 | Apache Kafka |
注目トレンド: AI/MLツール(Pipecat, LiteLLM)への脆弱性報告が増加傾向。OpenTelemetry .NET SDKは4件まとめて修正がリリースされています。
JVN 日本語情報
MyJVNから4件の脆弱性情報が公開されています。
- CVE-2026-33566 LogonTracer — OSコマンドインジェクションとクエリインジェクション(CVSS 8.8)
- CVE-2026-41040 GROWI — 正規表現を用いたReDoS脆弱性(CVSS 7.5)
- CVE-2026-34488 i-PRO IP簡単設定ソフトウェア — DLL読み込みに関する脆弱性(CVSS 7.3)
- CVE-2026-40529 CMS ALAYA — SQLインジェクション(CVSS 4.7)
まとめ
本日はDgraphの認証不要DQLインジェクション(2件)とApache KafkaのJWT検証不備が特に深刻です。Dgraphを利用している場合は直ちに影響確認を推奨します。Django関連は過去に公開された脆弱性のアドバイザリ更新が中心ですが、未適用のパッチがある場合はこの機会に対応を検討してください。WordPressプラグイン関連のCritical/Highも複数報告されており、利用中のプラグインの更新確認を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。