本日は複数ソースを合計して約90件のCVEが更新・公開されました。最も深刻なのは CVE-2025-62718(Axios の SSRF、CVSS 9.9)で、多くの Node.js アプリケーションが影響を受ける可能性があります。Apache Camel の不完全な修正(CVE-2026-40453)や Ubiquiti ネットワーク機器の Critical クラスタも確認されており、インフラ担当者は早めの確認を推奨します。また JVN ではトレンドマイクロ製品の脆弱性(CVE-2026-34926)について、実際の攻撃悪用が確認されたとの情報が公開されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 更新・公開 CVE(概算) | 約90件 |
| Critical (CVSS 9.0+ または Critical ラベル) | 8件 |
| High (CVSS 7.0-8.9 または High ラベル) | 15件 |
| Medium | 約55件 |
| Low | 約5件 |
| 影響エコシステム | PyPI, Maven, npm, NuGet, Go, crates.io, Packagist |
Critical / High 脆弱性の詳細解説
CVE-2025-62718 — Axios NO_PROXY バイパスによる SSRF
- CVSS スコア: 9.9(Critical)
- CWE: CWE-441(Improper Handling of Recipient)、CWE-918(SSRF)
- 影響を受けるバージョン: Axios < 1.15.0 および < 0.31.0
- 修正バージョン: 1.15.0、0.31.0
Axios は localhost.(末尾ドット付き)や [::1](IPv6 リテラル)などのループバックアドレスに対する NO_PROXY ルールの照合処理に欠陥があります。これにより、内部サービスへのリクエストが意図せずプロキシを経由してしまい、SSRF 攻撃に悪用される可能性があります。週間ダウンロード数が 5 億を超える広く利用されているライブラリのため、影響範囲は非常に広いと考えられます。パッチが提供されているため、影響バージョンを使用している場合はアップデートを検討してください。
CVE-2026-40453 — Apache Camel CVE-2025-27636 の不完全な修正
- CVSS スコア: 採点中(GHSA: Critical)
- 影響を受けるコンポーネント:
camel-coap、camel-google-pubsub、camel-jms、camel-sjms - 修正バージョン: 4.14.6、4.18.2、4.20.0
以前に公開された CVE-2025-27636(Apache Camel のヘッダーインジェクション)に対する修正が不完全であることが判明しました。上記コンポーネントを利用している場合は修正バージョンへのアップデートが推奨されます。
CVE-2026-46670 — YesWiki 未認証 SQL インジェクション
- CVSS スコア: 採点中(GHSA: Critical)
- 影響を受けるバージョン: yeswiki/yeswiki < 4.6.4
- 修正バージョン: 4.6.4
PHP 製 Wiki エンジン YesWiki に認証なしで悪用可能な SQL インジェクション脆弱性が確認されました。認証前の攻撃経路であるため、インターネットに公開しているインスタンスは特に優先度を上げて対応を検討してください。
Ubiquiti セキュリティアドバイザリ Bulletin 064 — Critical 4件
Ubiquiti のセキュリティアドバイザリ Bulletin 064(公式リンク)にて、以下 4 件の Critical 脆弱性が公開されました。詳細情報はいずれも NVD で採点中です。
| CVE ID | 深刻度 |
|---|---|
| CVE-2026-33000 | Critical |
| CVE-2026-34908 | Critical |
| CVE-2026-34909 | Critical |
| CVE-2026-34910 | Critical |
Ubiquiti ネットワーク製品を運用している場合は、公式アドバイザリを確認してファームウェアアップデートの適用を検討してください。
CVE-2026-35194 — Apache Flink SQL インジェクションによる RCE
- CVSS スコア: 採点中(GHSA: High)
- 影響を受けるバージョン: flink-table-planner_2.12 < 1.20.4、< 2.0.2、< 2.1.2、< 2.2.1
