本日はGHSAで614件のセキュリティアドバイザリが更新されました。最大の注目は Next.js の13件一括セキュリティ修正で、SSRF・Middleware認可バイパス・DoS・XSS・キャッシュポイズニングと多岐にわたります。また、GUARDIANWALL MailSuite(CVE-2026-32661、CVSS 9.8)では実際の攻撃が確認されており、早急な対応が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| GHSAアドバイザリ更新 | 614件 |
| Critical (9.0+) | 63件 |
| High (7.0-8.9) | 258件 |
| Medium (4.0-6.9) | 243件 |
| OSV新規(npm) | 15件 |
| JVN情報 | 4件 |
| 影響エコシステム | npm, Maven, RubyGems, PyPI, Packagist, Go |
Critical / High 脆弱性の詳細解説
Next.js 13件一括セキュリティ修正(v15.5.18 / v16.2.6)
Next.js に13件の脆弱性が一括で修正されました。App Router・Pages Router の両方に影響する問題が含まれており、セルフホスティング環境は特に注意が必要です。主要な脆弱性は以下のとおりです。
- CVE-2026-44578 — WebSocket upgrade経由のSSRF(CVSS 8.6)。セルフホスト環境でNode.jsサーバーを使用している場合、内部サービスやクラウドメタデータへのリクエストが可能
- CVE-2026-44574 — dynamic routeパラメータインジェクションによるMiddleware認可バイパス(CVSS 8.1)
- CVE-2026-44573 — Pages Routerのi18n設定利用時のMiddlewareバイパス(CVSS 7.5)。保護ページのSSRデータが取得可能
- CVE-2026-45109 — Turbopack使用時のsegment-prefetchルート経由のMiddlewareバイパス(CVSS 7.5)。CVE-2026-44575の修正漏れ
- CVE-2026-44579 — Cache Components利用時の接続枯渇DoS(CVSS 7.5)
- CVE-2026-23870 — React Server Components のデシリアライズによるDoS(CVSS 7.5)
- CVE-2026-44575 — App Routerのsegment-prefetchルート経由のMiddlewareバイパス(CVSS 7.5)
その他、キャッシュポイズニング(CVE-2026-44576、CVE-2026-44582)、XSS(CVE-2026-44580、CVE-2026-44581)、Image Optimization APIのDoS(CVE-2026-44577)、リダイレクトキャッシュポイズニング(CVE-2026-44572)が修正されています。
- 修正: Next.js 15.5.18 / 16.2.6(一部は15.5.16 / 16.2.5で修正済み)
- 参考: Next.js v15.5.18リリース
CVE-2026-32661 — GUARDIANWALL MailSuite バッファオーバーフロー(CVSS 9.8)
- 深刻度: Critical(CVSS 9.8)— 悪用確認済み
- 影響: GUARDIANWALL MailSuite(オンプレミス版)
- 概要: キヤノンマーケティングジャパンが提供するGUARDIANWALL MailSuiteのpop3wallpasswdコマンドにスタックベースのバッファオーバーフローの脆弱性があり、実際の攻撃が確認されています。grdnwwwユーザ権限で実行される構成が影響を受けます。
- 修正: 開発元の提供する修正パッチを適用
- 参考: JVN
CVE-2026-32635 — Angular i18n属性バインディングXSS(CVSS 9.0)
- 深刻度: Critical(CVSS 9.0)
- 影響: @angular/core, @angular/compiler(v18以前、v19〜v21の一部)
- 概要: Angularのランタイムとコンパイラで、
i18n-<attribute>を使った国際化属性バインディングが組み込みのサニタイズ機構をバイパスし、XSSが成立する脆弱性です。hrefなどのセキュリティ上重要な属性が影響を受けます。 - 修正: v19.2.20 / v20.3.18 / v21.2.4 / v22.0.0-next.3 へアップデート
- 参考: GHSA-g93w-mfhg-p222 / NVD
CVE-2026-22738 — Spring AI SpELインジェクション(Critical)
- 深刻度: Critical
- 影響: Spring AI Vector Store(< 1.0.5 / < 1.1.4)
- 概要: Spring AIのベクトルストアで、ユーザー入力がフィルタ式のキーとして使用された場合にSpELインジェクションが発生します。AI/LLMアプリケーションでSpring AIを使用している環境は確認が必要です。
- 修正: v1.0.5 / v1.1.4 へアップデート
- 参考: GHSA-fvh3-672c-7p6c
CVE-2026-39324 — Rack::Session::Cookie セッション偽造(Critical)
