つみかさね

【セキュリティ日報】vite/Angular新CVEとNagios XIコマンドインジェクション(8.8)ほか

2026-07-06データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Angular Client Hydration DOM Clobbering & レスポンスキャッシュ汚染
CVE-2026-54267
22.0.1 / 21.2.17 / 20.3.25 以降へアップデート
high対応必須
launch-editor NTLMv2ハッシュ漏洩(vite Windows環境)
CVE-2026-53632
vite 8.0.16 / 7.3.5 / 6.4.3 以降へアップデート
high推奨
vite server.fs.deny バイパス(Windows)
CVE-2026-53571
vite 8.0.16 / 7.3.5 / 6.4.3 以降へアップデート
high対応必須
node-mixme プロトタイプ汚染(CVSS 9.1)
CVE-2021-28860
v0.5.1 以降へアップデート
high推奨
Nagios XI 5.7.5 OSコマンドインジェクション(CVSS 8.8)
CVE-2021-25296
最新バージョンへアップデート
high対応必須
Crafter CMS Studio 3.0.1 ディレクトリトラバーサル RCE(CVSS 9.8)
CVE-2017-15681
修正済みバージョンへアップデート、またはネットワーク公開停止
CVENVD脆弱性viteAngularNode.jsNagios XInpm

本日のデータではOSV/GHSAから2026年新規CVEが3件(npmエコシステム: vite, launch-editor, Angular)確認されています。NVDでは多数の既存CVEが再評価・更新されており、Critical(CVSS 9.0以上)だけで14件以上が確認されています。MyJVN(JVN)は本日該当なしです。

本日の概要

指標数値
2026年新規CVE(OSV/npm)3件
NVD再評価・更新(既存CVE)多数確認
Critical (9.0+) 確認分14件
High (7.0-8.9) 確認分33件
JVN/MyJVN0件
影響エコシステムnpm, PyPI

Critical / High 脆弱性 詳細解説

CVE-2026-54267 — Angular Client Hydration DOM Clobbering & レスポンスキャッシュ汚染

  • CVSS: CVSS v4(詳細評価中)/ 影響度: High相当
  • 影響バージョン: @angular/core 22.0.0未満、21.2.17未満、20.3.25未満
  • 概要: SSR(サーバーサイドレンダリング)のハイドレーション機能で、Angular が ng-state スクリプトタグに状態をシリアライズする際、DOM Clobbering 攻撃によって参照先を書き換えられ、APIレスポンスのキャッシュが汚染される。攻撃者が操作したレスポンスが別のユーザーへ提供される可能性がある。
  • 修正バージョン: 22.0.1 / 21.2.17 / 20.3.25 以降
  • 参考: GHSA-rgjc-h3x7-9mwg

CVE-2026-53632 — launch-editor NTLMv2ハッシュ漏洩(Windows UNCパス)

  • CVSS: CVSS v4(詳細評価中)/ 影響度: High相当
  • 影響バージョン: launch-editor 2.14.1未満、vite 8.0.16未満 / 7.3.5未満 / 6.4.3未満
  • 概要: Windows環境でUNCパスを開こうとすると、Windowsが自動的に攻撃者のSMBサーバーへNTLM認証を試みる。結果としてNTLMv2パスワードハッシュが漏洩し、オフラインクラッキングによる認証情報の侵害につながる。
  • 修正バージョン: launch-editor 2.14.1以降 / vite 8.0.16以降
  • 参考: GHSA-v6wh-96g9-6wx3

CVE-2026-53571 — vite server.fs.deny バイパス(Windows)

  • CVSS: CVSS v4 AV:N/AC:L/AT:P/PR:N/UI:N/VC:H / 影響度: Medium-High相当
  • 影響バージョン: vite 8.0.16未満 / 7.3.5未満 / 6.4.3未満
  • 概要: server.fs.deny で拒否指定されたファイルが、Windows環境で代替パス(例: バックスラッシュや正規化されない形式)を使うとブラウザ側へ返却される可能性がある。--host または server.host でネットワーク公開しているdev serverが対象。
  • 修正バージョン: vite 8.0.16 / 7.3.5 / 6.4.3 以降
  • 参考: GHSA-fx2h-pf6j-xcff

