本日はNVDで200件のCVEが公開・更新され、うちCritical 23件、High 105件です。OSVからDjangoのセキュリティ修正3件も確認されています。特にCoreDNSのTSIG認証バイパス(CVSS 9.8)がKubernetes環境への影響が大きく、vm2のサンドボックスエスケープ4件(すべてCVSS 9.8)も引き続き注意が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD(公開・更新) | 200件 |
| Critical (9.0+) | 23件 |
| High (7.0-8.9) | 105件 |
| Medium (4.0-6.9) | 69件 |
| Low (0-3.9) | 1件 |
| OSV(新規) | 3件 |
| 影響エコシステム | Go, npm, PyPI, Packagist, Maven |
※ NVD 200件のうち149件はLinux kernelのセキュリティパッチです。非カーネルのCriticalは10件、Highは18件が含まれています。
Critical / High 脆弱性の詳細解説
CVE-2026-35579 — CoreDNS TSIG認証バイパス
- CVSSスコア: 9.8(Critical)
- 影響: CoreDNS 1.14.3 未満
- 概要: CoreDNSのgRPC、QUIC、DoH、DoH3トランスポートにおいて、TSIG(Transaction SIGnature)認証の検証処理が正しく実装されていない脆弱性です。gRPC/QUICではHMAC検証が呼び出されず、DoH/DoH3ではTSIGレコードの検査自体がスキップされます。攻撃者はTSIG認証で保護されたゾーン転送や動的DNS更新を不正に実行可能です。Kubernetes環境でCoreDNSを利用している場合は影響範囲が特に広くなります。
- 対策: CoreDNS 1.14.3 へアップデートを推奨します
- 参考: NVD / GHSA
vm2 サンドボックスエスケープ — Critical 4件
vm2(Node.js向けサンドボックスライブラリ)でサンドボックスを完全に突破し、ホストOS上で任意コマンドを実行可能な脆弱性が4件公開されています。いずれもCVSS 9.8です。
- CVE-2026-24118 — サンドボックスブレイクアウト(v3.11.0で修正)
- CVE-2026-24120 — CVE-2023-37466の修正不備を迂回(v3.10.5で修正)
- CVE-2026-24781 — inspect関数経由のエスケープ(v3.11.0で修正)
- CVE-2026-26956 — ホストプロセスオブジェクト取得(v3.10.5で修正)
vm2は昨日もCritical 5件が公開されており、サンドボックスの根本的な安全性に課題があります。vm2を依存関係に含むプロジェクトでは、最新版へのアップデートまたは代替ライブラリへの移行を検討してください。
CVE-2026-34084 — PhpSpreadsheet ストリームラッパー経由のRCE
- CVSSスコア: 9.8(Critical)
- 影響: PhpSpreadsheet 5.6.0 / 3.10.4 / 2.4.4 / 2.1.15 / 1.30.3 未満
- 概要: IOFactory::load()のファイル名パラメータがユーザー制御可能な場合に、PHPストリームラッパー(phar://等)を使用したデシリアライゼーション攻撃やSSRFが可能です。PHPエコシステムにおけるスプレッドシート処理のデファクトスタンダードであり、影響範囲が広い脆弱性です。
- 対策: 利用中のバージョン系列に対応する修正版へアップデートしてください
- 参考: NVD / GHSA
CVE-2026-38428 — Kestra SQLインジェクション
- CVSSスコア: 9.8(Critical)
- 影響: Kestra v1.3.3 以前
- 概要: ワークフロー自動化プラットフォームKestraにおいて、GETパラメータからのユーザー入力がSQLクエリに直接結合される問題です。攻撃者は任意のSQL式を注入してデータベースの内容を取得・改ざんできます。
- 対策: Kestraの最新版へアップデートしてください
- 参考: NVD / GHSA
CVE-2026-42087 — OpenC3 COSMOS SQLインジェクション
- CVSSスコア: 9.6(Critical)
- 影響: OpenC3 COSMOS 6.7.0 〜 7.0.0-rc3 未満
- 概要: 組み込みシステム・衛星運用ソフトウェアCOSMOSの時系列データベース(TSDB)コンポーネントにSQLインジェクション脆弱性があり、データの削除を含む任意のSQLコマンドが実行可能です。
- 対策: OpenC3 COSMOS 7.0.0-rc3 以降へアップデートしてください
- 参考: NVD / GHSA
CVE-2025-54236 — Adobe Commerce セッション乗っ取り
- CVSSスコア: 9.1(Critical)
- 影響: Adobe Commerce 2.4.9-alpha2 / 2.4.8-p2 / 2.4.7-p7 以前
- 概要: Adobe Commerce(Magento)に入力検証の不備があり、ユーザー操作なしでセッション乗っ取りが可能です。ECサイトを運用している場合は即時対応を推奨します。
- 対策: Adobe Commerceの最新セキュリティパッチを適用してください
