本日は NVD から65件の CVE が公開・更新され、うち Critical(CVSS 9.0以上)が4件、High(7.0以上)が34件と多め。特に Next.js では SSRF、認証バイパス、DoS、XSS を含む11件が集中公開された。また Linux kernel の ksmbd(SMBサーバー)に CVSS 9.8 の Use-After-Free 脆弱性が報告されており、早急な対応が推奨される。MyJVNは本日の対象情報なし。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 新規/更新 CVE | 65件 |
| Critical (9.0+) | 4件 |
| High (7.0-8.9) | 34件 |
| Medium (4.0-6.9) | 20件 |
| Low (0-3.9) | 7件 |
| OSV エコシステム | npm 18件、PyPI 3件 |
| 影響エコシステム | npm, PyPI, Linux kernel |
Critical / High 脆弱性の詳細
CVE-2026-31718 — Linux kernel ksmbd Use-After-Free(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-416 Use After Free
- 影響バージョン: Linux kernel(複数の stable ブランチ)
- 修正コミット: 複数のパッチが git.kernel.org に公開済み
ksmbd(カーネル内蔵 SMB サーバー)において、TCP セッション切断後にデュラブルファイルハンドルのバイトレンジロックが適切にクリーンアップされない問題。スカベンジャースレッドがタイムアウト後に __ksmbd_close_fd() を呼び出す際、fp->conn が NULL になっているにもかかわらず fp->conn->llist_lock へのスピンロック取得を試みることで、解放済みメモリへのアクセスが発生する。
影響を受けるのは ksmbd を有効にした Linux ホスト(NAS、ファイルサーバー等)。パッチはすでに複数の stable ブランチへ提供されており、適用を推奨する。
CVE-2018-25332 — GitBucket 4.23.1 未認証リモートコード実行(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-306 Missing Authentication for Critical Function
- 影響バージョン: GitBucket 4.23.1
弱い暗号キーの生成とファイルアップロード機能を組み合わせることで、未認証の攻撃者がリモートからコードを実行できる脆弱性。Blowfish 暗号キーをブルートフォース後、git-lfs エンドポイント経由で悪意ある JAR プラグインをアップロードし、エクスプロイトエンドポイントからシステムコマンドを実行できる。なお本 CVE は2018年発見のものが今回 NVD に登録されたもの。
CVE-2026-8719 — WordPress AI Engine プラグイン 権限昇格(CVSS 8.8)
- CVSSスコア: 8.8(High)
- CWE: CWE-269 Improper Privilege Management
- 影響バージョン: AI Engine – The Chatbot, AI Framework & MCP for WordPress 3.4.9
- 修正バージョン: 3.4.10以降
WordPress 向け AI Engine プラグインのバージョン3.4.9において、MCP OAuth Bearer トークン認証パスで WordPress の capability チェックが欠落している問題。有効な OAuth トークンを持つ購読者(Subscriber)権限以上のユーザーが管理者レベルの MCP ツールを呼び出し、Administrator への権限昇格が可能。
WordPress サイト管理者は AI Engine プラグインのバージョンを確認し、速やかにアップデートを推奨する。
CVE-2026-46728 — Das U-Boot FIT 署名検証バイパス(CVSS 8.2)
- CVSSスコア: 8.2(High)
- CWE: CWE-346 Origin Validation Error
- 影響バージョン: Das U-Boot 2026.04 以前
- 修正バージョン: U-Boot 2026.04 以降
U-Boot の FIT(Flat Image Tree)イメージフォーマットにおいて、ハッシュ計算の対象ノード(hashed-nodes)が省略された場合に署名検証をバイパスできる問題。IoT デバイスや組み込みシステムのセキュアブートを無効化できる可能性があり、ブートローダー更新の機会に対応を検討すること。
Next.js 脆弱性まとめ(11件 — CVE-2026-23870 ほか)
Next.js 15.x / 16.x に計11件の脆弱性が集中公開された。修正バージョンは v15.5.18 および v16.2.6(一部 v15.5.16)。自己ホスト環境では特に SSRF と認証バイパス系への注意が必要。Vercel ホスト環境は一部 CVE の影響を受けない。
| CVE ID | 概要 | CVSS | 修正Ver |
|---|---|---|---|
| CVE-2026-44578 | SSRF via WebSocket upgrade | High (8.6) | 15.5.16 / 16.2.5 |
| CVE-2026-44574 | 動的ルートパラメータインジェクション(認証バイパス) | High (8.1) | 15.5.16 / 16.2.5 |
| CVE-2026-44573 | i18n Pages Router 認証バイパス | High (7.5) | 15.5.16 / 16.2.5 |
| CVE-2026-44575 | segment-prefetch ルート 認証バイパス | High (7.5) | 15.5.16 / 16.2.5 |
