つみかさね

【セキュリティ日報】golang/cryptoのCRITICAL SSH脆弱性ほかGHSA 436件

2026-07-10データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
golang.org/x/crypto SSH認証バイパス(@revoked強制なし)
CVE-2026-42508
go get golang.org/x/crypto@v0.52.0
high対応必須
golang.org/x/crypto SSHサーバデッドロック
CVE-2026-39830
go get golang.org/x/crypto@v0.52.0
high対応必須
Nuclio CronJobシェルインジェクション(持続的RCE)
CVE-2026-52831
最新コミットへのアップデートとCronトリガー設定の見直し
high推奨
Apache Airflow JWT漏洩(KubernetesExecutor)
CVE-2026-49298
apache-airflow-core 3.2.2にアップグレード
high推奨
ws WebSocketメモリ枯渇DoS
CVE-2026-48779
ws 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0へアップデート
CVEGogolangnpmWebSocketApache AirflowNuclio脆弱性

本日はGHSAで436件のアドバイザリーが更新され、うちCriticalが37件、Highが171件です。最も注目すべきは golang.org/x/crypto のSSHライブラリに集中した4件のCRITICAL脆弱性で、認証バイパスやデッドロックが含まれます。またNuclio(サーバレスプラットフォーム)でCronJobシェルへの持続的RCEが確認されており、Kubernetes上で利用している環境は至急確認が必要です。

本日の概要

指標数値
GHSA更新件数436件
Critical (9.0+)37件
High (7.0-8.9)171件
Medium188件
Low22件
影響エコシステムGo, npm, Maven, PyPI

Critical / High 脆弱性の詳細解説

golang.org/x/crypto — SSH ライブラリの複数 CRITICAL 脆弱性

CVE-2026-42508CVE-2026-39830・CVE-2026-39832・CVE-2026-46595

深刻度: CRITICAL(GitHub Advisory)
修正バージョン: golang.org/x/crypto v0.52.0 以降

Go の標準的な SSH ライブラリに、同時期に4件のCRITICAL脆弱性が報告されています。

  • CVE-2026-42508: @revoked ステータスが強制されず、失効した証明書・鍵による認証が成立する場合がある(認証バイパス)
  • CVE-2026-39830: クライアントが予期しないレスポンスを送信するとサーバ側でデッドロックが発生し、サービス停止につながる
  • CVE-2026-39832: 鍵フォワーディング時にエージェントの制約が正しく引き継がれず、権限昇格が可能になる
  • CVE-2026-46595: VerifiedPublicKeyCallback が設定されていてもスキップされる場合があり、認証バイパスが可能

影響範囲: golang.org/x/crypto の SSH パッケージを使用するすべての Go アプリケーション(v0.52.0 未満)

対応: go get golang.org/x/crypto@v0.52.0 でアップデート。go.sum の更新と再ビルドを忘れずに。


CVE-2026-52831 — Nuclio CronJob シェルインジェクション(持続的 RCE)

深刻度: CRITICAL(GHSA-v5px-423j-pf7p)
公開日: 2026年7月8日

Nuclio(オープンソースサーバレスプラットフォーム)のCronトリガーにおいて、イベントヘッダーやボディがサニタイズされずにKubernetes CronJobのシェルコマンドに組み込まれます。CronトリガーのAPIやUIにアクセスできるユーザがいる環境では、実行環境への持続的なコマンド実行が可能になります。

影響範囲: NuclioをKubernetes上でCronトリガーを使用して運用しているすべての環境

対応: 最新コミット(3356b86a8bfa 以降)へのアップデート。GHSA-v5px-423j-pf7p を参照。


CVE-2026-49298 — Apache Airflow: JWT が KubernetesExecutor のプロセス引数に漏洩

深刻度: HIGH
修正バージョン: apache-airflow-core 3.2.2

Apache Airflow の Execution API JWT が、KubernetesExecutor のワーカープロセス起動時のコマンドライン引数として渡される問題です。コマンドライン引数は同ホスト上の他プロセスから /proc/<pid>/cmdline 等で参照できるため、JWT が漏洩し、Execution API への不正アクセスにつながる可能性があります。

