本日はNVDに200件のCVEが更新されました。Critical(CVSS 9.0以上)は29件と多めです。特に、JetBrains HubにCVSS 10.0の認証バイパス脆弱性(CVE-2026-50242)が公開されており、データベースへの直接アクセスを経由した管理者権限取得が可能とのことで、早急な対応が推奨されます。ProxySQL でも CVSS 10.0 の ACL バイパス(CVE-2026-48772)が報告されました。また、Spring Framework では SpEL インジェクションおよびデシリアライズ系の High 脆弱性が4件同日公開されており、Javaを利用する環境での確認が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE(NVD) | 200件 |
| Critical (9.0+) | 29件 |
| High (7.0-8.9) | 70件 |
| Medium (4.0-6.9) | 68件 |
| Low (0-3.9) | 1件 |
| GHSA アドバイザリ | 104件 |
| 影響エコシステム(OSV/GHSA) | npm, PyPI, Go, Packagist, crates.io |
Critical / High 脆弱性の詳細
CVE-2026-50242 — JetBrains Hub 認証バイパス(CVSS 10.0)
- CVSSスコア: 10.0(CRITICAL)
- CWE: CWE-306(Missing Authentication for Critical Function)
- 影響製品: JetBrains Hub 2026.1.13757未満 / 2025.3.148033未満 / 2025.2.148048未満 / 2025.1.148120未満 / 2024.3.148430未満 / 2024.2.148429未満
- 概要: データベースへの直接アクセスを経由することで、認証プロセスを完全にスキップして管理者権限を取得できる脆弱性です。CVSSスコアが満点(10.0)であり、ネットワーク経由でユーザー操作なしに攻撃可能と評価されています。JetBrains Hub はチーム開発向けのユーザー管理・認証基盤として広く利用されているため、影響範囲は広いと考えられます。
- 修正バージョン: 2026.1.13757 / 2025.3.148033 / 2025.2.148048 / 2025.1.148120 / 2024.3.148430 / 2024.2.148429 以降
- 参考: JetBrains Security Bulletin、NVD
CVE-2026-48772 — ProxySQL PROXY protocol ACLバイパス(CVSS 10.0)
- CVSSスコア: 10.0(CRITICAL)
- CWE: CWE-348(Use of Less Trusted Source)、CWE-863(Incorrect Authorization)
- 影響製品: ProxySQL 2.0.0〜3.0.8
- 概要: ProxySQL の MySQL フロントエンドが PROXY protocol v1 の
UNKNOWNトークンに続くアドレスフィールドを誤ってパースします。デフォルト設定(mysql-proxy_protocol_networks = '*')では、フロントエンドポートに到達できる任意の TCP クライアントが送信元 IP を偽装した PROXY フレームを送ることで、クエリルールや ACL を完全にバイパスできます。RW スプリッティングやスキーマピニングなど、client_addrを利用したルーティング設定がすべて偽装可能になります。 - 修正バージョン: ProxySQL 3.0.9
- 参考: GitHub Advisory、NVD
CVE-2026-56142 / CVE-2026-56141 — JetBrains Hub 権限昇格・アカウント乗っ取り(CVSS 9.9 / 9.8)
- CVSSスコア: 9.9(CRITICAL)/ 9.8(CRITICAL)
- 影響製品: CVE-2026-50242と同じバージョン範囲
- 概要: CVE-2026-56142 は認証詳細をアカウントに紐付けることで権限昇格が可能な脆弱性(CWE-915)。CVE-2026-56141 は予測可能なアカウント復元コードを利用したアカウント乗っ取り(CWE-338)です。本日公開されたCVE-2026-50242(CVSS 10.0)を含め、JetBrains Hub に対して合計3件の Critical 脆弱性が同日報告されており、重ねてのパッチ適用が必要です。
- 修正バージョン: CVE-2026-50242と同一パッチに含まれます
- 参考: JetBrains Security Bulletin
CVE-2026-49252 — deepstream.io Prototype Pollution(CVSS 9.9)
- CVSSスコア: 9.9(CRITICAL)
- CWE: CWE-1321(Improperly Controlled Modification of Object Prototype Attributes)