- 参考: NVD
CVE-2026-38431 — ERPNext メールテンプレートSSTI
- CVSSスコア: 9.8(Critical)
- 影響: ERPNext v15.103.1 以前
- 概要: ERPNextのメールテンプレートエンジンにServer-Side Template Injection脆弱性があり、テンプレートの作成・編集権限を持つ攻撃者がサーバー上で任意のコードを実行できます。
- 対策: ERPNextの最新版へアップデートし、メールテンプレートの編集権限を最小限に制限してください
- 参考: NVD
CVE-2026-35397 — Jupyter Server パストラバーサル
- CVSSスコア: 8.8(High)
- 影響: Jupyter Server 2.17.0 以前
- 概要: REST APIにパストラバーサル脆弱性があり、認証済みユーザーがroot_dirの外にある同一プレフィックスのディレクトリにアクセスできます。
- 対策: Jupyter Serverの最新版へアップデートしてください
- 参考: NVD / GHSA
CVE-2026-39852 — Quarkus matrixパラメータによる認証バイパス
- CVSSスコア: 8.2(High)
- 影響: Quarkus 3.20.6.1 / 3.27.3.1 / 3.33.1.1 / 3.35.2 未満
- 概要: HTTPセキュリティレイヤーとルーティングレイヤー間でmatrixパラメータ(セミコロン)の処理に不整合があり、URLにセミコロンを付加することで認可チェックをバイパスできます。
- 対策: 利用中のバージョン系列に対応する修正版へアップデートしてください
- 参考: NVD / GHSA
Linux kernel — Critical/High 多数
本日のNVDデータではLinux kernelのセキュリティパッチが149件公開されています。Critical(CVSS 9.0+)が13件含まれ、IPv6 ICMPのcb[]初期化漏れ(CVE-2026-43038)、ksmbd SMB Directの符号バグによるヒープオーバーフロー(CVE-2026-43185)、IPv6 IOAMのヒープバッファオーバーフロー(CVE-2026-43186)、netfilter nft_set_pipapoのAVX2境界外アクセス(CVE-2026-43114)などが含まれます。いずれもカーネルアップデートで修正済みです。
エコシステム別サマリー
NVDおよびOSVデータに基づくエコシステム別の分布です。
| エコシステム | 件数 | 主な影響パッケージ |
|---|---|---|
| Linux kernel | 149件 | IPv6, ksmbd, netfilter, ext4, wifi各ドライバ |
| npm / Node.js | 4件 | vm2(サンドボックスエスケープ4件) |
| Go | 3件 | CoreDNS(TSIG認証バイパス他) |
| PyPI | 4件 | Django(セキュリティ修正3件)、Kestra |
| Packagist / PHP | 4件 | PhpSpreadsheet、ERPNext |
| Maven / Java | 4件 | Quarkus、OpenC3 COSMOS |
CoreDNSはGo製のDNSサーバーで、Kubernetes環境のデフォルトDNSとして広く採用されています。今回はTSIG認証関連を中心にCritical 1件、High 4件の計5件が修正されました。
OSV — Django セキュリティリリース
OSVデータからDjangoの3件のセキュリティ修正が確認されています。いずれもDjango 6.0.5 / 5.2.14で修正済みです。
- CVE-2026-35192 — セッション未変更時のレスポンスヘッダがCookieで適切にVaryされず、キャッシュされたページからセッション盗用が可能
- CVE-2026-5766 — ASGIリクエストでContent-Lengthヘッダの不整合により
FILE_UPLOAD_MAX_MEMORY_SIZE制限をバイパス可能 - CVE-2026-6907 —
UpdateCacheMiddlewareがVaryヘッダに*を含むリクエストを誤ってキャッシュし、プライベートデータが漏洩する問題
Django 6.0系または5.2系を使用している場合は、6.0.5 / 5.2.14へのアップデートを推奨します。
JVN 日本語情報
本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。
まとめ
本日はNVDで200件のCVE更新があり、Critical 23件を含む重要な修正が多数公開されました。最も注目すべきはCoreDNSのTSIG認証バイパス(CVE-2026-35579、CVSS 9.8)で、KubernetesのデフォルトDNSサーバーとして広く利用されているため影響範囲が大きいです。DoH/DoH3経由ではTSIG検証が完全にスキップされるため、TSIG認証を利用している環境では即時のアップデートを推奨します。またvm2のサンドボックスエスケープが引き続きCriticalで4件追加されており、vm2を依存に含むプロジェクトでは移行の検討が必要です。Djangoも3件のセキュリティ修正がリリースされており、6.0系/5.2系のユーザーはアップデートを確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。