【セキュリティ日報】@fastify/express認証バイパス(CVSS 9.1)ほか200件

項目	優先度	対応	影響対象	クイックアクション
@fastify/express ミドルウェアパス二重登録による認証バイパス CVE-2026-33807	high	対応必須	@fastify/express v4.0.4以前利用者	@fastify/express v4.0.5以降へアップデート
@fastify/express URL正規化バイパスによる認証スキップ CVE-2026-33808	high	対応必須	@fastify/express v4.0.4以前利用者	@fastify/express v4.0.5以降へアップデート
Vitest UIサーバー任意ファイル読み取り・実行 CVE-2026-47429	high	対応必須	vitest v4.0.x利用者	vitest v4.1.0以降へアップデート
Vitest ブラウザモード XSS CVE-2026-47428	high	対応必須	@vitest/browser v4.1.5以前利用者	@vitest/browser v4.1.6以降へアップデート
@fastify/reply-from プロキシヘッダー削除 CVE-2026-33805	high	推奨	@fastify/reply-from v12.6.1以前利用者@fastify/http-proxy v11.4.3以前利用者	@fastify/reply-from v12.6.2以降へアップデート
DOMPurify selectedcontent XSS CVE-2026-47423	high	推奨	dompurify v3.4.4以前利用者	dompurify v3.4.5以降へアップデート
Git LFS シンボリックリンク経由任意ファイル書き込み CVE-2025-26625	high	推奨	git-lfs v3.7.0以前利用者	git-lfs v3.7.1以降へアップデート
Adobe ColdFusion XXE 任意ファイル読み取り CVE-2025-61813	high	推奨	Adobe ColdFusion 2021/2023/2025利用者	Adobeセキュリティアップデート適用
Electron commandLineSwitches注入サンドボックス回避 CVE-2026-34769	high	推奨	Electron 38.8.5以前利用アプリ開発者	Electron 38.8.6/39.8.0/40.7.0以降へアップデート

本日の概況

2026年6月2日は200件のCVEがNVDに公開・更新されました。うちCriticalが26件、Highが63件と多い日です。Node.jsエコシステムでは @fastify/express に認証・レート制限を完全スキップできるCVSS 9.1のバグが2件確認されました（CVE-2026-33807、CVE-2026-33808）。また、フロントエンドテストで広く使われるVitestにも任意ファイルの読み取り・実行を許すCritical脆弱性（CVE-2026-47429）が新たに公開されました。DOMPurify のXSS（CVE-2026-47423）やGit LFSのパストラバーサル（CVE-2025-26625）にも注意が必要です。

本日の概要

指標	数値
新規CVE (NVD)	200件
Critical (9.0+)	26件
High (7.0-8.9)	63件
Medium (4.0-6.9)	100件
Low / None	11件
影響エコシステム	npm, PyPI, Go, crates.io, Linux kernel

Critical / High 脆弱性詳細

CVE-2026-33807 — @fastify/express ミドルウェアパス二重登録による認証バイパス

CVSSスコア: 9.1 (Critical)
CWE: CWE-436（インタープリテーション競合）
影響製品: @fastify/express v4.0.4 以前
概要: 子プラグインに登録されたミドルウェアのパスが onRegister 内で二重にプレフィックスされるバグです。ミドルウェアパスと子プラグインのプレフィックスが一致すると、ミドルウェアが実際のリクエストにマッチしなくなり、認証・認可・レート制限などのセキュリティ制御が完全にスキップされます。特別な設定やリクエスト細工は不要で、そのまま未認証アクセスが可能になります。
修正バージョン: @fastify/express v4.0.5 以降
参考: NVD / GitHub Advisory GHSA-hrwm-hgmj-7p9c

CVE-2026-33808 — @fastify/express URL正規化バイパスによる認証スキップ

CVSSスコア: 9.1 (Critical)
CWE: CWE-436（インタープリテーション競合）
影響製品: @fastify/express v4.0.4 以前
概要: Fastifyルーターが ignoreDuplicateSlashes または useSemicolonDelimiter オプションを有効にしている場合、FastifyはURLを正規化してルートにマッチさせる一方、@fastify/expressは正規化前のURLをExpressミドルウェアに渡します。これにより //admin や /admin;x のような細工されたURLで保護されたルートへの未認証アクセスが可能になります。
修正バージョン: @fastify/express v4.0.5 以降
参考: NVD / GitHub Advisory GHSA-6hw5-45gm-fj88