- 影響製品: deepstream.io 10.0.5 未満
- 概要: リアルタイムデータ同期サーバー deepstream.io に Prototype Pollution 脆弱性が存在します。レコードへの書き込み権限を持つ認証済みユーザーが、Prototype Pollution を通じて特権昇格を行える可能性があります。クライアントおよびバックエンドサービスのデータ同期基盤として利用されている場合、影響範囲に注意が必要です。
- 修正バージョン: 10.0.5
- 参考: GitHub Advisory、NVD
CVE-2026-54390 — JTL Shop サーバーサイドテンプレートインジェクション → RCE(CVSS 9.8)
- CVSSスコア: 9.8(CRITICAL)
- CWE: CWE-1336(Improper Neutralization of Special Elements in a Template Engine)
- 影響製品: JTL Shop 5.2.0〜5.7.1
- 概要: Smarty テンプレートエンジンに渡されるユーザー入力がサニタイズされていないため、未認証の攻撃者がサーバーサイドテンプレートインジェクション(SSTI)を実行できます。バージョン 5.4.0〜5.7.1 ではさらに、Smarty モディファイア(
unserialize、file_get_contents等)を悪用してウェブシェルをウェブルートに書き込み、Webサーバーユーザー権限で任意コードを実行することも可能です。未認証で攻撃可能な点が深刻です。 - 修正バージョン: 5.7.2 以降
- 参考: NVD、sansec.io
CVE-2026-20181 — Cisco ISE パストラバーサルから任意コード実行(CVSS 9.1)
- CVSSスコア: 9.1(CRITICAL)
- CWE: CWE-22(Path Traversal)
- 影響製品: Cisco Identity Services Engine(ISE)および ISE-PIC(有効な管理者認証情報が必要)
- 概要: ユーザー入力の検証が不十分なため、有効な管理者認証情報を持つリモート攻撃者が細工した HTTP リクエストを送信することで、基盤 OS へのユーザーレベルアクセスを取得し、root へ権限昇格できます。単一ノード構成では DoS が発生する可能性もあります。ネットワークアクセス制御(NAC)の中核を担う Cisco ISE が対象である点に注意が必要です。
- 修正バージョン: Cisco Security Advisory を参照
- 参考: Cisco Security Advisory
CVE-2026-8450 — HTTP::Daemon for Perl OS コマンドインジェクション(CVSS 9.1)
- CVSSスコア: 9.1(CRITICAL)
- CWE: CWE-73(External Control of File Name or Path)、CWE-78(OS Command Injection)
- 影響製品: HTTP::Daemon(Perl)6.17 未満
- 概要:
send_file()関数が Perl の 2引数open()を使用しているため、| cmdや> pathなどのパイプ・リダイレクト記法をファイル名として渡すと OS コマンドが実行されます。信頼できない入力をsend_file()に渡す実装では、デーモンプロセスの UID でコマンドが実行されたり、任意パスへのファイル作成・上書きが発生します。Debianの LTS アナウンスも出ており、パッケージマネージャからの更新が可能です。 - 修正バージョン: HTTP::Daemon 6.17(CPAN)または各 OS のパッケージ更新
- 参考: NVD
Spring Framework クラスター — SpEL インジェクション / デシリアライズ(CVSS 8.1)
本日、Spring エコシステムで4件の High 脆弱性が一斉公開されました。
| CVE ID | 製品 | 概要 |
|---|---|---|
| CVE-2026-41717 | Spring Data MongoDB | @Query アノテーション + capture-all プレースホルダーでの SpEL インジェクション |
| CVE-2026-41729 | Spring Data REST | JSON Patch リクエストでマップキー経由の SpEL インジェクション |
| CVE-2026-41731 | Spring for Apache Kafka | 型ヘッダーのプレフィックスチェック迂回による任意 JDK 型デシリアライズ |
| CVE-2026-41732 | Spring for Apache Pulsar | 空設定時の全パッケージ信頼フォールバックによる任意デシリアライズ |
Spring Data MongoDB の影響バージョンは 3.4.0〜3.4.19 / 4.0.0〜4.0.15 / 4.1.0〜4.1.14 / 4.2.0〜4.2.15 / 4.3.0〜4.3.16 / 4.4.0〜4.4.14 / 4.5.0〜4.5.11 / 5.0.0〜5.0.5 です。詳細は spring.io/security を確認してください。