| CVE-2026-45109 | Turbopack 使用時の middleware バイパス(CVE-2026-44575 の不完全修正) | High (7.5) | 15.5.18 / 16.2.6 |
| CVE-2026-44579 | Cache Components DoS(コネクション枯渇) | High (7.5) | 15.5.16 / 16.2.5 |
| CVE-2026-23870 | Server Components DoS(過剰 CPU) | High (7.5) | 15.5.16 / 16.2.5 |
| CVE-2026-44580 | beforeInteractive XSS | Medium (6.1) | 15.5.16 / 16.2.5 |
| CVE-2026-44577 | 画像最適化 API DoS(OOM) | Medium | 15.5.16 / 16.2.5 |
| CVE-2026-44576 | RSC レスポンスキャッシュポイズニング | Medium | 15.5.16 / 16.2.5 |
| CVE-2026-44572 | Middleware リダイレクトキャッシュポイズニング | Low | 15.5.16 / 16.2.5 |
CVE-2026-44578(SSRF) が最も深刻。自己ホスト環境において、WebSocket upgrade リクエストを悪用してサーバーを内部ネットワークや AWS メタデータエンドポイント(169.254.169.254)へのプロキシとして機能させることが可能。認証不要でネットワーク経由から発火する。
CVE-2026-45109 は CVE-2026-44575 の修正漏れ(Turbopack 使用時のみ)。15.5.16 / 16.2.5 でも修正が不完全なため、v15.5.18 / v16.2.6 へのアップデートが必要。
Linux kernel — SMB/ksmbd 関連脆弱性群(High)
ksmbd 関連のパッチが複数まとめて提供された。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-31709 | SMB クライアント DACL 検証不足(OOB 読み取り) | 8.8 |
| CVE-2026-31712 | smb_check_perm_dacl ACE サイズ検証不足(OOB 読み取り) | 8.3 |
| CVE-2026-31715 | f2fs UAF(cp_wait 後の node_inode = NULL) | 7.8 |
| CVE-2026-23171 | bonding use-after-free(enslave 失敗時) | 7.8 |
| CVE-2026-31449 | ext4 extent tree OOB 読み取り | 7.8 |
| CVE-2026-31511 | Bluetooth MGMT ダングリングポインタ | 7.8 |
| CVE-2026-43500 | rxrpc 共有フラグメント OOB 書き込み | 7.8 |
Linux サーバー管理者は最新の stable カーネルへの更新を推奨する。
エコシステム別サマリー(OSV)
npm(18件)
Next.js(12件): 上記の詳細参照。v15.5.18 / v16.2.6 への更新が優先課題。
Svelte(4件): svelte 5.55.7 未満が対象。
| CVE / GHSA ID | 概要 | 修正バージョン |
|---|---|---|
| CVE-2026-42573 | DOM clobbering によるフレームワーク内部状態改ざん → XSS | svelte 5.55.7 |
| GHSA-f3cj-j4f6-wq85 | hydratable Promise 不正シリアライズ → SSR XSS | svelte 5.55.7 |
| CVE-2026-42599 | spread 属性経由のイベントハンドラ注入 → SSR XSS | svelte 5.55.7 |
| CVE-2026-42567 | <svelte:element> タグ検証における ReDoS | svelte 5.55.7 |
Astro(1件): CVE-2026-45028(CVSS 6.1)。サーバーアイランドの暗号化パラメータが別コンポーネントにリプレイ可能で、XSS に至る可能性。astro 6.1.10 で修正済み。
PyPI(3件)
Django 5.2.x / 6.0.x に3件。修正バージョンは Django 5.2.14 / 6.0.5。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-5766 | ASGI の Content-Length 検証不足 → FILE_UPLOAD_MAX_MEMORY_SIZE 制限バイパス | 5.3 Medium |
| CVE-2026-35192 | SESSION_SAVE_EVERY_REQUEST=True 時のセッションクッキー漏洩 | Medium |
| CVE-2026-6907 | Vary: * ヘッダー付きレスポンスのキャッシュ格納 → 機密情報漏洩 | 4.3 Medium |
JVN 日本語情報
本日の MyJVN データには該当する脆弱性対策情報はありません。
まとめ
本日のハイライトは Next.js への集中 CVE(11件)と、Linux kernel ksmbd の CVSS 9.8 Use-After-Free。Next.js は自己ホスト環境でのSSRF(CVE-2026-44578)と認証バイパス(CVE-2026-45109ほか)の組み合わせが特に深刻で、最新の v15.5.18 / v16.2.6 への更新が急務となっている。
WordPress 管理者は AI Engine プラグイン(CVE-2026-8719、CVSS 8.8)の権限昇格脆弱性を確認し、プラグインのアップデートを推奨する。Django を使用しているプロジェクトでは CVE-2026-35192(セッション漏洩)のリスクを評価し、5.2.14 / 6.0.5 への更新を検討すること。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。