CVE-2026-47429 — Vitest UIサーバー任意ファイル読み取り・実行

深刻度: Critical（CVSSスコア未採番、GitHub Advisory GHSA-5xrq-8626-4rwp）
影響製品: vitest v4.0.x（4.1.0未満）
概要: Vitest UIサーバーが起動している際、ブラウザモードのRPCエンドポイント経由でサーバー上の任意ファイルを読み取り、実行できます。CI/CD環境やローカル開発環境でVitestを使用している場合、UIサーバーにアクセスできる者がホストOSのファイルを操作できる状態になります。
修正バージョン: vitest v4.1.0 以降
参考: GitHub Advisory GHSA-5xrq-8626-4rwp

CVE-2026-47428 — Vitest ブラウザモード otelCarrier パラメータ経由XSS

深刻度: Critical（GitHub Advisory GHSA-2h32-95rg-cppp）
影響製品: @vitest/browser v4.1.5 以前、v5.0.0-beta.2 以前
概要: Vitestブラウザモードが otelCarrier クエリパラメータをサニタイズせずインラインスクリプトとして埋め込むことで、XSSが発生します。悪意あるリンクをクリックさせることでブラウザコンテキストでの任意スクリプト実行が可能です。
修正バージョン: @vitest/browser v4.1.6 / v5.0.0-beta.3 以降
参考: GitHub Advisory GHSA-2h32-95rg-cppp

CVE-2026-33805 — @fastify/reply-from プロキシヘッダー削除による制御回避

CVSSスコア: 8.6 (High)
CWE: CWE-644（HTTPヘッダーの不適切な処理）
影響製品: @fastify/reply-from v12.6.1 以前 / @fastify/http-proxy v11.4.3 以前
概要: クライアントの Connection ヘッダーをプロキシ追加ヘッダーの後に処理するため、クライアントが Connection ヘッダーにプロキシ追加ヘッダー名を列挙することで、アップストリームへのリクエストからそれらのヘッダーを削除できます。認証トークンやアクセス制御ヘッダーを消去することでバックエンドのセキュリティ制御を回避できます。
修正バージョン: @fastify/reply-from v12.6.2 / @fastify/http-proxy v11.4.4 以降
参考: NVD / GitHub Advisory GHSA-gwhp-pf74-vj37

CVE-2026-47423 — DOMPurify selectedcontent 再クローン経由XSS

深刻度: High（GitHub Advisory GHSA-87xg-pxx2-7hvx）
影響製品: dompurify v3.4.4 以前
概要: DOMPurifyの selectedcontent 要素の再クローン処理にXSSバイパスが存在します。サニタイズ後のコンテンツを再処理する際に悪意あるスクリプトが注入される可能性があります。DOMPurifyはWebアプリケーションで広く利用されているHTMLサニタイザーであり、影響範囲が広いと考えられます。
修正バージョン: dompurify v3.4.5 以降
参考: GitHub Advisory GHSA-87xg-pxx2-7hvx

CVE-2025-26625 — Git LFS シンボリックリンク経由の任意ファイル書き込み

深刻度: High（GitHub Advisory GHSA-6pvw-g552-53c5）
影響製品: git-lfs（github.com/git-lfs/git-lfs）v3.7.0 以前
概要: 細工されたシンボリックリンクを含むGit LFSリポジトリをクローンまたはプルすると、任意のファイルパスへの書き込みが可能になります。悪意あるリポジトリを処理した際に、ファイルシステム上の意図しない場所にファイルが書き込まれます。
修正バージョン: git-lfs v3.7.1 以降
参考: GitHub Advisory GHSA-6pvw-g552-53c5

CVE-2025-61813 — Adobe ColdFusion XXE による任意ファイル読み取り

CVSSスコア: 8.2 (High)
CWE: CWE-611（XML外部エンティティ参照の不適切な制限）
影響製品: ColdFusion 2025.4、2023.16、2021.22 以前
概要: Adobe ColdFusionのXML処理においてXXE（XML外部エンティティ）脆弱性が存在し、サーバー上の任意ファイルが読み取られる可能性があります。悪用にはユーザーインタラクションが必要です。
対策: Adobeのセキュリティアップデートを適用してください。
参考: NVD / Adobe APSB25-105

