【セキュリティ日報】Apache TomcatにCVSS9.8脆弱性、Next.jsも一括修正ほか多数

項目	優先度	対応	影響対象	クイックアクション
Apache Tomcat 入力検証不備 CVE-2026-41293	high	対応必須	Apache Tomcat利用者	v11.0.22 / v10.1.55 / v9.0.118以降へアップデート
Apache Tomcat HTTP メソッド制約の不正認可 CVE-2026-43515	high	対応必須	Apache Tomcat 7.x〜11.x利用者	v11.0.22 / v10.1.55 / v9.0.118以降へアップデート
Windows Netlogon スタックバッファオーバーフロー CVE-2026-41089	high	対応必須	Windows Server 運用者	2026年5月 Patch Tuesday を適用
Windows DNS ヒープバッファオーバーフロー CVE-2026-41096	high	対応必須	Windows DNS サーバー運用者	2026年5月 Patch Tuesday を適用
Firefox サンドボックスエスケープ CVE-2026-8401	high	対応必須	Firefox利用者	Firefox 150.0.3以降へアップデート
FortiSandbox 認証なしコード実行 CVE-2026-26083	high	対応必須	FortiSandbox利用者	FortiGuard アドバイザリのパッチを適用
Next.js WebSocket SSRF CVE-2026-44578	high	推奨	Next.js セルフホスト運用者	next v15.5.16 または v16.2.5以降へアップデート
Next.js ダイナミックルート認証バイパス CVE-2026-44574	high	推奨	Next.js ミドルウェア認証利用者	next v15.5.16 または v16.2.5以降へアップデート
Linux kernel ksmbd use-after-free CVE-2026-43376	high	対応必須	Linux ksmbd利用者	kernel.org 安定版パッチを適用

本日は Apache Tomcat に CVSS 9.8 の深刻な脆弱性が3件公開され、Tomcat 7〜11 系すべてが影響を受けます。同日に Windows Netlogon / DNS のリモートコード実行（CVSS 9.8）、Firefox サンドボックスエスケープ（CVSS 9.8）も報告されています。Next.js では 12 件の脆弱性が一括修正されており、セルフホスト運用者は早急な確認が推奨されます。

本日の概要

指標	数値
新規 / 更新 CVE (NVD)	60件以上
Critical (9.0+)	30件以上
High (7.0–8.9)	15件以上
Medium (4.0–6.9)	10件程度
影響エコシステム	npm, PyPI, Go, Maven

Critical / High 脆弱性の詳細

CVE-2026-41293 — Apache Tomcat 入力検証不備

CVSSスコア: 9.8 (Critical)
影響バージョン: Tomcat 9.0.0.M1〜9.0.117、10.1.0-M1〜10.1.54、11.0.0-M1〜11.0.21、10.0.0-M1〜10.0.27
概要: リクエスト処理の入力検証に問題があり、特定条件下でリモートから不正操作が可能になる可能性があります。
修正バージョン: 11.0.22、10.1.55、9.0.118 以降へアップデート
参考: NVD / oss-security

CVE-2026-43515 — Apache Tomcat 不正認可（HTTP メソッド制約）

CVSSスコア: 9.1 (Critical)
影響バージョン: Tomcat 7.0.0〜7.0.109、8.5.0〜8.5.100、9.0.0.M1〜9.0.117、10.1.0-M1〜10.1.54、11.0.0-M1〜11.0.21
概要: 同一拡張子に対して複数の HTTP メソッド制約を設定している場合、認可チェックが意図通りに機能しない問題です。
修正バージョン: 11.0.22、10.1.55、9.0.118 以降へアップデート
参考: NVD

CVE-2026-41089 — Windows Netlogon スタックバッファオーバーフロー

CVSSスコア: 9.8 (Critical)
影響対象: Microsoft Windows（要パッチ適用）
概要: Netlogon サービスにスタックベースのバッファオーバーフローが存在し、未認証の攻撃者がネットワーク経由でコードを実行できます。
修正: Microsoft 2026年5月 Patch Tuesday 適用
参考: MSRC

CVE-2026-41096 — Windows DNS ヒープバッファオーバーフロー

CVSSスコア: 9.8 (Critical)
影響対象: Microsoft Windows DNS サーバー
概要: Windows DNS コンポーネントにヒープベースのバッファオーバーフローが存在し、ネットワーク経由でのリモートコード実行が可能です。DNS サーバーを公開している環境は優先度高で確認が推奨されます。
修正: Microsoft 2026年5月 Patch Tuesday 適用
参考: MSRC

CVE-2026-8401 — Firefox サンドボックスエスケープ

CVSSスコア: 9.8 (Critical)
影響バージョン: Firefox 150.0.3 未満
概要: Profile Backup コンポーネントにサンドボックスエスケープの脆弱性が存在します。Firefox 150.0.3 で修正済みです。
修正バージョン: Firefox 150.0.3 以降へアップデート
参考: Mozilla Advisory

