【セキュリティ日報】wolfSSL/Django Critical 4件、CVSS 9.8権限バイパスほか

本日はNVDで71件のCVEを収集し、wolfSSLのECDSA証明書署名検証バイパス（CVE-2026-5194、CVSS 9.1）が最も深刻な脆弱性として確認された。OSVではDjangoに関連する複数のSQLインジェクション・権限バイパス（CVSS最大9.8）も更新確認されており、Djangoアプリケーション運用者は使用バージョンと適用済みパッチを早急に確認することを推奨する。npm経由ではNuxtに軽度なHTMLインジェクション系の脆弱性が2件報告されている。

本日の概要

Critical/High 脆弱性の詳細解説

CVE-2026-5194 — wolfSSL ECDSA証明書署名検証バイパス（CVSS 9.1）

• CVSS: 9.1（Critical）/ CWE-295（不適切な証明書検証）
• 影響: wolfSSL（EdDSAまたはML-DSAを同時有効化している環境でECDSA証明書検証を使用する場合）
• 修正: wolfSSL PR #10131 の修正を含む最新版

wolfSSLのECDSA証明書検証において、ハッシュ/ダイジェストのサイズとOIDのチェックが不足していた。これにより、鍵タイプに対して許容される最小サイズより小さいダイジェストが署名検証関数で受け入れられてしまう。CAの公開鍵が既知の状況では、ECDSA証明書ベースの認証の安全性が低下する可能性がある。EdDSAまたはML-DSAと組み合わせてECDSAを利用している環境のみ影響を受ける。

→ CVE-2026-5194 | NVD | wolfSSL PR #10131

CVE-2026-4277 — Django GenericInlineModelAdmin 権限バイパス（CVSS 9.8）

• CVSS: 9.8（Critical）/ CWE-285（不適切な認可）
• 影響: Django 4.2系（4.2.30未満）、5.2系（5.2.13未満）、6.0系（6.0.4未満）
• 修正: Django 6.0.4 / 5.2.13 / 4.2.30

GenericInlineModelAdmin における追加権限チェックが、細工された POST データ送信時に実施されていなかった。認証不要の攻撃者がインラインモデルのインスタンスを不正に作成できる可能性がある。CVSSスコア9.8はネットワーク経由・認証不要・完全性/機密性/可用性への影響が全てHighである点を反映しており、Djangoの脆弱性の中でも特に深刻度が高い。

→ CVE-2026-4277

CVE-2026-1287 — Django FilteredRelation SQLインジェクション（CVSS 4.0 Critical）

• CVSS: CVSS:4.0 Critical（VC:H/VI:H/VA:H、認証不要）/ CWE-89（SQLインジェクション）
• 影響: Django 4.2系（4.2.28未満）、5.2系（5.2.11未満）、6.0系（6.0.2未満）
• 修正: Django 6.0.2 / 5.2.11 / 4.2.28

FilteredRelation のカラムエイリアスに制御文字を含む細工された辞書を **kwargs として annotate()、aggregate()、extra()、values()、values_list()、alias() に渡すと、SQLインジェクションが発生する。認証不要でネットワーク経由から悪用可能。

→ CVE-2026-1287 | NVD

CVE-2025-64459 — Django QuerySet SQLインジェクション（CVSS 9.1）

• CVSS: 9.1（Critical）/ CWE-89（SQLインジェクション）
• 影響: Django 4.2系（4.2.26未満）、5.1系（5.1.14未満）、5.2系（5.2.8未満）
• 修正: Django 5.2.8 / 5.1.14 / 4.2.26

QuerySet.filter()、QuerySet.exclude()、QuerySet.get() および Q() クラスで、辞書展開を用いて _connector 引数に細工した値を渡すとSQLインジェクションが発生する。攻撃者はデータベースへの不正なクエリを実行できる可能性がある。