エコシステム別サマリー
npm(OSV 13件、GHSA 4件)
今日の npm エコシステムでは Nuxt / Vite / Astro / Angular に集中した公開が目立ちました。
Nuxt(3.21.7 / 4.4.7 で修正済み)
<NoScript>スロットコンテンツ経由の XSS(GHSA-m3q2-p4fw-w38m)— Nuxt 4.4.7 / 3.21.7 で修正- Linux 環境での vite-node IPC ソケットが世界接続可能(GHSA-534h-c3cw-v3h9)— 同ホストの別ユーザーがソケットへ接続してモジュール実行が可能
navigateTo/reloadNuxtAppの URL ハンドリング欠陥(オープンリダイレクト + クライアントサイドスクリプト実行)- Chrome DevTools 統合エンドポイント経由のプロジェクトルートパス漏洩(GHSA-rq7w-g337-39qq)
routeRulesマッチャーと vue-router の大文字小文字不一致によるミドルウェアバイパス(CVE-2026-53721)<NuxtLink>でのjavascript:/data:URL の反射型 XSS(CVE-2026-53722)
Vite(6.4.3 / 7.3.5 / 8.0.16 で修正済み)
- Windows 代替パスによる
server.fs.denyバイパス(CVE-2026-53571)— ネットワーク公開設定の Vite dev サーバーが対象 launch-editorでの UNC パスを通じた NTLMv2 パスワードハッシュ漏洩(CVE-2026-53632)— Windows 環境のみ影響
Astro(6.3.3 / 6.4.6 で修正済み)
- スプレッドプロップスでの属性名エスケープ欠如による XSS(CVE-2026-54298)
- プリレンダリングエラーページフェッチでの Host ヘッダー SSRF(CVE-2026-54299)
- unescaped スロット名での反射型 XSS(CVE-2026-50146)
Angular(19.2.22 / 20.3.22 / 21.2.15 / 22.0.0-rc.2 で修正済み)
- テンプレートおよび属性ネームスペースのサニタイズバイパスによる XSS(CVE-2026-50557)—
<svg:script>等で XSS が発生可能
Go(GHSA 2件)
- Gogs 0.14.3 で修正: 未検証リバースプロキシヘッダーによる認証バイパス(CVE-2026-25119、HIGH)、リポジトリ/wiki ファイルリストページでの DoS(CVE-2025-64719、MODERATE)
PyPI(GHSA 4件)
- OpenCTI(pycti): セミブラインド SSRF(CVE-2026-21887、HIGH、pycti 6.8.16 で修正)、イントロスペクション制限バイパス(CVE-2024-37155、MODERATE、pycti 6.1.9 で修正)
- motionEye 0.44.0 で修正: パストラバーサルによる任意ファイル読み取り(CVE-2026-31978)、ワールドリーダブルな設定ファイルによる管理者パスワードハッシュ漏洩(CVE-2026-32315)
Packagist(GHSA 2件)
- Paymenter 1.2.11 で修正: パブリックファイルアップロード経由の RCE(CVE-2025-58048、CRITICAL)
crates.io(GHSA 1件)
- mise 2026.3.10 で修正:
.tool-versionsファイル内 Tera テンプレートを利用したトラスト設定バイパスによる任意コード実行(CVE-2026-33646、CRITICAL)
JVN 日本語情報
本日(2026-06-23)の MyJVN には「該当する脆弱性対策情報はありません」という返答がありました。日本語の脆弱性情報については JVN iPedia を直接ご確認ください。
まとめ
本日は JetBrains Hub に CVSS 10.0〜9.8 の Critical が3件、ProxySQL にも CVSS 10.0 が1件と、管理系・プロキシ系ソフトウェアへの集中的な公開が目立ちます。JetBrains Hub を利用している場合は、公開された全3件のCVEに対応するパッチを早急に適用することを推奨します。ProxySQL は 3.0.9 へのアップグレードが修正対応となります。
Spring Framework エコシステムでは SpEL インジェクション・デシリアライズ系の High が4件まとめて公開されました。Spring Data MongoDB / REST および Spring for Apache Kafka / Pulsar を利用している環境では、該当バージョンの確認とアップグレードの検討が必要です。フロントエンド側でも Nuxt / Vite / Astro / Angular の各フレームワークに修正版がリリースされており、npm の依存関係を含めた影響範囲の確認をお勧めします。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。