本日はGHSAで436件のアドバイザリーが更新され、うちCriticalが37件、Highが171件です。最も注目すべきは golang.org/x/crypto のSSHライブラリに集中した4件のCRITICAL脆弱性で、認証バイパスやデッドロックが含まれます。またNuclio(サーバレスプラットフォーム)でCronJobシェルへの持続的RCEが確認されており、Kubernetes上で利用している環境は至急確認が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| GHSA更新件数 | 436件 |
| Critical (9.0+) | 37件 |
| High (7.0-8.9) | 171件 |
| Medium | 188件 |
| Low | 22件 |
| 影響エコシステム | Go, npm, Maven, PyPI |
Critical / High 脆弱性の詳細解説
golang.org/x/crypto — SSH ライブラリの複数 CRITICAL 脆弱性
CVE-2026-42508・CVE-2026-39830・CVE-2026-39832・CVE-2026-46595
深刻度: CRITICAL(GitHub Advisory)
修正バージョン: golang.org/x/crypto v0.52.0 以降
Go の標準的な SSH ライブラリに、同時期に4件のCRITICAL脆弱性が報告されています。
- CVE-2026-42508:
@revokedステータスが強制されず、失効した証明書・鍵による認証が成立する場合がある(認証バイパス) - CVE-2026-39830: クライアントが予期しないレスポンスを送信するとサーバ側でデッドロックが発生し、サービス停止につながる
- CVE-2026-39832: 鍵フォワーディング時にエージェントの制約が正しく引き継がれず、権限昇格が可能になる
- CVE-2026-46595:
VerifiedPublicKeyCallbackが設定されていてもスキップされる場合があり、認証バイパスが可能
影響範囲: golang.org/x/crypto の SSH パッケージを使用するすべての Go アプリケーション(v0.52.0 未満)
対応: go get golang.org/x/crypto@v0.52.0 でアップデート。go.sum の更新と再ビルドを忘れずに。
CVE-2026-52831 — Nuclio CronJob シェルインジェクション(持続的 RCE)
深刻度: CRITICAL(GHSA-v5px-423j-pf7p)
公開日: 2026年7月8日
Nuclio(オープンソースサーバレスプラットフォーム)のCronトリガーにおいて、イベントヘッダーやボディがサニタイズされずにKubernetes CronJobのシェルコマンドに組み込まれます。CronトリガーのAPIやUIにアクセスできるユーザがいる環境では、実行環境への持続的なコマンド実行が可能になります。
影響範囲: NuclioをKubernetes上でCronトリガーを使用して運用しているすべての環境
対応: 最新コミット(3356b86a8bfa 以降)へのアップデート。GHSA-v5px-423j-pf7p を参照。
CVE-2026-49298 — Apache Airflow: JWT が KubernetesExecutor のプロセス引数に漏洩
深刻度: HIGH
修正バージョン: apache-airflow-core 3.2.2
Apache Airflow の Execution API JWT が、KubernetesExecutor のワーカープロセス起動時のコマンドライン引数として渡される問題です。コマンドライン引数は同ホスト上の他プロセスから /proc/<pid>/cmdline 等で参照できるため、JWT が漏洩し、Execution API への不正アクセスにつながる可能性があります。
影響範囲: KubernetesExecutor を使用する Apache Airflow 3.2.2 未満
対応: 3.2.2 にアップグレード。GHSA-5j6p-jrrm-6x94 を参照。
CVE-2026-48779 — ws(WebSocket): フラグメント処理によるメモリ枯渇 DoS
深刻度: HIGH
修正バージョン: ws 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0
npm パッケージ ws(週間ダウンロード数 1 億件超)において、細工された小さなフラグメントとデータチャンクを組み合わせることでサーバのメモリを枯渇させる DoS 攻撃が可能です。WebSocket エンドポイントを外部に公開しているサービスは影響を受ける可能性があります。
影響範囲: ws パッケージを使用するすべての Node.js アプリケーション(各系の修正バージョン未満)
