【セキュリティ日報】simple-git RCEとClerk認証バイパスほか 199件

項目	優先度	対応	影響対象	クイックアクション
simple-git リモートコード実行 CVE-2026-6951	high	対応必須	simple-git利用者（npm）	3.36.0以降へアップデート
Clerk createRouteMatcher 認証バイパス CVE-2026-41248	high	対応必須	@clerk/nextjs, @clerk/astro, @clerk/nuxt利用者	各パッケージの修正バージョンへアップデート
Flowise パスワードリセットバイパス CVE-2026-41276	high	対応必須	Flowise利用者	3.1.0以降へアップデート
Dgraph デバッグエンドポイント経由の管理トークン漏洩 CVE-2026-41492	high	対応必須	Dgraph利用者	25.3.3以降へアップデート
Saltcorn SQLインジェクション CVE-2026-41478	high	対応必須	Saltcorn利用者	1.4.6 / 1.5.6 / 1.6.0-beta.5以降へアップデート
Budibase 認証バイパス CVE-2026-41428	high	対応必須	Budibase利用者	3.35.4以降へアップデート
Apache ActiveMQ リモートコード実行 CVE-2026-40466	high	推奨	Apache ActiveMQ利用者	5.19.6または6.2.5へアップデート
Composer コマンドインジェクション CVE-2026-40261	high	推奨	Composer利用者（PHP）	Composer 2.2.27または2.9.6へアップデート
Axios Prototype Pollution Gadget CVE-2026-42033	high	推奨	Axios利用者（npm）	1.15.1または0.31.1以降へアップデート
Actual Budget OpenID Connect移行後の権限昇格 CVE-2026-33318	high	推奨	Actual Budget利用者	v26.4.0以降へアップデート

NVDで199件のCVEが公開・更新され、うちCritical 18件、High 72件。npmパッケージ「simple-git」にRCE脆弱性（CVSS 9.8）、認証ライブラリ「Clerk」に認証バイパス（CVSS 9.1）が公開されたほか、Flowise（6件）やDgraph（4件）に複数のCritical脆弱性が報告されています。Axiosにもprototype pollution系の脆弱性が4件公開されており、幅広いエコシステムへの影響が懸念されます。

本日の概要

ソース	更新件数	Critical	High	Medium	Low/None
NVD	199件	18件	72件	54件	55件
GHSA	0件	—	—	—	—
OSV	0件	—	—	—	—
MyJVN	0件（※）	—	—	—	—

※ MyJVNは「該当する脆弱性対策情報はありません」のステータス

Critical / High 脆弱性の詳細

CVE-2026-6951 — simple-git リモートコード実行

npmパッケージ「simple-git」に、過去の修正（CVE-2022-25912）の不完全さに起因するRCE脆弱性が発見されました。-c オプションはブロックされていたものの、同等の --config 形式がブロックされておらず、protocol.ext.allow=always を有効化してext::プロトコル経由でコード実行が可能です。

CVSSスコア: 9.8（Critical）
影響: simple-git 3.36.0未満（npm）
対策: 3.36.0以降へアップデート
参考: NVD

CVE-2026-41248 — Clerk createRouteMatcher 認証バイパス

認証ライブラリClerkのcreateRouteMatcher（@clerk/nextjs, @clerk/nuxt, @clerk/astro）において、特定のリクエストでミドルウェアのゲーティングをスキップできる脆弱性です。広く利用されているNext.jsの認証基盤であり、影響範囲が大きい脆弱性です。

CVSSスコア: 9.1（Critical）
影響: @clerk/nextjs 5.7.5以前 / 6.39.1以前 / 7.2.0以前、@clerk/astro、@clerk/nuxt、@clerk/shared
対策: 各パッケージの修正バージョンへアップデート（@clerk/nextjs 5.7.6 / 6.39.2 / 7.2.1等）
参考: NVD

CVE-2026-41276 — Flowise パスワードリセットバイパス

LLMフロー構築ツール「Flowise」のパスワードリセット機能に、トークン検証の欠如による認証バイパス脆弱性があります。リセットトークンが生成されていないアカウントに対してnullトークンでパスワードリセットが可能です。本日はFlowiseに関するCritical/High脆弱性が合計6件公開されています。

CVSSスコア: 9.8（Critical）
影響: Flowise 3.1.0未満
対策: 3.1.0以降へアップデート
参考: NVD

CVE-2026-41492 / CVE-2026-41327 / CVE-2026-41328 / CVE-2026-40173 — Dgraph 複数のCritical脆弱性

グラフデータベース「Dgraph」に認証不要でデータベース全体を窃取可能なDQLインジェクション（CVE-2026-41327, CVE-2026-41328）と、デバッグエンドポイント経由の管理トークン漏洩（CVE-2026-41492, CVE-2026-40173）が引き続き報告されています。

CVSSスコア: 9.1〜9.8（Critical）
影響: Dgraph 25.3.2以前（トークン漏洩）/ 25.3.3未満（DQLインジェクション）
対策: 25.3.3以降へアップデート
参考: GHSA-vvf7-6rmr-m29q

