【セキュリティ日報】Next.jsに12件の脆弱性、Gotenberg CVSS 10.0ほか 471件

項目	優先度	対応	影響対象	クイックアクション
Gotenberg ExifTool インジェクション CVE-2026-40281	high	対応必須	Gotenberg利用者（Docker環境）	v8.30.1以降のパッチを適用
ArgoCD ServerSideDiff Kubernetes Secret漏洩 CVE-2026-42880	high	対応必須	ArgoCD v3系利用者	v3.2.11またはv3.3.9へアップデート
GitHub Enterprise Server SSRF CVE-2026-8034	high	対応必須	GitHub Enterprise Server管理者	各バージョンの最新パッチを適用
Next.js WebSocket SSRF CVE-2026-44578	high	推奨	Next.jsセルフホスト利用者	v15.5.16 / v16.2.5へアップデート
Next.js Middlewareバイパス（動的ルート） CVE-2026-44574	high	推奨	Next.js Middleware利用者	v15.5.16 / v16.2.5へアップデート
Next.js Middlewareバイパス（Turbopack） CVE-2026-45109	high	推奨	Next.js Turbopack利用者	v15.5.18 / v16.2.6へアップデート
Next.js Middlewareバイパス（segment-prefetch） CVE-2026-44575	high	推奨	Next.js App Router利用者	v15.5.16 / v16.2.5へアップデート
Angular i18n XSS CVE-2026-32635	high	対応必須	Angular利用者（i18n機能使用）	v19.2.20以降へアップデート
Linux kernel ksmbd use-after-free CVE-2026-43376	high	対応必須	ksmbd有効のLinuxサーバー管理者	カーネルアップデートを適用

本日はNVDで471件のCVEが公開・更新され、うちCritical 27件と多めの1日です。最大の注目はNext.jsの一括セキュリティアップデート（12件）で、SSRF・Middlewareバイパス・DoSなど広範な修正が含まれます。また、GotenbergにCVSS 10.0の深刻な脆弱性が公開されています。

本日の概要

指標	数値
新規・更新CVE（NVD）	471件
Critical (9.0+)	27件
High (7.0-8.9)	102件
Medium (4.0-6.9)	66件
Low (0-3.9)	4件
影響エコシステム	npm, Maven, PyPI, Go, RubyGems

Critical / High 脆弱性の詳細解説

CVE-2026-40281 — Gotenberg ExifTool インジェクション（CVSS 10.0）

CVSSスコア: 10.0 (Critical)
CWE: CWE-88（引数インジェクション）
影響: Gotenberg v8.30.1以前
概要: Docker向けPDF生成APIであるGotenbergのメタデータ書き込みエンドポイントで、メタデータ値のサニタイズが不十分なため、ExifToolの疑似タグを注入できる脆弱性です。認証なしでコンテナ内の任意ファイルの上書き・移動・シンボリックリンク作成が可能になります。
修正: v8.30.1以降のパッチ適用を推奨
参考: NVD / GHSA-q7r4-hc83-hf2q

CVE-2026-42880 — ArgoCD ServerSideDiff による Kubernetes Secret 漏洩（CVSS 9.6）

CVSSスコア: 9.6 (Critical)
CWE: CWE-200, CWE-212（情報漏洩）
影響: Argo CD v3.2.0〜3.2.10、v3.3.0〜3.3.8
概要: ArgoCD の ServerSideDiff 機能に認可チェックとデータマスキングの欠落があり、Kubernetes Secret の内容を不正に取得できる脆弱性です。GitOps環境で秘密情報の漏洩につながります。
修正: v3.2.11 または v3.3.9 へアップデート
参考: NVD / GHSA-3v3m-wc6v-x4x3

CVE-2026-8034 — GitHub Enterprise Server SSRF（CVSS 9.8）

CVSSスコア: 9.8 (Critical)
CWE: CWE-918（SSRF）
影響: GitHub Enterprise Server（複数バージョン）
概要: Notebook Viewer のURLパーサー混乱を利用したSSRF脆弱性です。内部サービスへのアクセスが可能になります。
修正: 3.16.18 / 3.17.15 / 3.18.9 / 3.19.6 / 3.20.2 へアップデート
参考: NVD

Next.js 一括セキュリティアップデート（12件）

Next.js v15.5.16 / v15.5.18 / v16.2.5 / v16.2.6 で計12件の脆弱性が修正されました。App Router / Pages Router の両方に影響するものが含まれ、Next.js利用者は早急な確認を推奨します。

CVE-2026-44578 — WebSocket経由のSSRF（CVSS 8.6）

セルフホスト環境のNode.jsサーバーで、WebSocketアップグレードリクエストを悪用し内部サービスへのリクエストをプロキシさせる脆弱性です。Vercelホスティングは影響を受けません。修正: v15.5.16 / v16.2.5。