対応: 使用系に応じて 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0 にアップデート。GHSA-96hv-2xvq-fx4p を参照。
その他の注目脆弱性
| CVE | ソフトウェア | 深刻度 | 概要 |
|---|---|---|---|
| CVE-2026-48017 | DbGate | HIGH | loadReader エンドポイントの functionName インジェクションによる RCE |
| CVE-2026-54307 | n8n | HIGH | 権限バイパスによる認証情報漏洩 |
| CVE-2026-35433 | Microsoft .NET | HIGH | 複数の .NET ランタイムパッケージに影響する権限昇格 |
| CVE-2026-49361 | Apache Fluss | HIGH | 細工されたフレームヘッダーによる JVM ヒープメモリ枯渇 |
| CVE-2026-54333 | UEFI Firmware Parser | CRITICAL | tiano 解凍器 MakeTable のスタック境界外書き込み(パッチ未提供) |
| CVE-2026-54334 | UEFI Firmware Parser | CRITICAL | tiano 解凍器 ReadCLen のヒープ境界外書き込み(パッチ未提供) |
| CVE-2026-53649 | Joro | CRITICAL | 認証なしのクロスオリジンプラグインアップロードによる RCE |
エコシステム別サマリー
Go
golang.org/x/crypto の SSH 関連4件が最重要。v0.52.0 への更新で一括対応可能です。Nuclio の RCE(Go 製)も CronJob 使用環境で要確認。
npm
ws の DoS(HIGH)と axios のプロキシバイパス(CVE-2026-44492)が継続注目。n8n DbGate では権限バイパスと RCE。
Nuxt の複数脆弱性(CVE-2026-47200 等)は 3.21.6/4.4.6 以降で修正済み。Vite の Windows バイパス(CVE-2026-53571・CVE-2026-53632)も修正版が提供されています。
Maven
Apache Fluss(ヒープ枯渇)、Netty HAProxy コーデック(参照カウント漏洩)、HL7 FHIR Core(ReDoS)が HIGH。Java/Spring 環境は各ライブラリの最新化を推奨します。
PyPI
Apache Airflow(JWT 漏洩、3.2.2 で修正)が最重要。UEFI Firmware Parser は CRITICAL 2件がパッチ未提供のため、利用している場合は回避策の検討が必要です。
JVN 日本語情報
富士電機製 Pupsman インストーラの複数の脆弱性(JVNDB-2026-000095)
- CVE: CVE-2026-57895(不適切なファイルアクセス権設定 / CWE-276)、CVE-2026-56437(ファイル検索パス制御不備 / CWE-427)
- CVSS スコア: 7.8(High)
- 概要: 富士電機株式会社が提供する Pupsman のインストーラに、インストール時の不適切なファイルアクセス権設定とファイル検索パス制御不備の脆弱性があります。ローカルからの任意コード実行(権限昇格)に悪用される可能性があります。
- 報告: GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏(情報セキュリティ早期警戒パートナーシップ)
- 参照: JVNDB-2026-000095
CISA ICS Advisory(2026年07月07日)
2026年7月7日に米国CISAが複数のICS/ICS Medical Advisoryを公表(新規7件)。Hydro-Québec 充電ステーション、Hitachi Energy PROMOD V 等、産業用制御システムへの影響が報告されています。OT環境を管理している場合はCISA公式サイトで詳細を確認してください。
まとめ
本日の最重要対応は golang.org/x/crypto の v0.52.0 へのアップデートです。SSH 実装に関わる認証バイパス・デッドロック・権限昇格が同時に修正されており、Goで構築したサービスを運用している場合は優先度を上げて対応してください。
KubernetesでNuclioを運用しているチームはCronトリガーの設定を見直し、Apache Airflow を KubernetesExecutor で使用している場合は 3.2.2 へのアップグレードが急務です。ws を使った WebSocket サーバを公開している場合は、DoS リスクの観点から修正版への更新を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
