つみかさね

【セキュリティ日報】Spring Boot認可バイパスの脆弱性ほか806件

2026-05-07データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Spring Boot 認可バイパス
CVE-2026-40976
Spring Boot 4.0.6へアップデート
high対応必須
Apache MINA デシリアライゼーション
CVE-2026-41409
MINA Core 2.0.28/2.1.11/2.2.6以降へアップデート
high対応必須
Adobe Commerce セッション乗っ取り
CVE-2025-54236
Adobeセキュリティアップデートを即時適用
high対応必須
Nginx-UI 認証なしRCE
CVE-2026-42238
Nginx-UI 2.3.8へアップデート
high対応必須
Apache Camel メールヘッダインジェクション
CVE-2026-33454
Camel 4.14.6/4.18.1以降へアップデート
high推奨
ingress-nginx 設定インジェクションRCE
CVE-2026-3288
ingress-nginxを最新版へアップデート
high推奨
PackageKit ローカル権限昇格
CVE-2026-41651
PackageKit 1.3.5以降へアップデート
high対応必須
Unisys WebPerfect NTLMv2ハッシュ漏洩
CVE-2026-39906
ベンダーパッチ適用またはネットワーク制限
high推奨
Argo CD Secretsクリアテキスト漏洩
CVE-2026-43824
Argo CD 3.2.11/3.3.9以降へアップデート
high推奨
Jenkins Credentials Binding パストラバーサル
CVE-2026-42520
Credentials Binding Pluginを最新版へアップデート
CVENVD脆弱性Spring BootApache MINAKubernetesAdobe Commerce

本日はNVDで806件のCVEが公開・更新され、うちCriticalが19件、Highが84件です。特にGHSAで公開されたCVE-2026-40976(Spring Boot認可バイパス)とCVE-2026-41409(Apache MINAデシリアライゼーション再発)は影響範囲が広く、Java/Spring環境では早急な確認を推奨します。CVE-2025-54236(Adobe Commerce)はCISA KEVに登録済みで実悪用が確認されています。

本日の概要

指標数値
新規・更新CVE(NVD)806件
Critical (9.0+)19件
High (7.0-8.9)84件
Medium (4.0-6.9)77件
Low (0-3.9)9件
GHSA(更新含む)562件
影響エコシステムMaven, npm, Packagist, PyPI, Go, crates.io

※ GHSA側ではSpring Boot、Apache Camel、Apache MINAなどJavaエコシステムに集中したCritical 24件を含みます。

Critical / High 脆弱性の詳細解説

CVE-2026-40976 — Spring Boot 認可バイパス

  • 深刻度: Critical(GHSA)
  • 影響: Spring Boot 4.0.5 以前(org.springframework.boot:spring-boot
  • 概要: Spring Boot Actuatorが有効でHealth Actuatorが無効の構成において、デフォルトのセキュリティフィルタチェーンに認可ルールが適用されない脆弱性です。この構成では、本来保護されるべきエンドポイントへの未認証アクセスが可能になります。
  • 対策: Spring Boot 4.0.6 へアップデートしてください
  • 参考: NVD / Spring Security Advisory

CVE-2026-41409 — Apache MINA デシリアライゼーション(不完全修正)

  • 深刻度: Critical(GHSA)
  • CWE: CWE-502(信頼できないデータのデシリアライゼーション)
  • 影響: Apache MINA Core 2.0.27以前、2.1.10以前、2.2.5以前
  • 概要: 2024年に公開されたCVE-2024-52046の修正が不完全で、デシリアライゼーションによるリモートコード実行の脆弱性が再発しています。Apache MINAをネットワーク通信基盤として使用しているアプリケーションが影響を受けます。
  • 対策: Apache MINA Core 2.0.28 / 2.1.11 / 2.2.6 以降へアップデートしてください
  • 参考: NVD / Apache Advisory

CVE-2025-54236 — Adobe Commerce セッション乗っ取り(CISA KEV掲載)

  • CVSSスコア: 9.1(Critical)
  • CWE: CWE-20(不適切な入力検証)
  • 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 以前
  • 概要: 入力検証の不備によりセッション乗っ取りが可能な脆弱性です。ユーザー操作不要で悪用可能。CISA Known Exploited Vulnerabilities(KEV)カタログに掲載されており、実際の悪用が確認されています。
  • 対策: Adobeのセキュリティアップデートを即時適用してください
  • 参考: NVD / Adobe Security Bulletin / CISA KEV

CVE-2026-42238 — Nginx-UI 認証なしRCE

  • 深刻度: Critical(GHSA)
  • 影響: Nginx-UI 2.3.7 以前(github.com/0xJacky/nginx-ui
  • 概要: Nginx-UIのバックアップ復元機能において、認証なしでリモートコード実行が可能な脆弱性です。Nginx-UIを公開ネットワークに露出している場合は特に緊急度が高い状況です。
  • 対策: Nginx-UI 2.3.8 へアップデートしてください
  • 参考: NVD / GHSA

