こんにちは。KUSANAGI 開発チーム、プロダクトマネジャーの相原です。
2026年5月は、PHP 全系統・Nginx・Apache HTTP Server・OpenSSL・curl など広範なミドルウェアにセキュリティ修正が集中した月となりました。KUSANAGI 本体も計4回バージョンアップを実施し、Nginx 1.31 系への正式対応という大きなトピックもあります。合計51件のリリースを行いましたので、以下にまとめてご報告します。
5月のアップデート内容
KUSANAGI バージョンアップ
KUSANAGI 9 本体および Security Edition のバージョンアップを計8回(各エディション4回ずつ)実施しました。
| 日付 | パッケージ | バージョン | 対象エディション |
|---|---|---|---|
| 2026-05-11 | KUSANAGI 9 | 9.8.10-1 | Business Edition / KUSANAGI 9 / WEXAL PST |
| 2026-05-11 | KUSANAGI Security Edition | 10.3.14-1.el9 | Security Edition |
| 2026-05-19 | KUSANAGI 9 | 9.8.11-1 | Business Edition / KUSANAGI 9 / WEXAL PST |
| 2026-05-19 | KUSANAGI Security Edition | 10.3.15-1.el9 | Security Edition |
| 2026-05-21 | KUSANAGI 9 | 9.8.12-1 | Business Edition / KUSANAGI 9 / WEXAL PST |
| 2026-05-21 | KUSANAGI Security Edition | 10.3.16-1.el9 | Security Edition |
| 2026-05-26 | KUSANAGI 9 | 9.8.13-1 | Business Edition / KUSANAGI 9 / WEXAL PST |
| 2026-05-26 | KUSANAGI Security Edition | 10.3.17-1.el9 | Security Edition |
ミドルウェア・モジュール更新
5月は15種類・27件のモジュール更新を実施しました。主なパッケージと代表バージョンを以下にまとめます。
| 日付 | パッケージ | 代表バージョン | 対象エディション | 備考 |
|---|---|---|---|---|
| 2026-05-11 | kusanagi-curl | 8.20.0-1 | 全エディション | 脆弱性修正を含むアップデート |
| 2026-05-11 | kusanagi-httpd24 | 2.4.67-1 / 2.4.67-1.el9 | 全エディション | 緊急の脆弱性修正を含むアップデート |
| 2026-05-11 | kusanagi-mod_security | 2.9.13-1 | 全エディション | WAF エンジン更新 |
| 2026-05-11 | kusanagi-mod_security_crs | 4.26.0-1 | 全エディション | CRS ルールセット更新 |
| 2026-05-11 | kusanagi-wp-plugins | 20260511-1 | 全エディション(kusanagi8 含む) | 同梱 WP プラグイン更新 |
| 2026-05-12〜13 | kusanagi-php82 | 8.2.31-1 / 8.2.31-1.el9 | 全エディション | 緊急の脆弱性修正を含む PHP 8.2 系更新 |
| 2026-05-13 | kusanagi-php83 | 8.3.31-1 / 8.3.31-1.el9 | 全エディション | 緊急の脆弱性修正を含む PHP 8.3 系更新 |
| 2026-05-13 | kusanagi-php84 | 8.4.21-1 / 8.4.21-1.el9 | 全エディション | 緊急の脆弱性修正を含む PHP 8.4 系更新 |
| 2026-05-13 | kusanagi-php85 | 8.5.6-1 / 8.5.6-1.el9 | 全エディション | 緊急の脆弱性修正を含む PHP 8.5 系更新 |
| 2026-05-18 | kusanagi-nginx130 | 1.30.1-1 → 1.30.2-1 | 全エディション | 緊急・評価待ちの脆弱性修正を含む2回の更新 |
| 2026-05-18 | kusanagi-nginx131 | 1.31.0-1 → 1.31.1-1 | 全エディション | 緊急・評価待ちの脆弱性修正を含む2回の更新(新規追加) |
| 2026-05-18 | kusanagi-composer | 2.9.8-1 → 2.10.0-1 | 全エディション | 脆弱性修正およびバージョンアップ |
| 2026-05-20 | kusanagi-nodejs22 | 22.22.3-1 | 全エディション | Node.js 22 系更新 |
| 2026-05-08 | kusanagi-prem3-nodejs | 2.2.13-1 | WEXAL PST | PST 向け Node.js モジュール更新 |
| 2026-05-07 | kusanagi-openssl | 3.5.6-2 | 全エディション | OpenSSL パッチリリース |
また、2026年5月21日にはKUSANAGIの初期設定における Nginx のデフォルトバージョンが 1.31 系に変更されました。詳細は「KUSANAGIがNginx 1.31に対応 - 初期設定のデフォルトもNginx 1.31に」をご確認ください。
セキュリティ対応
5月は計11件のセキュリティアドバイザリを公開しました。深刻度「緊急」が8件、「評価待ち」が3件です。対応したコンポーネントと主な内容は以下のとおりです。
PHP 系(kusanagi-php82 / php83 / php84 / php85)
2026年5月12〜13日にかけて、PHP 8.2・8.3・8.4・8.5 の全系統で深刻度「緊急」のセキュリティアドバイザリを公開しました(php82 / php83 / php84 / php85)。主な修正内容は以下のとおりです。
- XSS(
CVE-2026-6735): ステータスエンドポイントにおけるクロスサイトスクリプティング - SQL インジェクション(
CVE-2025-14179): NUL バイトを含むクォート文字列経由の SQL インジェクション - NULL ポインタ参照(
