本日はNVDで200件のCVEが公開・更新され、うちCriticalが18件、Highが79件。Gotenbergに認証不要のOSコマンドインジェクション(CVSS 9.8)が発覚したほか、PostgreSQLでは任意コード実行につながりうる脆弱性が4件(各CVSS 8.8)同時公開された。Sentry SAML SSOにはアカウント乗っ取り(CVSS 9.1)も含まれ、影響範囲の確認を推奨する。MyJVNは本日の対象情報なし。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 公開・更新 CVE | 200件 |
| Critical (9.0+) | 18件 |
| High (7.0-8.9) | 79件 |
| Medium (4.0-6.9) | 81件 |
| Low (0-3.9) | 9件 |
| OSV エコシステム | npm 18件、PyPI 3件 |
| GHSA アドバイザリ | 193件 |
| 影響エコシステム | npm, PyPI, Go, Maven, Packagist |
Critical / High 脆弱性の詳細
CVE-2026-42288 — ChurchCRM セットアップウィザード 事前認証RCE(CVSS 10.0)
- CVSSスコア: 10.0(Critical)
- CWE: CWE-94 コードインジェクション
- 影響バージョン: ChurchCRM 7.3.2 未満
- 修正バージョン: 7.3.2
ChurchCRM(オープンソースの教会管理システム)において、以前修正された CVE-2026-39337 の修正が不完全だったことが判明。セットアップウィザードの DB_PASSWORD パラメータが未サニタイズのまま残っており、認証なしでリモートコード実行が可能な状態。教会や宗教団体向けに広く使われているソフトウェアであるが、セルフホスト環境では早急なアップデートを推奨する。
CVE-2026-42589 — Gotenberg OSコマンドインジェクション(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-78 OSコマンドインジェクション
- 影響バージョン: Gotenberg 8.31.0 未満
- 修正バージョン: 8.31.0
Docker ベースの PDF 変換 API ツール「Gotenberg」において、/forms/pdfengines/metadata/write エンドポイントが JSON メタデータのキー名を ExifTool にそのまま渡してしまう問題。JSON キーに改行文字を埋め込むことで ExifTool の引数を分割・注入でき、-if フラグを経由して Perl 式の評価(= 任意の OS コマンド実行)が成立する。認証なし・単一の HTTP リクエストで攻撃可能で、HTTP 200 正常レスポンスが返るため検知が困難なケースもある。PDF 処理を自動化している環境での利用が多く、影響範囲の確認を推奨する。
CVE-2026-26191 — Fleet デバイス管理 ソフトウェアインストーラー RCE(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- 影響バージョン: Fleet v4.81.0 未満
- 修正バージョン: v4.81.0
オープンソースのデバイス管理ソフトウェア「Fleet」において、ソフトウェアインストーラーのパイプラインに脆弱性。.pkg・.deb・.rpm・.exe・.msi のメタデータを元にアンインストールスクリプトを自動生成する際、メタデータ値が未サニタイズのままスクリプトに埋め込まれる。悪意ある値を含むパッケージをアップロードされると、管理対象エンドポイントでのアンインストール実行時に root(macOS/Linux)または SYSTEM(Windows)権限でコマンドが実行される。即時アップグレードが困難な場合は、信頼できないソース由来のパッケージの使用を控えることを推奨する。
CVE-2026-42596 — Gotenberg SSRF deny-listバイパス(CVSS 9.4)
- CVSSスコア: 9.4(Critical)
- CWE: CWE-918 サーバーサイドリクエストフォージェリ(SSRF)
- 影響バージョン: Gotenberg 8.31.0 未満
- 修正バージョン: 8.31.0
Gotenberg の downloadFrom 機能とWebhook機能のデフォルト deny-list が、大文字小文字を区別する正規表現で実装されていたため回避可能。http://[::ffff:127.0.0.1]:... 形式の URL を渡すことで、ループバックやプライベートネットワーク上の内部サービスへの到達が可能。クラウド環境ではメタデータエンドポイントへのアクセスにつながるリスクがある。CVE-2026-42589 と合わせて v8.31.0 で修正済みのため、まとめてアップデートを推奨する。
CVE-2026-42354 — Sentry SAML SSO アカウント乗っ取り(CVSS 9.1)
- CVSSスコア: 9.1(Critical)
- CWE: CWE-290 認証バイパス(スプーフィング)
- 影響バージョン: Sentry 21.12.0 以上 26.4.1 未満
- 修正バージョン: 26.4.1
エラートラッキングツール「Sentry」の SAML SSO 実装に重大な脆弱性。同一 Sentry インスタンス上の別組織を利用することで、攻撃者が被害者のメールアドレスを知っている場合に任意ユーザーアカウントを乗っ取り可能。Sentry をオンプレミスで運用しているか、Sentry の SaaS 上で複数組織が同居する環境では影響を受けうる。Sentry は v26.4.1 でパッチを提供しており、早急な確認を推奨する。
CVE-2026-6473 / CVE-2026-6475 / CVE-2026-6477 / CVE-2026-6637 — PostgreSQL 複数脆弱性(各 CVSS 8.8)
- CVSSスコア: 8.8(High)×4件
- 影響バージョン: PostgreSQL 14.23 / 15.18 / 16.14 / 17.10 / 18.4 未満
- 修正バージョン: 14.23、15.18、16.14、17.10、18.4
PostgreSQL から同日4件の脆弱性が公開された。