- 深刻度: Critical
- 影響: rack-session < 2.1.2
- 概要: Rack::Session::Cookieで、暗号化の復号失敗時のフォールバック処理に問題があり、シークレットなしでのセッション偽造とMarshalデシリアライゼーションが可能です。Railsアプリケーションへの影響が広範囲に及ぶ可能性があります。
- 修正: rack-session 2.1.2 へアップデート
- 参考: GHSA-33qg-7wpp-89cq
その他の注目脆弱性
- CVE-2026-27446 — Apache Artemis / ActiveMQ Artemis 認証欠如(Critical、Maven、fix: 2.52.0)
- CVE-2026-42354 — Sentry SAML SSOの認証不備によるユーザーIDリンク(Critical、PyPI、fix: 26.4.1)
- CVE-2026-41070 — openvpn-auth-oauth2 認証バイパス(Critical、Go、fix: 1.27.3)
- CVE-2026-42560 — go-pkgz/auth PatreonプロバイダのユーザーID衝突(Critical、Go、fix: 1.25.2 / 2.1.2)
- CVE-2026-41486 — Ray Parquetデシリアライゼーション経由のRCE(High、PyPI、fix: 2.55.0)
- CVE-2026-33195 — Rails Active Storage パストラバーサル(High、RubyGems、fix: 8.1.2.1 / 8.0.4.1 / 7.2.3.1)
- CVE-2026-28229 — Argo Workflows テンプレートへの未認可アクセス(High、Go、fix: 3.7.11 / 4.0.2)
エコシステム別サマリー
GHSAデータに基づくエコシステム別の脆弱性件数です。
| エコシステム | 件数 | 注目 |
|---|---|---|
| npm | 164件 | Next.js 13件一括修正、Angular XSS、i18next系 |
| Maven | 101件 | Spring AI SpELi、Apache Artemis認証欠如、Tomcat 2件 |
| RubyGems | 84件 | Rack 4件(セッション偽造・DoS)、Rails Active Storage |
| PyPI | 68件 | Sentry SAML SSO、Ray RCE |
| Packagist | 68件 | PhpSpreadsheet DoS |
| Go | 65件 | openvpn-auth-oauth2、Argo Workflows、Cilium |
| crates.io | 13件 | russh DoS |
| NuGet | 9件 | — |
RubyGemsエコシステムでは、Rackに4件の脆弱性が一括修正されています(セッション偽造、静的ファイル公開、multipart DoS、encoding DoS)。Rack 2.2.23 / 3.1.21 / 3.2.6 へのアップデートを推奨します。
JVN 日本語情報
MyJVNから本日4件の脆弱性情報が公開されました。
JVNDB-2026-000072 — GUARDIANWALL MailSuite バッファオーバーフロー(CVSS 9.8)
キヤノンマーケティングジャパンが提供するGUARDIANWALL MailSuiteのpop3wallpasswdコマンドにスタックベースのバッファオーバーフローの脆弱性です。本脆弱性を悪用した攻撃が既に確認されています。 オンプレミス版を利用している場合は即座にパッチ適用を実施してください。
JVNDB-2026-000073 — エレコム製無線LANルーター 複数の脆弱性(CVSS 9.8)
エレコム製の無線LANルーターおよび無線アクセスポイントに、OSコマンドインジェクション(2件)、認証欠如、ハードコードされた暗号鍵など計7件の脆弱性が確認されました。ファームウェアの更新を確認してください。
JVNDB-2026-000075 — Bytello Share DLL読み込み脆弱性(CVSS 7.8)
Bytello ShareのWindows版EXEインストーラにDLL検索パスの制御不備があり、同一ディレクトリの不正なDLLが読み込まれる可能性があります。
JVNDB-2026-000069 — あんしんフィルター for au 平文送信(CVSS 4.8)
KDDI提供のAndroidアプリ「あんしんフィルター for au」で重要情報が平文送信される脆弱性です。
まとめ
本日最大のトピックは Next.js の13件一括セキュリティ修正です。SSRF、Middleware認可バイパス、DoS、XSS、キャッシュポイズニングと広範囲にわたり、App Router・Pages Router双方が影響を受けます。Next.js利用者は v15.5.18 / v16.2.6 への更新を検討してください。
日本向けでは GUARDIANWALL MailSuite(CVE-2026-32661、CVSS 9.8)で悪用が確認されており、該当環境は即時対応を推奨します。また、Rack・Angular・Spring AI・Rails Active Storageなど主要フレームワークのセキュリティ修正も多数あるため、利用中のライブラリの更新状況を確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。