CVE-2026-7259):mb_ereg_search_init()経由での NULL ポインタ参照 - 境界外アクセス(
CVE-2026-6104):mbfl_name2encoding_ex()における境界外アクセス - SOAP 関連の Use-after-free(
CVE-2026-7261)ほか、符号付き整数オーバーフロー(CVE-2026-7568)等、合計10件前後のCVEを一括修正 - PHP 8.5 系はさらに
CVE-2026-42371(uriparser の数値切り捨て)も対象
Nginx 系(kusanagi-nginx130 / nginx131)
2026年5月18日に Nginx 1.30・1.31 双方で深刻度「緊急」のアドバイザリを公開しました(nginx130 緊急 / nginx131 緊急)。修正された主な脆弱性は以下のとおりです。
CVE-2026-42926:proxy_set_bodyディレクティブ使用時の HTTP/2 バックエンドへのデータ注入CVE-2026-42945:ngx_http_rewrite_module処理中のヒープバッファオーバーフローによる任意コード実行の可能性CVE-2026-42946:ngx_http_scgi_module/ngx_http_uwsgi_moduleでのヒープバッファ過剰読み出しによるメモリ漏洩またはセグメンテーションフォルトCVE-2026-42934:charset_mapディレクティブの UTF-8 デコード処理における限定的なメモリ漏洩またはセグメンテーションフォルトCVE-2026-40460: HTTP/3 使用時の接続マイグレーション処理によるアドレスなりすましCVE-2026-40701:ssl_ocspディレクティブ使用時の DNS 応答処理における Use-after-free
さらに2026年5月25日には、ngx_http_rewrite_module のオーバーラップキャプチャ設定に起因するヒープバッファオーバーフロー(CVE-2026-9256)に対して「評価待ち」アドバイザリを公開し、即日修正版をリリースしました(nginx130 / nginx131)。
Apache HTTP Server(kusanagi-httpd24)
2026年5月11日に深刻度「緊急」のアドバイザリを公開し、kusanagi-httpd24 2.4.67-1 としてリリースしました。
curl(kusanagi-curl)
2026年5月11日に「評価待ち」の脆弱性情報を公開し、kusanagi-curl 8.20.0-1 をリリースしました(アドバイザリ)。
Composer(kusanagi-composer)
2026年5月18日に GitHub トークンの検証・漏洩に関する「評価待ち」アドバイザリ(CVE-2026-45793)を公開し、kusanagi-composer 2.9.8-1 をリリースしました(アドバイザリ)。
WordPress プラグイン・テーマ 脆弱性情報
5月は週次で計4回の WordPress プラグイン・テーマ脆弱性情報まとめを公開しました。10万件以上のアクティブインストールを持ち、日本語対応しているプラグインに絞って報告しています。特に注目度の高いものを以下にピックアップします。
- LiteSpeed Cache(7.7以前、CVSS 7.2 / 高): REST API エンドポイント経由の蓄積型 XSS。特定条件下で未認証攻撃者が任意の JavaScript を挿入可能。修正バージョン: 7.8(
CVE-2026-3375) - WPCode(2.3.5以前、CVSS 8.8 / 高): XML-RPC 経由でのリモートコード実行。投稿者以上の権限で PHP スニペットを実行可能。修正バージョン: 2.3.6(
CVE-2026-8832) - WooCommerce PayPal Payments(4.0.1以前、CVSS 8.2 / 高): AJAX エンドポイントの認可チェック欠如による不正注文操作・情報漏洩。修正バージョン: 4.0.2(
CVE-2026-(詳細は情報ページ参照)) - AI Engine(3.4.9、CVSS 8.8 / 高): MCP OAuth 経由の権限昇格。購読者以上の権限で管理者レベルのツールを実行可能。修正バージョン: 3.5.0(
CVE-2026-8719) - GiveWP(4.14.5以前、CVSS 7.2 / 高): 保存型 XSS。未認証攻撃者が任意スクリプトを挿入可能。修正バージョン: 4.14.6(
CVE-2026-42678) - Fluent Forms(6.1.21以前、CVSS 8.2 / 高): ユーザー制御キーによる認可回避。他フォームの送信データへの不正アクセス・改ざんが可能。修正バージョン: 6.2.0(
CVE-2026-5396)
利用中のプラグインが含まれる場合は、速やかに最新バージョンへのアップデートをお願いします。週次レポートの全件は各リリースページをご参照ください(04/30-05/06 / 05/07-05/13 / 05/14-05/20 / 05/21-05/27)。
今後の見通し
Nginx 1.31 系のデフォルト採用が完了したことにより、今後は 1.31 系を中心とした安定運用・機能強化に取り組んでいきます。PHP についても 8.2・8.3・8.4・8.5 の4系統を継続サポートしており、アップストリームのリリースサイクルに合わせて迅速な対応を続けてまいります。引き続き、セキュリティ修正が入った場合は緊急度に応じて即時リリースを行います。
まとめ
2026年5月は PHP 全系統・Nginx 両系統・Apache HTTP Server・curl など、主要なミドルウェアに一斉にセキュリティ修正が入る月となりました。特に PHP および Nginx の脆弱性は深刻度「緊急」に分類されるものが多く含まれています。KUSANAGI をご利用の方は、yum update または apt update && apt upgrade にて最新版へのアップデートをお願いします。
KUSANAGI Security Edition をご利用の方は、セキュリティ修正を含む全モジュールが Security Edition 用パッケージとして提供されています。Security Edition では自動更新(autoupdate)機能が利用可能です。重要なセキュリティアップデートを自動的に適用できますので、ぜひご活用ください。
KUSANAGI の自動更新については、公式ドキュメント(autoupdate)をご参照ください。引き続き安全・快適な WordPress 運用をサポートしてまいります。