CVE-2026-26083 — FortiSandbox 認証なしコード実行

CVSSスコア: 9.8 (Critical)
影響バージョン: FortiSandbox 4.4.0〜4.4.8、5.0.0〜5.0.1、Cloud / PaaS 各バージョン
概要: 認可制御の欠如により、未認証の攻撃者が HTTP リクエストで任意コードを実行できます。
修正: FortiSandbox の最新パッチ適用
参考: FortiGuard

CVE-2026-44578 — Next.js WebSocket SSRF（セルフホスト環境）

CVSSスコア: 8.6 (High) — CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:N/A:N
影響バージョン: next < 15.5.16、next < 16.2.5
概要: Node.js サーバーでのセルフホスト運用時、WebSocket アップグレードリクエストを細工することで SSRF が発生し、内部サービスやクラウドメタデータエンドポイントへのアクセスが可能になります。Vercel 上のデプロイは対象外です。
修正バージョン: next 15.5.16 または 16.2.5 以降
参考: GHSA-c4j6-fc7j-m34r

CVE-2026-44574 — Next.js ダイナミックルートパラメータ注入による認証バイパス

CVSSスコア: 8.1 (High) — CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:N
影響バージョン: next < 15.5.16、next < 16.2.5
概要: ミドルウェアで動的ルートを保護している場合、細工されたクエリパラメータでルートパラメータを改ざんし、ミドルウェアのチェックを回避できます。
修正バージョン: next 15.5.16 または 16.2.5 以降
参考: GHSA-492v-c6pp-mqqv

CVE-2026-43376 — Linux kernel ksmbd use-after-free

CVSSスコア: 9.8 (Critical)
影響対象: Linux kernel（ksmbd モジュール使用時）
概要: ksmbd の oplock_info 解放処理に use-after-free が存在し、解放済みメモリへのアクセスが発生する可能性があります。
修正: kernel.org の安定版パッチを適用
参考: kernel git

エコシステム別サマリー

npm（18件）

Next.js が今回の中心で、合計 12 件の CVE が一括修正されました（v15.5.16 / v16.2.5 / v15.5.18 / v16.2.6）。主な分類：

認証バイパス：CVE-2026-44573（Pages Router i18n）、CVE-2026-44574（動的ルート）、CVE-2026-44575（App Router segment-prefetch）、CVE-2026-45109（Turbopack 未修正のフォローアップ）
SSRF：CVE-2026-44578（WebSocket upgrade）
DoS：CVE-2026-44579（接続枯渇）、CVE-2026-44577（Image Optimization OOM）、CVE-2026-23870（RSC CPU 消費）
XSS：CVE-2026-44580（beforeInteractive）、CVE-2026-44581（CSP nonce）
キャッシュポイズニング：CVE-2026-44576、CVE-2026-44582

Svelte 5.55.7 でも 4 件修正：XSS（DOM clobbering、スプレッド属性 SSR）、SSR XSS（Promise 非整合）、ReDoS（<svelte:element>）

Astro 6.1.10：CVE-2026-45028 — サーバーアイランドの暗号化パラメータにクロスコンポーネントリプレイ攻撃

PyPI（3件）

Django に 3 件（5.2.14 / 6.0.5 で修正）：

CVE-2026-5766：ASGI リクエストで FILE_UPLOAD_MAX_MEMORY_SIZE 制限バイパス
CVE-2026-35192：SESSION_SAVE_EVERY_REQUEST=True 時のキャッシュページでセッション漏洩
CVE-2026-6907：Vary: * レスポンスのキャッシュによるプライベートデータ漏洩

JVN 日本語情報

JVNDB-2026-000054 — Musetheque V4 情報公開 for IPKNOWLEDGE に複数の脆弱性

CVE: CVE-2026-24662（XSS）、CVE-2026-28761（CSRF）
CVSSスコア: 8.1 (High)
影響製品: 富士通 Japan 株式会社提供の Musetheque V4 情報公開 for IPKNOWLEDGE
詳細: JVN

JVNDB-2026-000074 — WPS Office 名前付きパイプへのアクセス制御不備

CVE: CVE-2018-6400
CVSSスコア: 7.8 (High)
概要: WPS Office のサービスプログラムが使用する名前付きパイプに適切な ACL が設定されておらず、一般ユーザーからアクセス可能です。
詳細: JVN

まとめ

本日は Apache Tomcat に CVSS 9.8〜9.1 の深刻な脆弱性が複数公開されました。Tomcat は 7.x から 11.x まで広い範囲が影響を受けており、修正バージョン（11.0.22 / 10.1.55 / 9.0.118）へのアップデートが推奨されます。Windows 環境では 5 月 Patch Tuesday で Netlogon と DNS の RCE が修正されており、Windows Update の適用確認が必要です。

Next.js 利用者（特にセルフホスト運用）は 12 件の CVE が一括修正された v15.5.16 / v16.2.5 への更新を確認してください。Turbopack 利用者は CVE-2026-45109 の対応が必要なため v15.5.18 以降が必要です。Django、Svelte、Astro も同様にパッチが出ているため、利用状況に応じて確認してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。