00:00
-00:00
#20260312 【緊急】有名CMSやEnvoyで深刻な脆弱性が多数発覚
10
■ 今日のハイライト
今日は非常に多くのセキュリティアドバイザリが公開されました。その中から、Webシステムやインフラで広く利用されている「Craft CMS」「Parse Server」「Envoy」に関する重要かつ深刻な脆弱性をピックアップして詳しく解説します。
▼ Craft CMSにおけるリモートコード実行などの脆弱性
人気のヘッドレスCMSであるCraft CMSおよび拡張機能のCraft Commerceにおいて、複数の脆弱性が報告されました。
・CVE-2026-31857:Craft CMS 5におけるリモートコード実行(RCE)の脆弱性です。条件指定システムのTwigレンダリング関数においてエスケープが無効化されており、認証された攻撃者がサーバー上で任意のコードを実行できる恐れがあります。
・CVE-2026-31858:ブラインドSQLインジェクションの脆弱性。
・CVE-2026-31859:反射型XSSの脆弱性。
・その他、Craft Commerceにおいても蓄積型XSS(CVE-2026-29177等)やSQLインジェクションが多数修正されています。
▼ Parse Serverにおける多数の深刻な脆弱性
BaaSプラットフォームのParse Serverでも、致命的な脆弱性が一斉に報告されました。
・CVE-2026-31871 / CVE-2026-31856:PostgreSQL利用環境におけるSQLインジェクションの脆弱性。ドット記法を用いたネストされたオブジェクトの操作時に、入力値が適切にエスケープされません。
・CVE-2026-30941:MongoDB利用環境におけるNoSQLインジェクション。パスワードリセットなどのトークンを通じて、データベースからハッシュ化されたパスワード等を抽出される可能性があります。
・CVE-2026-30965:セッショントークンが漏洩し、アカウント乗っ取りにつながる脆弱性。
・CVE-2026-30966:マスターキーなしで内部テーブルを書き換えられ、権限昇格が可能になる脆弱性。
▼ EnvoyプロキシにおけるクラッシュおよびRBACバイパス
クラウドネイティブ環境のプロキシサーバーとして標準的なEnvoyにも重要な脆弱性が報告されています。
・CVE-2026-26308:RBAC(ロールベースアクセス制御)のヘッダー検証バイパス。複数の同名ヘッダーが結合される仕様を悪用し、アクセス制限を迂回される恐れがあります。
・CVE-2026-26311:Use-After-Free(解放後使用)によるクラッシュ脆弱性。
・CVE-2026-26330:レートリミット機能の不具合によるクラッシュ脆弱性。トラフィックの入り口となるEnvoyのダウンは、システム全体のサービス拒否(DoS)に直結します。
各種システムを運用しているエンジニアやセキュリティ担当者の方は、直ちに影響有無を確認し、パッチ適用を進めてください。詳しい脆弱性番号や影響バージョンは公式のアドバイザリをご確認ください。
#セキュリティ #エンジニア #ITニュース #脆弱性 #インフラ
Data sources: GitHub Advisory Database (CC-BY 4.0)
3月11日
このチャンネルの新着放送
おすすめの放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.