CVE-2026-44574 — 動的ルートパラメータによるMiddlewareバイパス（CVSS 8.1）

Middlewareに依存した認可チェックを、特殊なクエリパラメータで迂回できる脆弱性です。修正: v15.5.16 / v16.2.5。

CVE-2026-45109 — Turbopack環境でのMiddlewareバイパス（CVSS 7.5）

CVE-2026-44575の修正がTurbopack環境に適用されていなかった問題の追加修正です。修正: v15.5.18 / v16.2.6。

CVE-2026-44575 — segment-prefetchルート経由のMiddlewareバイパス（CVSS 7.5）

App Routerのセグメントプリフェッチ用ルートバリアントを利用して認可チェックを迂回できる脆弱性です。修正: v15.5.16 / v16.2.5。

CVE-2026-44573 — i18n利用時のMiddlewareバイパス（CVSS 7.5）

Pages Routerでi18n設定を使用している場合、locale未指定のデータルートでMiddlewareが実行されない脆弱性です。修正: v15.5.16 / v16.2.5。

CVE-2026-44579 — Cache Components利用時のDoS（CVSS 7.5）

Partial Prerenderingを使用するアプリケーションで、Server Actionへの不正なPOSTリクエストによりコネクション枯渇が発生する脆弱性です。修正: v15.5.16 / v16.2.5。

その他のNext.js脆弱性

CVE-2026-23870 — React Server Components のDoS（CVSS 7.5）
CVE-2026-44580 — beforeInteractiveスクリプトのXSS（CVSS 6.1）
CVE-2026-44577 — Image Optimization API のDoS（CVSS 5.9）
CVE-2026-44576 — RSCレスポンスのキャッシュポイズニング（CVSS 4.8）
CVE-2026-44581 — CSP nonce利用時のXSS（CVSS 4.7）
CVE-2026-44572 — Middleware/Proxy リダイレクトのキャッシュポイズニング（CVSS 3.7）

CVE-2026-32635 — Angular i18n属性バインディングのXSS（CVSS 9.0）

CVSSスコア: 9.0 (Critical)
影響: @angular/core, @angular/compiler（v18以前）
概要: i18n-<attribute> ディレクティブを使用するとAngularの組み込みサニタイズが迂回され、信頼できないデータと組み合わせた場合にXSSが成立する脆弱性です。
修正: v19.2.20 / v20.3.18 / v21.2.4 / v22.0.0-next.3
参考: NVD / GHSA-g93w-mfhg-p222

Linux kernel — ksmbd use-after-free / TCP-AO（CVSS 9.8）

Linux kernelの ksmbd（SMBサーバー）に複数のuse-after-free脆弱性（CVE-2026-43376、CVE-2026-43379）が修正されました。また、TCP-AO のMAC比較がタイミング攻撃に対して脆弱だった問題（CVE-2026-43384）も修正されています。ksmbd を有効にしている環境ではカーネルアップデートを推奨します。

エコシステム別サマリー

GHSAデータに基づくエコシステム別の脆弱性件数です。

エコシステム	件数	注目
npm	70件	Next.js 12件、Angular XSS、Astro XSS
Maven	37件	Spring Cloud Config 認可バイパス
PyPI	24件	Langflow コマンド実行
Go	23件	ArgoCD Secret漏洩、CloudNativePG権限昇格
RubyGems	4件	Active Record RCE（更新）
Packagist	4件	—
NuGet	2件	—
crates.io	2件	—

npmエコシステムでは、Next.jsの大量修正に加え、Astro（CVE-2026-41067）の define:vars XSSやNestJS（CVE-2026-35515）のSSEインジェクションも確認されています。

JVN 日本語情報

MyJVNから本日4件の脆弱性情報が公開されました。

JVNDB-2026-000067 — くら寿司公式アプリ証明書検証不備（CVSS 7.4）

スマートフォンアプリ「くら寿司公式アプリ」のプッシュ通知に関する通信で証明書検証が不十分な脆弱性です。中間者攻撃により通信内容が傍受される可能性があります。アプリの最新版へのアップデートを推奨します。

JVNDB-2026-000071 — GROWI パストラバーサル（CVSS 7.2）

Wikiツール「GROWI」にパストラバーサルの脆弱性が確認されました。GROWIを利用している組織は修正版への更新を検討してください。

その他のJVN情報

JVNDB-2026-000068 — Lhaz / Lhaz+ パストラバーサル（CVSS 3.3）
JVNDB-2026-000070 — libXpm 境界外読み取り（CVSS 3.3）

まとめ

本日はNext.jsの12件一括セキュリティ修正が最も影響の大きいトピックです。App Routerを使用しているプロジェクトでは、Middlewareバイパスやセルフホスト環境でのSSRFなど、認可に関わる深刻な問題が含まれるため、v15.5.18 / v16.2.6 への早期アップデートを推奨します。

また、GotenbergをDockerで利用している環境（CVSS 10.0）、ArgoCD v3系を運用しているKubernetes環境（CVSS 9.6）も優先的にパッチ適用を検討してください。Linux kernelの ksmbd 修正もSMBサーバーを運用している場合は確認が必要です。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。