→ CVE-2025-64459

CVE-2026-42009 — gnutls DTLSパケット順序付けDoS（CVSS 7.5）

• CVSS: 7.5（High）/ CWE-475（未定義の動作）
• 影響: gnutls（詳細バージョンはRed Hat Bugzilla参照）
• 修正: gnutls最新版へアップデート

gnutlsのDTLS（Datagram TLS）パケット再整列ロジックにおいて、シーケンス番号が重複したパケットに対してコンパレータ関数が正しく処理できなかった。リモートの攻撃者が細工したパケットを送信することで、不安定なパケット順序または未定義の動作を引き起こし、サービス拒否（DoS）につながる可能性がある。

→ CVE-2026-42009 | NVD | Red Hat Bugzilla

CVE-2026-3902 — Django ASGIRequest ヘッダースプーフィング（CVSS 7.5）

• CVSS: 7.5（High）/ CWE-20（不適切な入力検証）
• 影響: Django 4.2系（4.2.30未満）、5.2系（5.2.13未満）、6.0系（6.0.4未満）
• 修正: Django 6.0.4 / 5.2.13 / 4.2.30

ASGIRequest において、ハイフン（-）またはアンダースコア（_）を含む2つのヘッダーバリアントが、アンダースコア付きの同一バージョンに曖昧にマッピングされる問題がある。リモート攻撃者がHTTPヘッダーをスプーフィングできる可能性があり、認証バイパスや権限昇格につながるリスクがある。

→ CVE-2026-3902

エコシステム別サマリー

PyPI（Django）— 55件更新

本日のOSVデータではDjangoに関する55件のPyPIエントリが更新されている。主なカテゴリは以下の通り：

• SQLインジェクション: CVE-2026-4277（9.8）、CVE-2026-1287（Critical CVSS4）、CVE-2025-64459（9.1）、CVE-2020-9402（8.8 / Oracle GIS関数経由）
• DoS（メモリ枯渇・算術複雑性）: CVE-2026-33034（7.5）、CVE-2025-14550（7.5）、CVE-2025-64460（7.5）
• ヘッダースプーフィング: CVE-2026-3902（7.5）
• セッションハイジャック: CVE-2026-35192（6.5）
• キャッシュVaryヘッダー誤動作: CVE-2026-6907（5.3）

多くは既存の修正バージョン（4.2.30 / 5.2.13 / 5.2.14 / 6.0.4 / 6.0.5）が提供済みの既知脆弱性だが、OSV側のメタデータが2026年5月20日前後に再更新されている。まだパッチ未適用の環境では早急な対応を推奨する。

npm（Nuxt）— 2件

Nuxt.jsにHTMLインジェクション系の脆弱性が2件確認された：

• CVE-2026-45669: navigateTo() の external: true 使用時、リダイレクトURLのサニタイズが不十分で <、>、&、' が未エンコード。任意のHTMLインジェクションが可能（CVSS4 Medium）
• CVE-2026-46342: /__nuxt_island/* エンドポイントがサーバー側でpropsのハッシュを検証しないため、攻撃者が任意のpropsを渡してアイランドコンポーネントを不正にレンダリングできる（CVSS4 Medium）
• 修正: いずれも Nuxt v3.21.6 / v4.4.6 で修正済み

JVN 日本語情報

本日のMyJVNデータには該当する脆弱性対策情報はありませんでした。

まとめ

本日はwolfSSLとDjangoにCriticalが集中した。wolfSSL（CVE-2026-5194）はEdDSA/ML-DSAとECDSAを組み合わせている環境のみ影響を受けるため、まず構成を確認することが先決となる。Djangoについては複数のCritical・Highが更新されており、特にSQLインジェクション系（CVE-2026-4277、CVE-2026-1287、CVE-2025-64459）は認証不要でリモートから悪用可能なため、Djangoアプリを本番稼働させているチームは使用バージョンとパッチ適用状況を確認の上、修正バージョンへのアップデートを検討してほしい。gnutlsやNuxtについても、利用環境に応じてアップデートを計画的に進めることを推奨する。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。