本日はNVDから新規CVEが55件公開され、うちCriticalが2件。FlowiseのJWT秘密鍵ハードコード問題(CVE-2026-56271、CVSS 9.8)が最も深刻で、AIツールを業務利用している環境では早急な確認が推奨されます。またCrawl4AI、Microsoft Edge、OpenWrtルータにも複数の高深刻度脆弱性が確認されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE | 55件 |
| Critical (9.0+) | 2件 |
| High (7.0-8.9) | 25件 |
| Medium (4.0-6.9) | 24件 |
| Low (0-3.9) | 4件 |
| 影響エコシステム(OSV) | PyPI, npm |
Critical / High 脆弱性の詳細解説
CVE-2026-56271 — Flowise JWTハードコード秘密鍵による認証バイパス
- CVSSスコア: 9.8(Critical)
- CWE: CWE-321(ハードコードされた暗号鍵)
- 影響バージョン: Flowise 3.0.13以前
Flowiseのエンタープライズ認証ミドルウェアが、JWT秘密鍵(auth_token、refresh_token)と発行者・受信者値(AUDIENCE、ISSUER)をハードコードされたデフォルトにフォールバックします。環境変数(JWT_AUTH_TOKEN_SECRET等)が設定されていない場合、攻撃者はこの公知の値を使って任意の有効なJWTを生成し、管理者を含む任意のユーザーとしてログインできます。
修正バージョン: Flowise 3.1.0以降
参照: GHSA-cc4f-hjpj-g9p8 | NVD
CVE-2026-56260 — Crawl4AI 任意ファイル書き込み
- CVSSスコア: 9.1(Critical)
- CWE: CWE-22(パストラバーサル)
- 影響バージョン: Crawl4AI 0.8.7未満
Docker APIサーバの/screenshot・/pdfエンドポイントで、output_pathパラメータが検証なしで任意のファイルシステムパスを受け入れます。攻撃者が絶対パスやパストラバーサル値を指定することで、アプリケーションユーザーが書き込み可能な任意の場所にファイルを書き込み、重要なシステムファイルを上書きしてサービス停止を引き起こす可能性があります。
修正バージョン: Crawl4AI 0.8.7以降
参照: GHSA-365w-hqf6-vxfg | NVD
CVE-2026-59260 — OpenWrt luci-app-samba4 認証済みユーザーによるRCE
- CVSSスコア: 8.8(High)
- CWE: CWE-269(不適切な権限管理)
- 影響バージョン: luci-app-samba4搭載のOpenWrtルータ
luci-app-samba4のreadACLが/usr/sbin/smbdに対してfile.exec権限を付与しており、認証済みの委任ユーザーが呼び出し元制御のコマンドライン引数でSambaデーモンを実行できます。攻撃者はSambaのglobal optionsを介してSMBメッセージ処理時にrootとしてコマンドを実行できます。
修正: OpenWrt公式アップデートを適用
参照: GHSA-vx64-mmp7-h36c | NVD
CVE-2026-61875 — luci-app-upnp ストアドXSS
- CVSSスコア: 8.8(High)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響バージョン: luci-app-upnp搭載のOpenWrtルータ
認証なしのLANクライアントが、UPnP IGD AddPortMapping SOAPリクエストのNewPortMappingDescriptionフィールドにJavaScriptを埋め込むことができます。管理者がUPnPまたはStatusページを閲覧した際にスクリプトが実行されます。
修正: OpenWrt公式アップデートを適用
参照: GHSA-8v49-6387-7f89 | NVD
CVE-2026-61876 — LuCI DHCPv6リース ストアドXSS
- CVSSスコア: 8.8(High)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響バージョン: LuCI全バージョン(修正版まで)
DHCPv6クライアントのFQDNにスクリプトタグを含めることで、管理者のブラウザ上でDHCPリースページ閲覧時にスクリプトが実行されます。隣接するネットワーク攻撃者が悪用可能です。
修正: OpenWrt公式アップデートを適用
参照: GHSA-686p-p8p9-x6fh | NVD
CVE-2026-58281 — Microsoft Edge デシリアライゼーションによるRCE
- CVSSスコア: 8.3(High)
- CWE: CWE-502(信頼されていないデータのデシリアライゼーション)
- 影響バージョン: Microsoft Edge(Chromiumベース)特定バージョン
ネットワーク経由で未認証の攻撃者がコードを実行できる脆弱性です。Microsoftのセキュリティ更新プログラムを適用してください。
