【セキュリティ日報】Django SQLインジェクション CVSS9.8ほか — OSV 57件

項目	優先度	対応	影響対象	クイックアクション
Django SQLインジェクション — QuerySet集計メソッド (MySQL/MariaDB) CVE-2025-59681	high	対応必須	Django 4.2/5.1/5.2利用者 (MySQL/MariaDB環境)	Django 4.2.25 / 5.1.13 / 5.2.7 以降へアップデート
Django SQLインジェクション — QuerySet._connector引数 CVE-2025-64459	high	対応必須	Django 4.2/5.1/5.2利用者	Django 4.2.26 / 5.1.14 / 5.2.8 以降へアップデート
LiteSpeed cPanelプラグイン特権昇格 — 野生悪用確認 CVE-2026-48172	high	対応必須	LiteSpeed User-End cPanel Plugin利用者	バージョン2.4.7以降へアップデート・侵害確認を実施
Django FilteredRelation SQLインジェクション CVE-2025-57833	high	推奨	Django 4.2/5.1/5.2利用者	Django 4.2.24 / 5.1.12 / 5.2.6 以降へアップデート
Django ASGIRequestヘッダースプーフィング CVE-2026-3902	high	推奨	Django 4.2/5.2/6.0利用者 (ASGI環境)	Django 4.2.30 / 5.2.13 / 6.0.4 以降へアップデート
Django ASGI Content-LengthバイパスによるDoS CVE-2026-33034	high	推奨	Django 4.2/5.2/6.0利用者 (ASGI環境)	Django 4.2.30 / 5.2.13 / 6.0.4 以降へアップデート
Django XML Deserializerアルゴリズム複雑性DoS CVE-2025-64460	high	推奨	Django 4.2/5.1/5.2利用者	Django 4.2.27 / 5.1.15 / 5.2.9 以降へアップデート
Django ASGI重複ヘッダーDoS CVE-2025-14550	high	推奨	Django 4.2/5.2/6.0利用者 (ASGI環境)	Django 4.2.28 / 5.2.11 / 6.0.2 以降へアップデート
Django Unicodeリダイレクト文字列処理DoS (Windows) CVE-2025-64458	high	推奨	Django 4.2/5.1/5.2利用者 (Windows環境)	Django 4.2.26 / 5.1.14 / 5.2.8 以降へアップデート

本日は OSV データベースで 57 件の脆弱性情報が更新されました。PyPI エコシステム（主に Django）で Critical 2 件・High 7 件が含まれます。また LiteSpeed cPanel プラグインの特権昇格（CVE-2026-48172）が 2026 年 5 月に実際に悪用されていることが確認されています。NVD 全体では 145 件が登録されましたが、NVD 由来の Critical/High は本日は確認されていません。

本日の概要

指標	数値
NVD 全体	145件
OSV 更新	57件
Critical (9.0+)	2件
High (7.0-8.9)	7件
野生悪用確認	1件
影響エコシステム	PyPI (55件), npm (2件)

Critical / High 脆弱性詳細

CVE-2025-59681 — Django SQLインジェクション (MySQL/MariaDB)

CVSS: 9.8 Critical（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H）
影響バージョン: Django 4.2 < 4.2.25、5.1 < 5.1.13、5.2 < 5.2.7
QuerySet.annotate()、alias()、aggregate()、extra() に **kwargs 展開を伴う辞書を渡した場合、MySQL/MariaDB 環境でカラムエイリアスを介した SQL インジェクションが成立します。認証不要でリモートからデータベースに任意の SQL を実行できる状態です。
修正: Django 4.2.25 / 5.1.13 / 5.2.7 以降へアップデート
参考: NVD

CVE-2025-64459 — Django SQLインジェクション (_connector 引数)

CVSS: 9.1 Critical（AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N）
影響バージョン: Django 4.2 < 4.2.26、5.1 < 5.1.14、5.2 < 5.2.8
QuerySet.filter()、exclude()、get() および Q() クラスにおいて、_connector 引数として辞書展開を使用した場合に SQL インジェクションが発生します。
修正: Django 4.2.26 / 5.1.14 / 5.2.8 以降へアップデート
参考: NVD / GHSA-frmv-pr5f-9mcr

CVE-2026-48172 — LiteSpeed cPanel プラグイン特権昇格【野生悪用確認】

CVSS: 未スコア（CVSS 0.0、2026年5月に実際の悪用を確認）
影響バージョン: LiteSpeed User-End cPanel Plugin < 2.4.5
Redis の有効化/無効化機能の処理に問題があり、特権昇格（root 昇格を含む可能性）が可能です。侵害確認は以下のコマンドで実施できます。出力がなければ未被害、出力があれば対象 IP を調査してください。
```
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null
```
修正: バージョン 2.4.7 以降へアップデート推奨
参考: LiteSpeed リリースログ