CVE-2021-28860 — node-mixme プロトタイプ汚染(Prototype Pollution)

  • CVSS: 9.1 / Critical、CWE-1321
  • 影響バージョン: node-mixme 0.5.1未満
  • 概要: mutate() および merge() 関数の __proto__ 処理が不適切で、攻撃者がプログラム全体のオブジェクトプロパティを書き換え可能。サービス拒否(DoS)やプロパティ改ざんのリスクがある。
  • 修正バージョン: v0.5.1 以降
  • 参考: NVD / GHSA-79jw-6wg7-r9g4

CVE-2021-25296 — Nagios XI 5.7.5 OSコマンドインジェクション

  • CVSS: 8.8 / High、CWE-78
  • 影響バージョン: Nagios XI xi-5.7.5 (CVE-2021-25297 / CVE-2021-25298 も同様)
  • 概要: Windows WMI ウィザード、スイッチ構成ウィザード、クラウドVM構成ウィザードの各 .inc.php ファイルで、認証済みユーザーの入力が不適切にサニタイズされ、OSコマンドの注入が可能。Nagios XIサーバー上でのリモートコード実行につながる。
  • 修正バージョン: xi-5.7.5より新しいバージョン(公式リリースノート参照)
  • 参考: NVD / Nagiosリリースノート

CVE-2017-15681 — Crafter CMS Studio 3.0.1 ディレクトリトラバーサル → RCE

  • CVSS: 9.8 / Critical、CWE-22
  • 影響バージョン: Crafter CMS Crafter Studio 3.0.1 以前
  • 概要: 認証不要でディレクトリトラバーサルが可能で、OSファイルへの上書きからリモートコード実行(RCE)につながる脆弱性。PoC が Exploit-DB に公開済み。
  • 修正バージョン: 3.0.1以降の修正版
  • 参考: NVD / craftercms公式Advisory

エコシステム別サマリー

npm(3件)

パッケージCVE概要修正バージョン
viteCVE-2026-53571server.fs.deny バイパス(Windows)8.0.16 / 7.3.5 / 6.4.3
launch-editor / viteCVE-2026-53632NTLMv2ハッシュ漏洩(UNCパス)2.14.1 / vite同上
@angular/coreCVE-2026-54267DOM Clobbering & レスポンスキャッシュ汚染22.0.1 / 21.2.17 / 20.3.25

PyPI(更新あり)

OSVデータにDjango の古いCVE(CVE-2011-0697, CVE-2011-0696, CVE-2010-4535, CVE-2010-4534)が含まれていますが、いずれも2010〜2011年公開の旧バージョン(Django 1.x系)対象です。現行バージョンのDjangoを使用している場合は影響ありません。


JVN日本語情報

本日はMyJVN(IPA/JPCERT/CC)から該当する脆弱性対策情報はありません。


まとめ

本日の最大の注目点はnpmエコシステムの2026年新規CVE 3件です。vite のdev serverをWindows環境で --host 付きで起動している場合、server.fs.deny のバイパスや、launch-editor 経由のNTLMv2ハッシュ漏洩が懸念されます。開発環境とはいえ、センシティブなファイルやWindows認証情報の漏洩リスクがあるため、修正版へのアップデートを推奨します。Angular(SSR)を使用しているプロジェクトでは provideClientHydration() を有効にしている場合、DOM Clobbering対策が重要です。

NVD側では、2017〜2021年公開の既存CVEが多数再評価されており、Crafter CMS(CVSS 9.8, RCE)、Zoho ManageEngine ADSelfService Plus(CVSS 9.8, 認証バイパス)、node-mixme(CVSS 9.1, Prototype Pollution)などCriticalスコアの脆弱性が確認されています。これらは旧バージョンを使用している環境での確認が必要です。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。