- 修正バージョン: 1.20.4、2.0.2、2.1.2、2.2.1
Apache Flink のコード生成機能における SQL インジェクションにより、リモートコード実行が可能となる脆弱性です。Flink の SQL/Table API を使用しているデータパイプラインに影響します。
CVE-2026-44728 — @babel/plugin-transform-modules-systemjs 任意コード生成
- CVSS スコア: 採点中(GHSA: High)
- 影響を受けるバージョン:
@babel/plugin-transform-modules-systemjs< 7.29.4、< 8.0.0-alpha.13 - 修正バージョン: 7.29.4、8.0.0-alpha.13
悪意のある入力をコンパイルした際に任意のコードが生成される可能性があります。Babel を使用しているビルドパイプラインで、信頼できない入力を処理している場合は影響を確認してください。
CVE-2026-32687 — Postgrex(Elixir)SQL インジェクション
- CVSS スコア: 7.8(High)
- CWE: CWE-89(SQL Injection)
- 影響を受けるバージョン: postgrex 0.16.0 以上 0.22.2 未満
- 修正バージョン: 0.22.2
Elixir の PostgreSQL ドライバ Postgrex の Notifications.listen/3、Notifications.unlisten/3 において、チャンネル名がエスケープなしで LISTEN/UNLISTEN SQL 文に直接挿入されます。攻撃者がチャンネル名を制御できる場合、DDL や DML コマンドの連鎖実行が可能となります。
CVE-2026-40161 — Tekton Pipelines Git APIトークン漏洩
- CVSS スコア: 7.7(High)
- CWE: CWE-201(Insertion of Sensitive Information Into Sent Data)
- 影響を受けるバージョン: Tekton Pipelines 1.0.0〜1.0.2、1.3.4、1.6.2、1.9.3、1.11.1 未満
- 修正バージョン: 1.0.2、1.3.4、1.6.2、1.9.3、1.11.1
Git リゾルバの API モードにおいて、ユーザーがトークンパラメータを省略した場合にシステム設定の Git API トークンが攻撃者制御の serverURL に送信されます。GitHub PAT や GitLab トークンが漏洩する可能性があるため、Tekton Pipelines を利用している CI/CD 環境は対応を確認してください。
CVE-2026-45250 — FreeBSD setcred 権限昇格
- CVSS スコア: 採点中(GHSA: High)
- 対象: FreeBSD
FreeBSD の setcred システムコールに関連する脆弱性です。詳細は FreeBSD セキュリティアドバイザリ FreeBSD-SA-26:18.setcred を参照してください。
エコシステム別サマリー
PyPI(55件)
本日の OSV データで最も件数が多いのが PyPI エコシステムです。Django に集中しており、以下の複数の脆弱性が報告されています:
| CVE ID | 内容 | 修正バージョン |
|---|---|---|
| CVE-2026-6907 | UpdateCacheMiddleware が Vary: * のリクエストをキャッシュしてしまう情報漏洩 | 6.0.5、5.2.14 |
| CVE-2026-5766 | ASGI の Content-Length 不足でファイルアップロード上限をバイパス(DoS) | 6.0.5、5.2.14 |
| CVE-2026-4277 | GenericInlineModelAdmin での権限チェック欠如 | 6.0.4、5.2.13、4.2.30 |
| CVE-2026-33034 | ASGI の Content-Length 不足で DATA_UPLOAD_MAX_MEMORY_SIZE バイパス(DoS) | 6.0.4、5.2.13 |
| CVE-2026-35192 | セッション未更新時に Set-Cookie で Vary ヘッダーが変動しないセッション固定 | 6.0.5、5.2.14 |
Django ユーザーは対応する最新版へのアップデートを検討してください。
また Prefect(ワークフローオーケストレーター)でも複数の脆弱性が公開されています:
- CVE-2026-7722:
