00:00
-00:00
#20260331 【NPM・Go】大量の脆弱性発覚
11
■ 今日のハイライト
本日は、アプリケーション開発者やインフラエンジニアに多大な影響を与える、重要な脆弱性ニュースを5つピックアップしてお届けします。Node.jsのエコシステムや、クラウドインフラに関する重大なセキュリティアップデートが多数報告されています。
▼ 【OpenClaw】大量11件のアドバイザリが報告
NPMパッケージの「OpenClaw」において、一挙に11件のアドバイザリが公表されました。
・影響:ACP CLIの承認プロンプトにおけるANSIエスケープシーケンスのインジェクションや、Telegram・Teams・Feishuなどのチャット連携における認証バイパス、SSRF(サーバーサイドリクエストフォージェリ)などが含まれます。
・対策:バージョン2026.3.24以下の利用者は、直ちに修正版である「2026.3.25」へアップデートしてください。
▼ 【MikroORM】SQLインジェクションとプロトタイプ汚染
TypeScript向けの人気ORM「MikroORM」にて、2つの重大な脆弱性が報告されています。
・CVE-2026-34220:特別に細工されたオブジェクトがそのまま生のSQLクエリとして解釈されてしまう、SQLインジェクションの脆弱性。
・CVE-2026-34221:内部関数におけるプロトタイプ汚染の脆弱性。悪意のある入力を通じてJavaScriptオブジェクトの動作を改ざんされる恐れがあります。
▼ 【Traefik】アクセス制御をすり抜ける脆弱性(CVE-2026-33186)
リバースプロキシ「Traefik」において、依存している「gRPC-Go」の脆弱性に起因する問題が判明しました。
・影響:先頭のスラッシュを省略した不正なHTTP/2の疑似ヘッダーを送信することで、未認証の攻撃者がTraefikのアクセス拒否(Deny)ルールをバイパスし、バックエンドへ到達できる危険性があります。
▼ 【Parse Server】MFAバイパスと機密データ漏洩
BaaSプラットフォーム「Parse Server」で認証に関する致命的な問題が2件確認されました。
・CVE-2026-34224:同時並行でログインリクエストを送信することで、1回しか使えないはずのMFAワンタイムトークンを使い回し、複数セッションを作成できる競合状態の脆弱性。
・CVE-2026-34215:パスワード検証エンドポイントが、MFAのTOTPシークレットやOAuthトークンなどの機密情報をそのまま返却してしまう情報漏洩の脆弱性。
▼ 【GitHub Actions】ワークフローでのコマンドインジェクション(CVE-2026-34243)
「njzjz/wenxian」リポジトリのGitHub Actionsにおいて、Issueのコメント本文をサニタイズせずにシェルコマンドに渡している問題が報告されました。悪意のあるコメントを投稿するだけで、ランナー上で任意のコードが実行されてしまう危険な状態です。
エンジニアの皆様は、使用しているライブラリやツールのバージョンを今一度ご確認ください。
#セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ
Data sources: GitHub Advisory Database (CC-BY 4.0)
2日前
このチャンネルの新着放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.