本日のデータではOSV/GHSAから2026年新規CVEが3件(npmエコシステム: vite, launch-editor, Angular)確認されています。NVDでは多数の既存CVEが再評価・更新されており、Critical(CVSS 9.0以上)だけで14件以上が確認されています。MyJVN(JVN)は本日該当なしです。
本日の概要
| 指標 | 数値 |
|---|---|
| 2026年新規CVE(OSV/npm) | 3件 |
| NVD再評価・更新(既存CVE) | 多数確認 |
| Critical (9.0+) 確認分 | 14件 |
| High (7.0-8.9) 確認分 | 33件 |
| JVN/MyJVN | 0件 |
| 影響エコシステム | npm, PyPI |
Critical / High 脆弱性 詳細解説
CVE-2026-54267 — Angular Client Hydration DOM Clobbering & レスポンスキャッシュ汚染
- CVSS: CVSS v4(詳細評価中)/ 影響度: High相当
- 影響バージョン: @angular/core 22.0.0未満、21.2.17未満、20.3.25未満
- 概要: SSR(サーバーサイドレンダリング)のハイドレーション機能で、Angular が
ng-stateスクリプトタグに状態をシリアライズする際、DOM Clobbering 攻撃によって参照先を書き換えられ、APIレスポンスのキャッシュが汚染される。攻撃者が操作したレスポンスが別のユーザーへ提供される可能性がある。 - 修正バージョン: 22.0.1 / 21.2.17 / 20.3.25 以降
- 参考: GHSA-rgjc-h3x7-9mwg
CVE-2026-53632 — launch-editor NTLMv2ハッシュ漏洩(Windows UNCパス)
- CVSS: CVSS v4(詳細評価中)/ 影響度: High相当
- 影響バージョン: launch-editor 2.14.1未満、vite 8.0.16未満 / 7.3.5未満 / 6.4.3未満
- 概要: Windows環境でUNCパスを開こうとすると、Windowsが自動的に攻撃者のSMBサーバーへNTLM認証を試みる。結果としてNTLMv2パスワードハッシュが漏洩し、オフラインクラッキングによる認証情報の侵害につながる。
- 修正バージョン: launch-editor 2.14.1以降 / vite 8.0.16以降
- 参考: GHSA-v6wh-96g9-6wx3
CVE-2026-53571 — vite server.fs.deny バイパス(Windows)
- CVSS: CVSS v4 AV:N/AC:L/AT:P/PR:N/UI:N/VC:H / 影響度: Medium-High相当
- 影響バージョン: vite 8.0.16未満 / 7.3.5未満 / 6.4.3未満
- 概要:
server.fs.denyで拒否指定されたファイルが、Windows環境で代替パス(例: バックスラッシュや正規化されない形式)を使うとブラウザ側へ返却される可能性がある。--hostまたはserver.hostでネットワーク公開しているdev serverが対象。 - 修正バージョン: vite 8.0.16 / 7.3.5 / 6.4.3 以降
- 参考: GHSA-fx2h-pf6j-xcff
CVE-2021-28860 — node-mixme プロトタイプ汚染(Prototype Pollution)
- CVSS: 9.1 / Critical、CWE-1321
- 影響バージョン: node-mixme 0.5.1未満
- 概要:
mutate()およびmerge()関数の__proto__処理が不適切で、攻撃者がプログラム全体のオブジェクトプロパティを書き換え可能。サービス拒否(DoS)やプロパティ改ざんのリスクがある。 - 修正バージョン: v0.5.1 以降
- 参考: NVD / GHSA-79jw-6wg7-r9g4
CVE-2021-25296 — Nagios XI 5.7.5 OSコマンドインジェクション
- CVSS: 8.8 / High、CWE-78
- 影響バージョン: Nagios XI xi-5.7.5 (CVE-2021-25297 / CVE-2021-25298 も同様)
- 概要: Windows WMI ウィザード、スイッチ構成ウィザード、クラウドVM構成ウィザードの各
.inc.phpファイルで、認証済みユーザーの入力が不適切にサニタイズされ、OSコマンドの注入が可能。Nagios XIサーバー上でのリモートコード実行につながる。 - 修正バージョン: xi-5.7.5より新しいバージョン(公式リリースノート参照)
- 参考: NVD / Nagiosリリースノート
CVE-2017-15681 — Crafter CMS Studio 3.0.1 ディレクトリトラバーサル → RCE
- CVSS: 9.8 / Critical、CWE-22
- 影響バージョン: Crafter CMS Crafter Studio 3.0.1 以前
- 概要: 認証不要でディレクトリトラバーサルが可能で、OSファイルへの上書きからリモートコード実行(RCE)につながる脆弱性。PoC が Exploit-DB に公開済み。
- 修正バージョン: 3.0.1以降の修正版
- 参考: NVD / craftercms公式Advisory
エコシステム別サマリー
npm(3件)
| パッケージ | CVE | 概要 | 修正バージョン |
|---|---|---|---|
| vite | CVE-2026-53571 | server.fs.deny バイパス(Windows) | 8.0.16 / 7.3.5 / 6.4.3 |
| launch-editor / vite | CVE-2026-53632 | NTLMv2ハッシュ漏洩(UNCパス) | 2.14.1 / vite同上 |
| @angular/core | CVE-2026-54267 | DOM Clobbering & レスポンスキャッシュ汚染 | 22.0.1 / 21.2.17 / 20.3.25 |
PyPI(更新あり)
OSVデータにDjango の古いCVE(CVE-2011-0697, CVE-2011-0696, CVE-2010-4535, CVE-2010-4534)が含まれていますが、いずれも2010〜2011年公開の旧バージョン(Django 1.x系)対象です。現行バージョンのDjangoを使用している場合は影響ありません。
JVN日本語情報
本日はMyJVN(IPA/JPCERT/CC)から該当する脆弱性対策情報はありません。
まとめ
本日の最大の注目点はnpmエコシステムの2026年新規CVE 3件です。vite のdev serverをWindows環境で --host 付きで起動している場合、server.fs.deny のバイパスや、launch-editor 経由のNTLMv2ハッシュ漏洩が懸念されます。開発環境とはいえ、センシティブなファイルやWindows認証情報の漏洩リスクがあるため、修正版へのアップデートを推奨します。Angular(SSR)を使用しているプロジェクトでは provideClientHydration() を有効にしている場合、DOM Clobbering対策が重要です。
NVD側では、2017〜2021年公開の既存CVEが多数再評価されており、Crafter CMS(CVSS 9.8, RCE)、Zoho ManageEngine ADSelfService Plus(CVSS 9.8, 認証バイパス)、node-mixme(CVSS 9.1, Prototype Pollution)などCriticalスコアの脆弱性が確認されています。これらは旧バージョンを使用している環境での確認が必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