endswith()によるヘルスチェック除外を悪用した認証バイパス(固定版: 3.6.22) - CVE-2026-7723: WebSocket エンドポイントへの未認証イベントインジェクション(固定版: 3.6.14)
- CVE-2026-7724: DNS リバインディングを利用した SSRF バイパス(固定版: 3.6.28.dev2)
- CVE-2026-7725: Git 引数インジェクション(固定版: 3.6.25.dev7)
npm(2件)
- CVE-2025-62718(Axios): 前述の SSRF — v1.15.0 または v0.31.0 へのアップデートで対応
- CVE-2026-44728(@babel/plugin-transform-modules-systemjs): 前述のコード生成問題
Maven(Java)
Apache Camel(CVE-2026-40453)および Apache Flink(CVE-2026-35194)に注目。特に Flink の RCE は影響範囲が広く、早期の確認が推奨されます。
NuGet(.NET)
ImageMagick の .NET バインディング(Magick.NET)に複数の脆弱性が公開されました:
| CVE ID | 内容 | 深刻度 |
|---|---|---|
| CVE-2026-46692 | 分散ピクセルキャッシュサーバーでのヒープバッファ書き込み超過 | Moderate |
| CVE-2026-46693 | 分散ピクセルキャッシュサーバーでの競合状態によるファイルディスクリプタ乗っ取り | Moderate |
| CVE-2026-47165 | 分散ピクセルキャッシュサーバーでの情報開示(認証なし) | Moderate |
| CVE-2026-47166 | 分散ピクセルキャッシュサーバーでのヒープバッファ読み取り超過 | Moderate |
すべて修正版は Magick.NET 14.12.0 で対応されています。
Go
Tekton Pipelines に複数の脆弱性(CVE-2026-40161、CVE-2026-40924、CVE-2026-25542、CVE-2026-40923)が公開されました。修正版は v1.0.2、v1.3.4、v1.6.2、v1.9.3、v1.11.1 です。
JVN 日本語情報
JVNDB-2026-016802 — トレンドマイクロ製企業向けエンドポイントセキュリティ製品(重要)
- CVSS スコア: 6.7(Medium)
- JVN ID: JVNDB-2026-016802
- 対象 CVE: CVE-2026-34926(Apex One サーバーのパストラバーサル)他7件
- 公開日: 2026年5月22日
トレンドマイクロの Apex One(オンプレミス版)を含む複数のエンドポイントセキュリティ製品に複数の脆弱性が存在します。CVE-2026-34926(パストラバーサル)については開発者が既に実際の攻撃での悪用を確認しています。 同製品を利用している組織は至急パッチ適用を検討してください。
JVNDB-2026-016803 — ISC BIND 複数の脆弱性
- JVN ID: JVNDB-2026-016803
- 対象 CVE: CVE-2026-3039、CVE-2026-3592、CVE-2026-3593、CVE-2026-5946
- 公開日: 2026年5月22日
ISC BIND に複数の脆弱性が存在し、メモリ過剰消費(DoS)、リソース枯渇、use-after-free(DNS-over-HTTPS 実装)、アサーション違反などが含まれます。BIND を DNS サーバーとして運用している場合は、ISC の公式アドバイザリを確認してアップデートを検討してください。
まとめ
本日の最大の注目点は、npm 週間ダウンロード数が 5 億を超える Axios の CVSS 9.9 の SSRF 脆弱性(CVE-2025-62718)です。NO_PROXY 設定によるループバックアドレス保護をバイパスされる可能性があるため、Axios を使用しているすべてのプロジェクトで v1.15.0 または v0.31.0 への更新を確認してください。
Critical クラスタとして Ubiquiti ネットワーク機器に 4 件の Critical 脆弱性が同一アドバイザリで公開されており、Ubiquiti 製品を運用している環境では公式アドバイザリの確認が必要です。また JVN から報告されているトレンドマイクロ製品への実攻撃悪用(CVE-2026-34926)は既に被害が発生している可能性があるため、対象製品を利用している組織は優先度を上げて対応を検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。