| CVE ID | 概要 |
|---|---|
| CVE-2026-6473 | 複数のサーバー機能で整数オーバーフローによる OOB ライト。非特権ユーザーが OS 権限でコード実行可能 |
| CVE-2026-6475 | pg_basebackup / pg_rewind のシンボリックリンク追跡によりスーパーユーザーがローカルファイルを上書き可能 |
| CVE-2026-6477 | libpq の lo_read() 等で危険な関数 PQfn() を使用。スーパーユーザーがクライアントのスタックメモリを上書き可能 |
| CVE-2026-6637 | モジュール refint のスタックバッファオーバーフロー。非特権ユーザーによる任意コード実行が可能 |
PostgreSQL は多くの本番環境で利用されている。非特権ユーザーからのコード実行が可能な CVE-2026-6473 / CVE-2026-6637 は特に注意が必要で、サポートされている全バージョンが影響を受ける。公式リリースへのアップデートを推奨する。
CVE-2026-8053 — MongoDB Server time-series OOB ライト(CVSS 8.8)
- CVSSスコア: 8.8(High)
- CWE: CWE-787 Out-of-Bounds Write
- 影響バージョン: MongoDB 5.0 〜 8.3 の各バージョン
- 修正バージョン: 5.0.33 / 6.0.28 / 7.0.34 / 8.0.23 / 8.2.9 / 8.3.2
MongoDB の time-series コレクション実装に問題。認証済みのデータベース書き込み権限を持つユーザーが、内部フィールド名とインデックスのマッピングの不整合を引き起こし、mongod プロセスで OOB メモリライトを誘発できる。条件次第では任意コード実行につながりうる。time-series コレクションを利用している MongoDB 環境では、バージョン確認と更新を推奨する。
Next.js 脆弱性クラスター(CVSS 7.5〜8.6)
前日(2026-05-18)に引き続き、OSV データとして Next.js の脆弱性群が含まれている。主要なものは以下の通り(詳細は 2026-05-18 日報を参照)。
| CVE ID | 種別 | CVSS | 修正バージョン |
|---|---|---|---|
| CVE-2026-44578 | SSRF(WebSocketアップグレード) | 8.6 | 15.5.16 / 16.2.5 |
| CVE-2026-44574 | 認証バイパス(動的ルート) | 8.1 | 15.5.16 / 16.2.5 |
| CVE-2026-44573 | 認証バイパス(i18n Pages Router) | 7.5 | 15.5.16 / 16.2.5 |
| CVE-2026-44575 | 認証バイパス(App Router) | 7.5 | 15.5.16 / 16.2.5 |
| CVE-2026-45109 | 認証バイパス(Turbopack)不完全修正 | 7.5 | 15.5.18 / 16.2.6 |
| CVE-2026-23870 | DoS(Server Components) | 7.5 | 15.5.16 / 16.2.5 |
| CVE-2026-44579 | DoS(接続枯渇) | 7.5 | 15.5.16 / 16.2.5 |
セルフホストの Next.js 環境では v15.5.18(Turbopack 使用時)または v16.2.6 への更新を推奨する。
エコシステム別サマリー
npm(18件)
Next.js の脆弱性群(10件以上)が引き続き OSV に登録されているほか、Svelte においても XSS(DOM Clobbering、spread 属性)や ReDoS が計4件報告された。Astro でも Server Island の暗号化パラメータに関連する XSS が確認されている。
注目パッケージ:
next(v15.5.16 / v16.2.5 / v15.5.18 / v16.2.6 で修正)svelte(v5.55.7 で修正)astro(v6.1.10 で修正)
PyPI(3件)
Django において3件の脆弱性が報告された。ASGI リクエストの Content-Length ヘッダー不整合によるメモリ過大消費(CVE-2026-5766)、SESSION_SAVE_EVERY_REQUEST 有効時のセッション窃取(CVE-2026-35192)、Vary: * ヘッダーを含むレスポンスの誤キャッシュ(CVE-2026-6907)の3件。いずれも Django 5.2.14 / 6.0.5 で修正済み。
GHSA(その他エコシステム)
GHSA では npm・PyPI に加え、Go(Dozzle SSRF、Crabbox パストラバーサル)、Maven(Wildfly Elytron ブルートフォース)、PyPI(MLflow 任意ファイル読み取り、pgAdmin 4 デシリアライゼーション)、Hex(cowlib リソース枯渇)なども報告されている。MLflow への SSRF や pgAdmin 4 の HIGH 指定アドバイザリも影響範囲の確認を推奨する。
JVN 日本語情報
本日は MyJVN で該当する脆弱性情報はありませんでした。
まとめ
本日のハイライトは Gotenberg の2件(CVE-2026-42589 CVSS 9.8 と CVE-2026-42596 CVSS 9.4)。Docker で PDF 変換を自動化している環境では v8.31.0 への更新が急務。また PostgreSQL の4件(CVSS 8.8)は非特権ユーザーからのコード実行を含む深刻な内容で、14系から18系まで幅広いバージョンが影響を受ける。Sentry の SAML SSO(CVSS 9.1)も、オンプレミス運用や複数組織が同居する環境では対応を検討したい。
ChurchCRM(CVSS 10.0)は特定セクター向けだが、セルフホスト環境では即時対応を推奨する。Next.js の脆弱性群は前日(2026-05-18)に引き続き OSV に含まれており、未対応の環境では v15.5.18(Turbopack 使用時)または最新の v16.2.6 への更新を推奨する。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。