CVE-2024-13152 ほか — トルコ製ソフトウェアSQLインジェクション一括更新（CVSS 9.8〜10.0）

本日のNVD更新で目立つのが、トルコ国家サイバーセキュリティ機関（siberguvenlik.gov.tr / USOM）から報告された業務系ソフトウェアのSQLインジェクション群です。24件以上がCVSSスコア9.8〜10.0のCriticalとして登録されています。

CVE-2024-13152 (CVSS 10.0): BSS Software Mobuy Online Machinery Monitoring Panel
CVE-2023-0939 / CVE-2023-1064 (CVSS 9.8): NTN / Uzay Baskul 製業務ソフト
CVE-2023-1547 / CVE-2023-1508 など (CVSS 9.8): 各種トルコ製業務システム

これらはいずれもSQLインジェクション（CWE-89）であり、日本のサービスへの直接的影響は限定的ですが、パターンとして認識しておく価値があります。

CVE-2026-34769 — Electron コマンドラインスイッチ注入によるサンドボックス回避

CVSSスコア: 7.7 (High)
CWE: CWE-88（引数注入）/ CWE-912（隠し機能）
影響製品: Electron 38.8.5 以前、39.7.x、40.6.x
概要: webPreferences に未ドキュメントの commandLineSwitches オプションが存在し、外部入力から webPreferences を構築しているアプリがレンダラープロセスのサンドボックスやWebセキュリティ制御を無効化されるリスクがあります。固定の webPreferences を使用しているアプリには影響しません。
修正バージョン: Electron 38.8.6 / 39.8.0 / 40.7.0 / 41.0.0-beta.8 以降
参考: NVD / GitHub Advisory GHSA-9wfr-w7mm-pc7f

エコシステム別サマリー

npm

本日は @fastify/express（CVE-2026-33807/33808）、@fastify/reply-from（CVE-2026-33805）、Vitest（CVE-2026-47429/47428）、DOMPurify（CVE-2026-47423）と、フロントエンド・バックエンド双方で注目すべき脆弱性が集中しました。特にfastify系は3件まとめてのアップデートが推奨される状況です。また @agenticmail/mcp（GHSA-63gr-g7jc-v8rg）で認証なし重要機能呼び出しが報告されています。

PyPI

praisonai-platform に複数のIDORと権限昇格脆弱性が報告されました（CVE-2026-47413、CVE-2026-47418、CVE-2026-47417、CVE-2026-47412）。いずれもv0.1.4で修正済みです。

Go

Mattermostが今月の大規模セキュリティアップデート（v11.5.2 / v10.11.14 / v11.4.4）に合わせて、設定値の機密情報露出（CVE-2026-6346/6347）やOAuth認可フローのバイパス（CVE-2026-6334）など複数を公開しています。Git LFS（CVE-2025-26625）もv3.7.1への更新が必要です。

crates.io

rattler（CVE-2026-47425）に noarch:python インストール時のパストラバーサルによる任意ファイル書き込みが報告されています。v0.43.2で修正済みです。

JVN 日本語情報

JVNDB-2026-000077 — ServerView Agents for Windows 複数の脆弱性

CVE: CVE-2026-32325（権限昇格）/ CVE-2026-27788（不適切なアクセス権割り当て）
CVSSスコア: 7.8 (High)
影響製品: エフサステクノロジーズ製 ServerView Agents for Windows
概要: 重要なリソースへの不適切なアクセス権割り当て（CWE-732）と権限昇格（CWE-268）の複数脆弱性です。ローカルユーザーが管理者権限を取得できる可能性があります。
情報セキュリティ早期警戒パートナーシップ: 株式会社ラック・飯田雅裕氏が発見
参考: JVN

まとめ

本日はNode.jsエコシステムのfastify系3件（CVSS 8.6〜9.1）とVitestのCritical2件が特に注目です。@fastify/express v4.0.5 への更新が最優先で、@fastify/reply-from v12.6.2 / @fastify/http-proxy v11.4.4 も合わせて適用を推奨します。Vitestを使用しているプロジェクトはv4.1.0以降へのアップデートを確認してください。

DOMPurifyのXSS（CVE-2026-47423）もWebアプリへの影響が広いため、v3.4.5への更新を推奨します。Git LFSユーザーはv3.7.1でパストラバーサルが修正されているため、クローン・プル操作前にアップデートしておくことを推奨します。

NVD全体ではトルコ製業務ソフトウェアのSQLインジェクション一括登録（CVSS 9.8〜10.0）が26件のCriticalの大半を占めていますが、対象が特定の地域向け業務ソフトのため日本への直接影響は限定的です。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。