CVE-2026-33454 — Apache Camel メールヘッダインジェクション

  • 深刻度: Critical(GHSA)
  • 影響: Apache Camel(camel-mail)4.14.5以前、4.18.0以前
  • 概要: Apache Camelのメールコンポーネントにヘッダインジェクション脆弱性が存在します。メール送信機能を利用するCamelルートが影響を受け、攻撃者がメールヘッダを改ざん可能です。
  • 対策: Apache Camel 4.14.6 / 4.18.1 以降へアップデートしてください
  • 参考: NVD

CVE-2026-3288 — ingress-nginx 設定インジェクションRCE

  • CVSSスコア: 8.8(High)
  • CWE: CWE-20(不適切な入力検証)
  • 影響: Kubernetes ingress-nginx
  • 概要: rewrite-target Ingressアノテーションを通じてnginx設定へのインジェクションが可能です。ingress-nginxコントローラーのコンテキストでの任意コード実行と、コントローラーがアクセス可能なSecrets(デフォルト設定ではクラスター全体)の漏洩につながります。
  • 対策: ingress-nginxを最新版へアップデートし、アノテーションバリデーションを確認してください
  • 参考: NVD / Kubernetes Issue

CVE-2026-41651 — PackageKit ローカル権限昇格

  • CVSSスコア: 8.8(High)
  • CWE: CWE-367(TOCTOU競合状態)
  • 影響: PackageKit 1.0.2〜1.3.4
  • 概要: トランザクションフラグのTOCTOU競合状態を悪用し、非特権ユーザーがroot権限で任意のRPMパッケージをインストールできるローカル権限昇格の脆弱性です。主要Linuxディストリビューション(Fedora、RHEL系)が影響を受けます。
  • 対策: PackageKit 1.3.5 以降へアップデートしてください
  • 参考: NVD / GHSA

CVE-2026-39906 — Unisys WebPerfect Image Suite NTLMv2ハッシュ漏洩

  • CVSSスコア: 10.0(Critical)
  • CWE: CWE-441(意図しないプロキシ)
  • 影響: Unisys WebPerfect Image Suite 3.0.3960.22810 / 3.0.3960.22604
  • 概要: 非推奨の.NET Remoting TCPチャネルが露出しており、リモートの未認証攻撃者がUNCパスを指定してNTLMv2マシンアカウントハッシュを窃取可能です。窃取したハッシュはリレー攻撃に利用でき、横展開や権限昇格のリスクがあります。本日の最高スコア10.0ですが、対象ソフトウェアの利用範囲は限定的です。
  • 対策: ベンダーのセキュリティアドバイザリを確認し、パッチ適用またはネットワークアクセスを制限してください
  • 参考: NVD

CVE-2026-43824 — Argo CD Secretsクリアテキスト漏洩

  • CVSSスコア: 7.7(High)
  • CWE: CWE-212(不適切な情報アクセス制限)
  • 影響: Argo CD 3.2.0〜3.2.10、3.3.0〜3.3.8
  • 概要: ServerSideDiff機能によりKubernetes Secretのデータがクリアテキストで読み取り可能になる脆弱性です。GitOps環境でSecretを管理している場合、機密情報の漏洩リスクがあります。
  • 対策: Argo CD 3.2.11 / 3.3.9 以降へアップデートしてください
  • 参考: NVD / GHSA

CVE-2026-42520 — Jenkins Credentials Binding Plugin パストラバーサル

  • CVSSスコア: 7.5(High)
  • CWE: CWE-22(パストラバーサル)
  • 影響: Jenkins Credentials Binding Plugin 719.v80e905ef14eb_ 以前
  • 概要: ファイルおよびZIPファイルクレデンシャルのファイル名がサニタイズされず、ノードのファイルシステム上の任意の場所にファイルを書き込める脆弱性です。ビルトインノード上でジョブが実行される設定では、リモートコード実行に繋がる可能性があります。
  • 対策: Jenkins Credentials Binding Plugin を最新版へアップデートしてください
  • 参考: NVD / Jenkins Advisory

エコシステム別サマリー

GHSAデータでは562件のアドバイザリが更新され、以下のエコシステム分布です。

エコシステム件数主な影響パッケージ
Maven60件Spring Boot、Apache Camel、Apache MINA、jackson-databind
npm54件underscore.js、auth0-js
Packagist48件Grav CMS、OpenMage(Magento LTS)
PyPI36件django-s3file、Rucio
Go34件Nginx-UI、Argo CD、Prometheus
crates.io14件rust-openssl
RubyGems8件Nokogiri(ReDoS)、actionpack
NuGet6件

特にMavenエコシステムではSpring Boot・Apache Camel・MINAの3プロジェクトで計9件のCritical/Highが集中しており、Javaバックエンド環境への影響が大きい1日です。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 19件を含む806件のCVEが更新されました。最も注目すべきはSpring Boot 4.0.6のリリースに伴う認可バイパス脆弱性(CVE-2026-40976)の修正です。Actuatorを有効にしている環境では構成の確認を推奨します。Apache MINAのデシリアライゼーション脆弱性(CVE-2026-41409)はCVE-2024-52046の不完全修正として再発しており、前回対策済みの環境でも再度のアップデートが必要です。またAdobe Commerce(CVE-2025-54236)はCISA KEVに登録されており実悪用が確認されているため、即時対応を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。