本日はGitホスティングサービス「Gogs」に19件の脆弱性が一括公開され、うちRCEにつながるCriticalが3件含まれています。OpenDJのJava Deserialization Pre-Auth RCE(CVE-2026-46495)、motionEyeの認証バイパス(CVE-2026-46488)など、セルフホスト型ツールを中心に重大な脆弱性が多数確認されました。
本日の概要
| 指標 | 数値 |
|---|---|
| アドバイザリ総数 | 68件 |
| Critical | 10件 |
| High | 22件 |
| Medium | 32件 |
| Low | 4件 |
| 影響エコシステム | Go, npm, PyPI, Maven, Packagist, crates.io |
Critical 脆弱性の詳細解説
Gogs v0.14.3 — 大型パッチリリース(19件)
Gogsは2026年6月23日にv0.14.3をリリースし、19件の脆弱性を一括修正しました。RCEにつながるCriticalが3件、CSRFやXSSを含むHighが9件含まれており、自己ホスト型Gitサービスとして利用している場合は早急なアップデートを推奨します。
CVE-2026-52813 — 組織名パストラバーサルによる RCE(CRITICAL)
- 影響ソフトウェア: Gogs < 0.14.3
- 概要: 組織名にパストラバーサル文字を含めることで、Gitフックの配置先ディレクトリを操作でき、サーバ上で任意コードを実行できる可能性があります。
- 修正バージョン: v0.14.3
- 参照: GHSA-c39w-43gm-34h5
CVE-2026-52806 — git rebase 引数インジェクションによる RCE(CRITICAL)
- 影響ソフトウェア: Gogs < 0.14.3
- 概要: PRのマージ処理中のgit rebase --execコマンドに対し引数インジェクションが可能で、任意コードを実行できる可能性があります。
- 修正バージョン: v0.14.3
- 参照: GHSA-qf6p-p7ww-cwr9
CVE-2026-52811 — シンボリックリンクによるリポジトリ外ファイル書き込み(CRITICAL)
- 影響ソフトウェア: Gogs < 0.14.3
- 概要: ファイルアップロード機能においてコミット済みの親シンボリックリンクを悪用することで、リポジトリ作業ディレクトリ外にファイルを書き込める状態にあります。
- 修正バージョン: v0.14.3
- 参照: GHSA-89mr-xqfv-758m
その他のGogs High/Medium脆弱性(v0.14.3で修正済み)
| CVE ID | 深刻度 | 概要 |
|---|---|---|
| CVE-2026-52812 | High | LFS dedupe パスが他テナントのプライベートリポジトリ内容を漏洩 |
| CVE-2026-52798 | High | .ipynb プレビューにおける Stored XSS |
| CVE-2026-52799 | High | 添付ファイルダウンロードの認可不備 |
| CVE-2026-52800 | High | CSRF によるオーガナイゼーションオーナー乗っ取り |
| CVE-2026-52807 | High | マイルストーン名を経由した DOM-based XSS |
| CVE-2026-52810 | High | receive-pack/upload-pack 混同による読み取り専用リポジトリへの書き込み |
| CVE-2026-52801 | High | ミラー設定を通じたローカルリポジトリの取り込み |
| CVE-2026-52805 | High | マイグレーションリダイレクトバイパスによるリポジトリ窃取 |
| CVE-2026-52808 | High | Write権限コラボレーターによる管理者専用設定の変更 |
| CVE-2026-52804 | Medium | コラボレーションアクセスモード検証不備による権限昇格 |
| CVE-2026-52815 | Medium | 未認証でのオーガナイゼーションチーム情報取得 |
| CVE-2026-47267 | Medium | WebhookデリバリでのSSRF |
| CVE-2026-52809 | Medium | パスワードリセットトークンの有効期限設定バグ |
| CVE-2026-52802 | Medium | redirect_to を経由したオープンリダイレクト |
| CVE-2026-52814 | Medium | SSH ハンドシェイクストールによる非対称DoS |
| CVE-2026-52796 | Low | Issue index パターンレンダリングでのDoS |
CVE-2026-46495 — OpenDJ 認証前 Java Deserialization RCE(CRITICAL)
- 影響ソフトウェア: opendj-server-legacy (Maven) < 5.1.1
- 概要: JMX RMI経由のJavaデシリアライゼーション処理に脆弱性があり、認証なしでリモートコード実行が可能な状態にあります。OpenDJはLDAPサーバとして認証基盤に利用されるケースが多く、影響範囲は広くなる可能性があります。
- 修正バージョン: 5.1.1
- 参照: GHSA-43x2-g84q-fmqx
CVE-2026-46488 — motionEye パスワードハッシュによる認証バイパス(CRITICAL)
- 影響ソフトウェア: motioneye (PyPI) < 0.44.0
- 概要: パスワードのハッシュ値を直接使用して認証を通過できる設計上の問題があります。motionEyeはWebカメラ監視システムとして広く使用されており、インターネット公開環境では特に注意が必要です。
- 修正バージョン: 0.44.0