CVE-2025-57833 — Django FilteredRelation SQLインジェクション

CVSS: 8.1 High（AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H）
影響バージョン: Django 4.2 < 4.2.24、5.1 < 5.1.12、5.2 < 5.2.6
FilteredRelation において QuerySet.annotate() や alias() に辞書展開で渡した場合に SQL インジェクションが成立します。攻撃複雑度が高い（AC:H）ものの、完全な C/I/A 侵害につながります。
修正: Django 4.2.24 / 5.1.12 / 5.2.6 以降へアップデート

CVE-2026-3902 — Django ASGIRequest ヘッダースプーフィング

CVSS: 7.5 High（AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N）
影響バージョン: Django 4.2 < 4.2.30、5.2 < 5.2.13、6.0 < 6.0.4
ASGIRequest においてハイフンとアンダースコアのヘッダー名が同一として扱われる曖昧なマッピングを悪用し、リモートからヘッダーを偽装できます。
修正: Django 4.2.30 / 5.2.13 / 6.0.4 以降へアップデート

CVE-2026-33034 — Django ASGI Content-Length バイパスによる DoS

CVSS: 7.5 High（AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H）
影響バージョン: Django 4.2 < 4.2.30、5.2 < 5.2.13、6.0 < 6.0.4
Content-Length ヘッダーが欠如または過少なASGI リクエストにより DATA_UPLOAD_MAX_MEMORY_SIZE の制限が回避され、大量のリクエストボディをメモリに展開することで DoS を引き起こします。
修正: Django 4.2.30 / 5.2.13 / 6.0.4 以降へアップデート

その他の High — Django DoS 系（3件）

CVE	概要	CVSS	修正バージョン
CVE-2025-64460	XML Deserializer アルゴリズム複雑性 DoS	7.5	4.2.27 / 5.1.15 / 5.2.9
CVE-2025-14550	ASGI 重複ヘッダーによる DoS	7.5	4.2.28 / 5.2.11 / 6.0.2
CVE-2025-64458	Unicode リダイレクト文字列処理 DoS（Windows 環境）	7.5	4.2.26 / 5.1.14 / 5.2.8

エコシステム別サマリー

PyPI（55件）

今回の OSV 更新は Django に集中しています。Django 4.2 / 5.1 / 5.2 / 6.0 の各シリーズに複数の修正が適用されており、最新版は Django 6.0.5 / 5.2.14 / 4.2.30 です。いずれかのシリーズを利用している場合は最新パッチへのアップデートを推奨します。なお今回の更新には 2020年（CVE-2020-9402）・2025年初期に公開済みの Django CVE のメタデータ更新も含まれています。

npm（2件）— Nuxt

CVE	概要	深刻度	修正バージョン
CVE-2026-45669	`navigateTo()` 外部リダイレクトにおける反射型 XSS	Medium	nuxt 3.21.6 / 4.4.6
CVE-2026-46342	`__nuxt_island` エンドポイントの共有キャッシュポイズニング	Medium	nuxt 3.21.6 / 4.4.6

Nuxt を利用している場合はバージョン 3.21.6 または 4.4.6 以降へのアップデートを検討してください。

JVN 日本語情報

本日は MyJVN から 2 件の情報が公開されました。

CVE-2026-8652 — NEC Aterm シリーズ OSコマンドインジェクション（NV26-003）

CVSS 6.8 (Medium)。NEC のルーター Aterm シリーズに OSコマンドインジェクション脆弱性（CWE-78）が存在します。報告者：三井物産セキュアディレクション株式会社加藤創氏。詳細は JVNDB-2026-000079 を参照してください。

CVE-2026-6059 — NEC Aterm シリーズクロスサイトスクリプティング（NV26-002）

CVSS 3.8 (Low)。同じく Aterm シリーズの XSS 脆弱性（CWE-79）。報告者：株式会社サイバーディフェンス研究所岩崎徳明氏。詳細は JVNDB-2026-000078 を参照してください。

まとめ

本日の最大の注目点は Django の複数の SQL インジェクション脆弱性です。特に CVE-2025-59681（CVSS 9.8）は MySQL/MariaDB 環境で認証なしにリモートからデータベースを操作できる状態であり、早急なパッチ適用が必要です。Django を利用しているプロジェクトは使用シリーズの最新パッチを確認してください（6.0.5 / 5.2.14 / 4.2.30）。

また LiteSpeed cPanel プラグイン（CVE-2026-48172）は 2026 年 5 月に実際の悪用が確認されています。cPanel 環境を運用している場合は侵害確認のコマンドを実行し、プラグインを 2.4.7 以降に更新してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。