影響範囲: KubernetesExecutor を使用する Apache Airflow 3.2.2 未満

対応: 3.2.2 にアップグレード。GHSA-5j6p-jrrm-6x94 を参照。


CVE-2026-48779 — ws(WebSocket): フラグメント処理によるメモリ枯渇 DoS

深刻度: HIGH
修正バージョン: ws 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0

npm パッケージ ws(週間ダウンロード数 1 億件超)において、細工された小さなフラグメントとデータチャンクを組み合わせることでサーバのメモリを枯渇させる DoS 攻撃が可能です。WebSocket エンドポイントを外部に公開しているサービスは影響を受ける可能性があります。

影響範囲: ws パッケージを使用するすべての Node.js アプリケーション(各系の修正バージョン未満)

対応: 使用系に応じて 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0 にアップデート。GHSA-96hv-2xvq-fx4p を参照。


その他の注目脆弱性

CVEソフトウェア深刻度概要
CVE-2026-48017DbGateHIGHloadReader エンドポイントの functionName インジェクションによる RCE
CVE-2026-54307n8nHIGH権限バイパスによる認証情報漏洩
CVE-2026-35433Microsoft .NETHIGH複数の .NET ランタイムパッケージに影響する権限昇格
CVE-2026-49361Apache FlussHIGH細工されたフレームヘッダーによる JVM ヒープメモリ枯渇
CVE-2026-54333UEFI Firmware ParserCRITICALtiano 解凍器 MakeTable のスタック境界外書き込み(パッチ未提供)
CVE-2026-54334UEFI Firmware ParserCRITICALtiano 解凍器 ReadCLen のヒープ境界外書き込み(パッチ未提供)
CVE-2026-53649JoroCRITICAL認証なしのクロスオリジンプラグインアップロードによる RCE

エコシステム別サマリー

Go

golang.org/x/crypto の SSH 関連4件が最重要。v0.52.0 への更新で一括対応可能です。Nuclio の RCE(Go 製)も CronJob 使用環境で要確認。

npm

ws の DoS(HIGH)と axios のプロキシバイパス(CVE-2026-44492)が継続注目。n8n DbGate では権限バイパスと RCE。
Nuxt の複数脆弱性(CVE-2026-47200 等)は 3.21.6/4.4.6 以降で修正済み。Vite の Windows バイパス(CVE-2026-53571CVE-2026-53632)も修正版が提供されています。

Maven

Apache Fluss(ヒープ枯渇)、Netty HAProxy コーデック(参照カウント漏洩)、HL7 FHIR Core(ReDoS)が HIGH。Java/Spring 環境は各ライブラリの最新化を推奨します。

PyPI

Apache Airflow(JWT 漏洩、3.2.2 で修正)が最重要。UEFI Firmware Parser は CRITICAL 2件がパッチ未提供のため、利用している場合は回避策の検討が必要です。


JVN 日本語情報

富士電機製 Pupsman インストーラの複数の脆弱性(JVNDB-2026-000095)

  • CVE: CVE-2026-57895(不適切なファイルアクセス権設定 / CWE-276)、CVE-2026-56437(ファイル検索パス制御不備 / CWE-427)
  • CVSS スコア: 7.8(High)
  • 概要: 富士電機株式会社が提供する Pupsman のインストーラに、インストール時の不適切なファイルアクセス権設定とファイル検索パス制御不備の脆弱性があります。ローカルからの任意コード実行(権限昇格)に悪用される可能性があります。
  • 報告: GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏(情報セキュリティ早期警戒パートナーシップ)
  • 参照: JVNDB-2026-000095

CISA ICS Advisory(2026年07月07日)

2026年7月7日に米国CISAが複数のICS/ICS Medical Advisoryを公表(新規7件)。Hydro-Québec 充電ステーション、Hitachi Energy PROMOD V 等、産業用制御システムへの影響が報告されています。OT環境を管理している場合はCISA公式サイトで詳細を確認してください。


まとめ

本日の最重要対応は golang.org/x/crypto の v0.52.0 へのアップデートです。SSH 実装に関わる認証バイパス・デッドロック・権限昇格が同時に修正されており、Goで構築したサービスを運用している場合は優先度を上げて対応してください。

KubernetesでNuclioを運用しているチームはCronトリガーの設定を見直し、Apache Airflow を KubernetesExecutor で使用している場合は 3.2.2 へのアップグレードが急務です。ws を使った WebSocket サーバを公開している場合は、DoS リスクの観点から修正版への更新を推奨します。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。