- 参照: GHSA-r3cw-c95m-wfh9
CVE-2026-44203 — OpenAM Pre-auth 反射型 XSS(CRITICAL)
- 影響ソフトウェア: openam-oauth2 (Maven) < 16.1.1
- 概要: OAuth2/OIDCの
response_mode=form_postフローにおいて、state パラメータを経由した反射型XSSが認証前に発生します。SSOインフラに使われているケースでは影響範囲が広くなる可能性があります。 - 修正バージョン: 16.1.1
- 参照: GHSA-fq9h-c788-fx73
CVE-2026-48170 — scim-patch Prototype Pollution(CRITICAL)
- 影響ソフトウェア: scim-patch (npm) < 0.9.1
- 概要: SCIMパッチ操作の処理においてフィルタリングされていないキーによりプロトタイプ汚染が発生します。Node.jsアプリケーションでSCIMユーザ管理を実装している場合に影響を受ける可能性があります。
- 修正バージョン: 0.9.1
- 参照: GHSA-9m6g-wc8r-q59c
その他の Critical 脆弱性
| CVE ID | ソフトウェア | エコシステム | 概要 | 修正バージョン |
|---|---|---|---|---|
| CVE-2026-56266 | crawl4ai | PyPI | Docker API経由のファイル書き込み・SSRF・認証バイパス・XSS | 0.8.7 |
| CVE-2026-44179 | xwiki-pro-macros | Maven | ページタイトルとコンテンツからのRCE | 1.14.5 |
| CVE-2026-54352 | @budibase/server | npm | PWA-zip シンボリックリンクによる任意ファイル読み取り | 3.39.9 |
High 脆弱性のハイライト
Budibase — 複数のHigh脆弱性
Budibaseに複数のHigh/Critical脆弱性が報告されています。特に以下2件は認証なしでS3リソースへのアクセスが可能になります。
- CVE-2026-50136 (High): 未認証のS3署名付きアップロードURL生成 →
@budibase/serverv3.39.2で修正 - CVE-2026-50137 (High):
POST /api/attachments/:datasourceId/urlが未認証でS3 PUT pre-signed URLを発行可能 → v3.39.0で修正 - CVE-2026-48153 (High): OAuth2トークンエンドポイントURL経由のSSRF → v3.39.0で修正
Glances — コマンドインジェクション・Pickle Deserialization
- CVE-2026-46606 (High): KVM/QEMUのVMドメイン名を経由したコマンドインジェクション
- CVE-2026-46607 (High): バージョンキャッシュでの安全でないPickleデシリアライゼーション → 任意コード実行の可能性
- 修正バージョン: glances v4.5.5
OpenAM — LDAP Injection
- CVE-2026-41573 (High):
_queryIdパラメータ経由のLDAPインジェクション → v16.1.1で修正
Spinnaker — YAML Deserialization RCE
- CVE-2026-44795 (High): 安全でないYAMLデシリアライゼーションにより特定の型を使用した場合にRCEが可能 → 2025.3.3 / 2025.4.4 / 2026.0.3で修正
エコシステム別サマリー
Go(23件)
Gogsのバッチ修正が19件を占め、RCE・CSRF・XSS・SSRF・DoSと多岐にわたります。セルフホストGitサービスを利用している場合はv0.14.3へのアップデートを優先してください。runc(CVE-2026-41579: /devシンボリックリンク経由の制限付きホストファイルシステム操作)やbuildah(CVE-2026-44517: 悪意あるContainerfileによるビルドブレークアウト)のコンテナ関連修正も含まれます。
npm(18件)
Budibase(7件)が最多。修正が v3.39.0 / 3.39.2 / 3.39.9 と複数バージョンに分かれているため、使用バージョンを確認の上、最新の v3.39.9 へのアップデートを推奨します。n8n(2件)、actual-app(3件)も複数の修正が出ています。
PyPI(14件)
Glances(4件)、OctoPrint(2件)、motioneye(1件)が含まれます。motionEyeの認証バイパス(CVE-2026-46488、Critical)はインターネット公開環境での影響が大きく、早急な対応を推奨します。
Maven(7件)
OpenAM(4件)、OpenDJ(1件)、Spinnaker(1件)、xwiki-pro-macros(1件)。IAMインフラを自社管理している場合は、OpenAMとOpenDJの修正を優先確認してください。
JVN情報
本日の MyJVN 該当情報はありません。
まとめ
本日はGogsを筆頭に、セルフホスト型ツールに集中して大量のアドバイザリが公開されました。Critical 10件のうちRCEにつながるものが複数含まれており、特にGogs(v0.14.3未満)、OpenDJ(v5.1.1未満)、motionEye(v0.44.0未満)を運用している環境では早急な確認を推奨します。いずれも修正バージョンが提供済みですので、影響範囲を確認の上、パッチ適用を検討してください。
データソース: OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。