00:00
-00:00
#20260411 緊急!AxiosやWasmtimeの深刻な脆弱性
11
■ 今日のハイライト
今日は土曜日。休日の朝に押さえておきたい最新のセキュリティニュースを4件ピックアップしてお届けします。フロントエンドからAI、WebAssemblyまで幅広い領域で深刻な脆弱性が報告されています。
▼ 1. AxiosにおけるSSRFバイパスの脆弱性
・対象:Axios
・識別子:CVE-2025-62718
・概要:非常に広く使われているHTTPクライアント「Axios」に、環境変数の評価をすり抜ける脆弱性が見つかりました。「localhost.」のように末尾にドットをつけたり、IPv6の「[::1]」を指定したりすると、ホスト名の正規化が正しく行われず、通信がプロキシを経由してしまいます。これにより、意図しない内部ネットワークへのアクセスを許すSSRF攻撃につながる恐れがあります。
▼ 2. Wasmtimeのサンドボックスエスケープなど多数の脆弱性
・対象:Wasmtime
・識別子:CVE-2026-34971、CVE-2026-35195 など
・概要:WebAssemblyを安全に実行するためのランタイム「Wasmtime」に、深刻な問題が多数公表されました。特にARM64環境において、メモリへのアクセス処理が誤ってコンパイルされ、サンドボックスを抜け出してホスト環境にアクセスされる「サンドボックスエスケープ」の脆弱性が極めて危険です。また、メモリリークなどのバグも修正されています。
▼ 3. MetaGPTのOSコマンドインジェクション
・対象:FoundationAgents MetaGPT
・識別子:CVE-2026-5972、CVE-2026-5973、CVE-2026-5974
・概要:自律型AIエージェントフレームワーク「MetaGPT」に、リモートから任意のOSコマンドが実行可能な脆弱性が3件発見されました。ターミナルコマンドを実行する関数などにおいて、外部からの入力値が適切に無害化されていないことが原因です。サーバーを乗っ取られる危険があるため、早急な対策が必要です。
▼ 4. MinIOのメモリ枯渇によるDoS脆弱性
・対象:MinIO
・識別子:CVE-2026-39414
・概要:オブジェクトストレージ「MinIO」のS3 Select機能において、CSVファイルの読み込み処理に欠陥がありました。改行のない巨大な1行で構成された細工済みのCSVを処理すると、上限なしにメモリを食いつぶし、MinIOがクラッシュしてしまいます。
本日は以上です。休日の間にシステムの見直しやアップデート計画を立てる際にお役立てください。
#セキュリティ #エンジニア #ITニュース #Axios #Wasmtime #MetaGPT #MinIO #脆弱性
Data sources: GitHub Advisory Database (CC-BY 4.0)
4月11日
このチャンネルの新着放送
おすすめの放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.