こんにちは。KUSANAGI 開発チーム、プロダクトマネジャーの相原です。
先月のアップデートまとめはこちら(2026年5月)をご覧ください。
2026年6月は、KUSANAGI 9 本体の機能強化リリースを含む計46件のリリースを行いました。OpenSSL・nginx・Apache HTTP Server など主要コンポーネントで緊急レベルの脆弱性対応が複数発生したほか、新機能「KUSANAGI AI アシスト プラグイン」の提供開始と機能拡張も行いました。
6月のアップデート内容
KUSANAGI 本体バージョンアップ
KUSANAGI 9 および KUSANAGI Security Edition の本体バージョンアップを合計4件実施しました。
| 日付 | パッケージ | バージョン | 対象エディション | リリース情報 |
|---|---|---|---|---|
| 2026-06-08 | KUSANAGI 9 | 9.8.14-1 | Business Edition / KUSANAGI 9 / WEXAL PST | バージョンアップ情報 |
| 2026-06-08 | KUSANAGI Security Edition | 10.3.18-1.el9 | Security Edition | バージョンアップ情報 |
| 2026-06-12 | KUSANAGI 9 | 9.9.0-1 | Business Edition / KUSANAGI 9 / WEXAL PST | バージョンアップ情報 |
| 2026-06-12 | KUSANAGI Security Edition | 10.4.0-1.el9 | Security Edition | バージョンアップ情報 |
6月12日にリリースした KUSANAGI 9 9.9.0-1 および Security Edition 10.4.0-1.el9 では、kusanagi initコマンドで初期設定する際のデフォルトのMariaDBをMariaDB 10.11に変更しましたのでご注意ください。
セキュリティ対応
6月は計7件のセキュリティアドバイザリを公開しました。うち「緊急」2件、「警告」1件です。各アドバイザリの概要は以下のとおりです。
緊急:kusanagi-openssl(2026-06-10)
OpenSSL に報告された15件の CVE を kusanagi-openssl 3.5.7-1 で修正しました。ヒープバッファのオーバーリード・オーバーフロー、NULL ポインタ参照、AES-OCB の IV 無視、Use-After-Free など、暗号処理全般に影響する脆弱性が含まれます。対象は全エディションです。
- CVE-2026-34180: Heap Buffer Over-read in ASN.1 Content Parsing
- CVE-2026-34181: PKCS#12 Files with PBMAC1 Are Accepted with Short HMAC Keys
- CVE-2026-34182: CMS AuthEnvelopedData Processing May Accept Forged Messages
- CVE-2026-34183: Unbounded Memory Growth in the QUIC PATH_CHALLENGE Handler
- CVE-2026-42764 〜 CVE-2026-42770、CVE-2026-45445 〜 CVE-2026-45447、CVE-2026-7383、CVE-2026-9076(計11件)
詳細はセキュリティアドバイザリをご参照ください。
緊急:kusanagi-httpd24(2026-06-09)
Apache HTTP Server に報告された5件の CVE を kusanagi-httpd24 2.4.68-1 で修正しました。mod_http2 のメモリ破壊・DoS、mod_ssl の OCSP スタックバッファオーバーリード、mod_proxy_ftp の無限ループ、ap_regname のヒープアンダーフローなどが含まれます。対象は全エディションです。
- CVE-2026-49975: mod_http2 denial of service
- CVE-2026-48913: mod_http2 memory corruption when file handles exhausted
- CVE-2026-44631: Heap Underflow in
ap_regnamevia Signed Char Overflow - CVE-2026-44186: Loop in
proxy_ftp_handlerin mod_proxy_ftp - CVE-2026-44185: Stack Buffer Over-Read in mod_ssl OCSP
send_request
詳細はセキュリティアドバイザリをご参照ください。
緊急:kusanagi-nginx131(2026-06-19)
nginx 1.31系に報告された3件の CVE を kusanagi-nginx131 1.31.2-1 で修正しました。HTTP/3 の QUIC セッション処理における Use-After-Free、HTTP/2・gRPC バックエンドへのプロキシ時のヒープバッファオーバーフロー、charset_map ディレクティブ使用時のヒープバッファオーバーリードが対象です。対象は全エディションです。
- CVE-2026-42530: use-after-free in HTTP/3 QUIC session processing
- CVE-2026-42055: heap buffer overflow when proxying to HTTP/2 or gRPC backend
- CVE-2026-48142: heap buffer overread in charset_map UTF-8 decoding
詳細はセキュリティアドバイザリをご参照ください。
評価待ち:kusanagi-nginx130(2026-06-18)
nginx 1.30系にも上記 CVE-2026-42055 および CVE-2026-48142 が影響するため、kusanagi-nginx130 1.30.3-1 で対応しました。深刻度は評価待ちですが、同様の脆弱性が対象のため速やかなアップデートを推奨します。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。
警告:kusanagi-php85(2026-06-05)
PHP 8.5 に内包される uriparser ライブラリに報告された2件の CVE を kusanagi-php85 8.5.7-1 で修正しました。ポインタ差分の int への切り捨て (CVE-2026-44927) および URI 同一性判定の誤り (CVE-2026-44928) が対象です。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。
