2026年7月13日の重要脆弱性: オープンソース製品やルーターなど3件
/ 4 min read
Table of Contents
概要
本日、CVSSv4.0スコア9.0以上のCriticalな重要脆弱性が3件公開されました。特に、オープンソースのルーター管理インターフェースであるLuCIにおけるXSS脆弱性、Comfast製ルーターにおけるOSコマンドインジェクション、およびFlowiseにおける認証バイパスの脆弱性は、それぞれ高いリスクを伴います。迅速な情報確認と対策が求められます。
CVE-2026-61876: LuCI DHCPv6 Lease Hostname Stored Cross-Site Scripting
- CVSS: 9.4 (Critical)
- 影響: openwrt / luci (全バージョン、修正パッチ未適用の場合)
概要
OpenWrtの管理インターフェースであるLuCIにおいて、DHCPv6リースホスト名が適切にエンコードされないStored Cross-Site Scripting(XSS)の脆弱性が報告されました。隣接ネットワーク上の攻撃者が細工したDHCPv6クライアントFQDNを送信することで、管理者がDHCPリースページを閲覧する際に、管理者ブラウザ上で任意のスクリプトが実行される可能性があります。
推奨対応
ベンダーアドバイザリを確認し、提供されている修正パッチを速やかに適用してください。特にDHCPv6リース設定の管理画面を閲覧する際は、不審なDHCPv6クライアントからの入力がないか注意し、信頼できないネットワークからのアクセスは避けるべきです。
参考
- LuCI DHCPv6 Lease Hostname Stored Cross-Site Scripting
- luci-dhcpv6-lease-hostname-stored-cross-site-scripting
CVE-2026-15511: Comfast CF-WR631AX V3 FastCGI Backend webmgnt system_wl_upload_pic_file os command injection
- CVSS: 9.3 (Critical)
- 影響: Comfast / CF-WR631AX V3 — versions: 2.7.0.0 〜 2.7.0.8
概要
Comfast製ルーター CF-WR631AX V3 のバージョン2.7.0.8以前において、FastCGIバックエンドの /usr/bin/webmgnt ファイルに含まれる system_wl_upload_pic_file 関数にOSコマンドインジェクションの脆弱性が発見されました。ファイルアップロード時の filename 引数を操作することで、リモートから任意のOSコマンドを実行される可能性があります。本脆弱性のエクスプロイトコードが既に公開されており、攻撃されるリスクが高い状態です。
推奨対応
Comfast製ルーター CF-WR631AX V3 を利用しているユーザーは、速やかにベンダーからのファームウェア更新を確認し、適用してください。PoCが公開されているため、未パッチの状態での運用は極めて危険です。
参考
- Vulnerability #377840: Comfast CF-WR631AX V3 FastCGI Backend webmgnt system_wl_upload_pic_file os command injection
- Comfast CF-WR631AX V3 Command Injection Exploit
- CVE-2026-15511 on VulDB
CVE-2026-56271: Flowise - Weak Default JWT Secrets in Authentication Middleware
- CVSS: 9.3 (Critical)
- 影響: Flowise / Flowise — versions: 0 〜 < 3.1.0 (3.0.13 およびそれ以前)
概要
Flowiseのエンタープライズパスポート認証ミドルウェアにおいて、脆弱なハードコードされたデフォルトのJWTシークレット(‘auth_token’, ‘refresh_token’)と、デフォルトのオーディエンス・発行者値(‘AUDIENCE’, ‘ISSUER’)が使用されている脆弱性が報告されました。対応する環境変数が設定されていない場合、アプリケーションはこれらの公開されているデフォルト値にサイレントにフォールバックするため、攻撃者は有効なJWTを偽造し、管理者を含む任意のユーザーになりすまして認証をバイパスする可能性があります。
推奨対応
Flowiseをバージョン3.1.0以降にアップグレードすることを強く推奨します。または、JWT_AUTH_TOKEN_SECRET, JWT_REFRESH_TOKEN_SECRET, JWT_AUDIENCE, JWT_ISSUER の環境変数を、推測困難な強力な値に設定し、デフォルト値の使用を避けてください。
参考
- Flowise Weak Default JWT Secrets Authentication Bypass
- flowise-weak-default-jwt-secrets-in-authentication-middleware