修正: Microsoft Edge最新版へアップデート
参照: MSRC | NVD
CVE-2026-56259 — Crawl4AI LLM APIキー流出
- CVSSスコア: 8.2(High)
- CWE: CWE-200(機密情報の露出)
- 影響バージョン: Crawl4AI 0.8.8未満
Docker APIサーバの/md、/llm、/llm/jobエンドポイントに認証なしでアクセスでき、base_urlパラメータで攻撃者制御のエンドポイントへLLM APIコールをリダイレクトできます。またapi_tokenにenv:変数名を指定することで任意の環境変数を読み取り、プロバイダのAPIキーや認証用シークレットを窃取できます。
修正バージョン: Crawl4AI 0.8.8以降
参照: GHSA-f989-c77f-r2cq | NVD
CVE-2026-56241 — Capgo RBAC降格後の権限残存
- CVSSスコア: 8.3(High)
- CWE: CWE-285(不適切な認可)
- 影響バージョン: Capgo 12.128.2未満
super_adminロールから降格されたユーザーが、org_users.user_rightカラムがクリアされないためdelete_non_compliant_bundles等のRPCへのアクセスを保持し続けます。
修正バージョン: Capgo 12.128.2以降
参照: GHSA-rvvc-rvxv-qcrh | NVD
CVE-2026-10666 — Zephyr IPv4パーサースタックバッファオーバーフロー
- CVSSスコア: 8.1(High)
- CWE: CWE-787(境界外書き込み)
- 影響バージョン: Zephyr v1.9.0〜v4.4.0
parse_ipv4()関数が、a.b.c.d:port形式の文字列処理時に17バイトの固定スタックバッファへポートサブストリングを上限チェックなしでコピーします。攻撃者が長いサフィックスを持つアドレス文字列を送信することでスタックの境界外書き込みが発生し、メモリ破壊やDoS、潜在的な制御フロー乗っ取りが可能です。
修正: v4.4.0以降のコミットで修正済み
参照: GHSA-532c-7g7f-jhmh | NVD
エコシステム別サマリー
PyPI(23件)
本日のOSVデータではDjangoに関する脆弱性が複数確認されています。
- CVE-2026-48588: Django 5.2/6.0の
UpdateCacheMiddlewareがクッキーを含むレスポンスをキャッシュし、プライベートデータが共有キャッシュから読み取られる可能性。修正: Django 5.2.16/6.0.7以降 - CVE-2026-53877: Django
GDALRasterがメモリバッファをオーバーリードし、隣接メモリの開示やセグメンテーションフォールトが発生する可能性。修正: Django 5.2.16/6.0.7以降 - CVE-2026-53878: Django
DomainNameValidatorがドメイン名中の改行を禁止せず、ヘッダーインジェクションが発生する可能性。修正: Django 5.2.16/6.0.7以降 - daphne (CVE-2026-44545): 大容量WebSocketメッセージによる過剰メモリ消費。修正: daphne 4.2.2以降
npm(10件)
Nuxtフレームワークに複数の脆弱性が集中しています。
- CVE-2026-47200 (Nuxt):
/__nuxt_island/page_*経由でのルートミドルウェアバイパス - CVE-2026-46342 (Nuxt):
__nuxt_islandエンドポイントの共有キャッシュポイズニング - CVE-2026-45669 (Nuxt):
navigateTo()の外部リダイレクトにおけるReflected XSS - CVE-2026-56301 (Nuxt): LinuxのAbstractソケットへの無認証接続(開発サーバ)
修正バージョン: Nuxt 3.21.6/4.4.6以降(一部3.21.7/4.4.7以降)
JVN 日本語情報
本日はMyJVNから該当する脆弱性対策情報はありませんでした。
まとめ
本日はAIツール(Flowise、Crawl4AI)に深刻な脆弱性が集中したことが特徴的です。CVE-2026-56271はCVSS 9.8とかなり高いスコアであり、Flowiseを業務利用している場合は環境変数の設定状況を確認し、3.1.0へのアップデートを検討してください。Crawl4AIについても2件の重大な脆弱性(ファイル書き込みと認証情報窃取)が確認されており、Docker経由で公開している環境では早急な対応が推奨されます。
OpenWrtルータを使用している環境では、luci-app-samba4・luci-app-upnp・DHCPv6に関する複数のHigh脆弱性が確認されています。自宅・オフィスでOpenWrtを運用している場合は最新版へのアップデートを検討してください。Microsoft Edgeに関しても、2件のHigh(RCE、権限昇格)が確認されています。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