CVE-2026-40466 / CVE-2026-41044 — Apache ActiveMQ リモートコード実行

Apache ActiveMQに、CVE-2026-34197の修正をバイパスするRCE脆弱性が2件公開されました。HTTP Discovery transportやブローカー名の検証不備を悪用し、Spring XML経由でコード実行が可能です。

CVSSスコア: 8.8（High）
影響: Apache ActiveMQ 5.19.6未満 / 6.0.0〜6.2.5未満
対策: 5.19.6または6.2.5へアップデート
参考: NVD

CVE-2026-40261 — Composer コマンドインジェクション

PHP依存管理ツール「Composer」のPerforceハンドラに、ソースURLやリファレンス値経由でコマンドインジェクションが可能な脆弱性です。悪意あるComposerリポジトリからのパッケージメタデータ経由でも悪用可能です。

CVSSスコア: 8.8（High）
影響: Composer 2.2.26以前 / 2.3〜2.9.5
対策: Composer 2.2.27または2.9.6へアップデート。--prefer-dist の使用でも回避可能
参考: NVD

CVE-2026-41478 — Saltcorn SQLインジェクション

ノーコードアプリケーションビルダー「Saltcorn」のモバイル同期ルートに、認証済みの低権限ユーザーが任意のSQLを実行可能な脆弱性があります。管理者パスワードハッシュや設定シークレットの窃取につながります。

CVSSスコア: 9.9（Critical）
影響: Saltcorn 1.4.6 / 1.5.6 / 1.6.0-beta.5未満
対策: 修正バージョンへアップデート
参考: NVD

CVE-2026-42033 / CVE-2026-42035 他 — Axios 複数の脆弱性

HTTPクライアント「Axios」にprototype pollution系を含む脆弱性が4件公開されました。prototype汚染が前提条件ですが、JSON応答の改ざんやHTTPヘッダインジェクションが可能になります。直接の悪用には別の汚染源が必要ですが、サプライチェーン攻撃との組み合わせに注意が必要です。

CVSSスコア: 4.8〜7.4（Medium〜High）
影響: Axios 1.15.1未満 / 0.31.1未満
対策: 1.15.1または0.31.1以降へアップデート
参考: NVD

CVE-2026-41428 — Budibase 認証バイパス

ローコードプラットフォーム「Budibase」の認証ミドルウェアが非アンカー正規表現を使用しており、クエリストリングにパブリックエンドポイントパスを含めることで全認証をバイパス可能です。

CVSSスコア: 9.1（Critical）
影響: Budibase 3.35.4未満
対策: 3.35.4以降へアップデート
参考: NVD

その他の注目脆弱性

CVE-2026-33318 Actual Budget — OpenID Connect移行環境で権限昇格（CVSS 8.8）
CVE-2026-40886 Argo Workflows — Pod GCアノテーション経由のコントローラクラッシュ（CVSS 7.7）
CVE-2026-41485 Kyverno — forEachミューテーション経由のCrashLoopBackOff（CVSS 7.7）
CVE-2026-41421 SiYuan — Electron nodeIntegration有効環境でのXSS→RCE（CVSS 8.8）
CVE-2026-27890 Firebird — 認証不要サーバクラッシュ（CVSS 8.2）
CVE-2026-41429 arduino-esp32 — NBNS経由リモートメモリ破壊（CVSS 8.8）

エコシステム別サマリー

本日はOSV/GHSAのデータ更新がなかったため、NVDの説明文から主要エコシステムを分類しています。

エコシステム	件数（概算）	主な影響パッケージ
npm	20件超	simple-git, Axios（5件）, Clerk（4パッケージ）, Flowise（6件）, Astro
Go	8件	Dgraph（4件）, Argo Workflows, Kyverno, goshs
Packagist	6件	Composer（2件）, Saltcorn, Xerte（3件）
PyPI	5件	LangChain（2件）, Giskard（2件）, Authlib
Maven	4件	Apache ActiveMQ（3件）, DolphinScheduler
crates.io	4件	tough（3件）, skim
C/C++	10件超	Firebird（5件）, libarchive, CUPS, arduino-esp32

注目トレンド: Flowise（LLMツール）に6件のCritical/Highが集中。AI/LLMツールのセキュリティ課題が浮き彫りになっています。

JVN 日本語情報

本日のMyJVNデータでは新規の脆弱性対策情報はありませんでした。

まとめ

本日はCritical 18件と多めの日です。特にsimple-git（npm）のRCE脆弱性は過去の修正の不完全さに起因しており、3.36.0未満のバージョンを利用している場合は早急なアップデートを推奨します。Clerkの認証バイパスもNext.js/Astro/Nuxtの認証基盤に影響するため、利用中の場合は影響確認が必要です。Flowise、Dgraphは複数のCriticalが集中しており、利用者は一括でのアップデートを検討してください。Axiosのprototype pollution系脆弱性は直接の悪用には別の汚染源が必要ですが、サプライチェーン全体でのリスクを考慮し、1.15.1以降へのアップデートを推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。