評価待ち:kusanagi-nodejs22(2026-06-22)
Node.js 22 に報告された11件の CVE を kusanagi-nodejs22 22.23.0-1 で修正しました。TLS のホスト名正規化 (CVE-2026-48618、High)、WebCrypto の暗号文出力長の検証 (CVE-2026-48933、High) など High 評価2件を含みます。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。
評価待ち:kusanagi-curl(2026-06-25)
curl に報告された SSH 検証をスキップする脆弱性 (CVE-2026-12064) を kusanagi-curl 8.21.0-1 で修正しました。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。
WordPress プラグイン・テーマの脆弱性情報
6月は「WordPress テーマ・プラグイン 脆弱性情報のまとめ」を計4回公開しました。Wordfence のデータフィードから、アクティブインストール数10万以上かつ日本語対応のプラグイン・テーマを対象に、高深刻度の脆弱性をピックアップしています。今月特に注目すべき脆弱性は以下のとおりです。
| 公開週 | プラグイン | CVE | CVSS | 概要 | 修正バージョン |
|---|---|---|---|---|---|
| 06/04 | Admin Columns | CVE-2026-7654 | 高 (8.8) | PHPオブジェクトインジェクション → リモートコード実行の可能性 | 7.0.19以降 |
| 06/04 | Advanced Google reCAPTCHA | CVE-2026-5415 | 高 (8.8) | 認証回避による任意ユーザーへのアカウント乗っ取り | 5.39以降 |
| 06/04 | MW WP Form | CVE-2026-48871 | 高 (7.2) | 未認証の蓄積型XSS | 5.1.4以降 |
| 06/11 | LatePoint | CVE-2026-8176 | 高 (7.5) | 権限昇格による管理者アカウント乗っ取り | 5.5.2以降 |
| 06/11 | The Events Calendar | CVE-2026-49772 | 高 (7.5) | 未認証の SQLインジェクション | 6.16.3以降 |
| 06/18 | Ultimate Member | CVE-2026-7761 | 高 (8.8) | 認可不備によるパスワードリセットURL漏えい → アカウント乗っ取り | 2.12.0以降 |
| 06/18 | WP Activity Log | CVE-2026-54806 | 高 (8.1) | 未認証の PHP オブジェクトインジェクション | 5.6.4以降 |
| 06/18 | All-In-One Security (AIOS) | CVE(複数) | 高 (7.2) | 蓄積型XSS(REST API・デバッグ機能有効時) | 5.4.8以降 |
ご利用中のプラグインが含まれている場合は、速やかに各修正バージョン以上へアップデートしてください。週次の脆弱性まとめ記事はリリース情報ページで継続的に公開しています。
ミドルウェア・モジュール更新
セキュリティ対応を含むモジュール更新を中心に、幅広いコンポーネントのアップデートを実施しました。主な更新は以下のとおりです(セキュリティ対応を伴うものは前節でも紹介しています)。
| 日付 | パッケージ | バージョン | 主な内容 |
|---|---|---|---|
| 2026-06-02 | kusanagi-ngtcp2 | 1.23.0-1 | QUIC 実装ライブラリの更新 |
| 2026-06-02 | kusanagi-nghttp3 | 1.16.0-1 | HTTP/3 ライブラリの更新 |
| 2026-06-03 | kusanagi-prem3-nodejs | 2.2.14-1 | WEXAL PST 向け Node.js モジュール更新 |
| 2026-06-04 | kusanagi-mod_security_crs | 4.27.0-1 | OWASP CRS(ModSecurity ルールセット)の更新 |
| 2026-06-05 | kusanagi-php85 | 8.5.7-1 / 8.5.7-1.el9 | PHP 8.5 更新(脆弱性修正含む) |
| 2026-06-05 | kusanagi-php84 | 8.4.22-1 / 8.4.22-1.el9 | PHP 8.4 更新 |
| 2026-06-05 | kusanagi-composer | 2.10.1-1 | Composer の更新 |
| 2026-06-09 | kusanagi-httpd24 | 2.4.68-1 / 2.4.68-1.el9 | Apache HTTP Server 更新(脆弱性修正含む) |
| 2026-06-10 | kusanagi-openssl | 3.5.7-1 | OpenSSL 更新(脆弱性修正含む) |
| 2026-06-18 | kusanagi-nginx130 | 1.30.3-1 / 1.30.3-1.el9 | nginx 1.30 系更新(脆弱性修正含む) |
| 2026-06-19 | kusanagi-nginx131 | 1.31.2-1 / 1.31.2-1.el9 | nginx 1.31 系更新(脆弱性修正含む) |
| 2026-06-22 | kusanagi-nodejs22 | 22.23.0-1 | Node.js 22 更新(脆弱性修正含む) |
| 2026-06-25 | kusanagi-curl | 8.21.0-1 | curl 更新(脆弱性修正含む) |
| 2026-06-25 | kusanagi-nodejs22 | 22.23.1-1 | Node.js 22 パッチアップデート |
| 2026-06-29 | kusanagi-nghttp3 | 1.17.0-1 | HTTP/3 ライブラリの追加更新 |
| 2026-06-29 | kusanagi-ngtcp2 | 1.24.0-1 | QUIC 実装ライブラリの追加更新 |
| 複数回 | kusanagi-wp-plugins | 各版 | WordPress 同梱プラグインの随時更新(計5回) |
また、WEXAL® Page Speed Technology 3.4.1-1 もリリースしました。
トピック:KUSANAGI AI アシスト プラグイン
6月は、KUSANAGI の運用を支援する新プラグイン「KUSANAGI AI アシスト プラグイン」の提供を開始し、あわせて機能追加も行いました。6月に公開した情報は以下の3件です。引き続き機能追加を行う予定です。
- 2026-06-08:KUSANAGI AI アシスト プラグインの提供開始。第一弾機能として「プラグインアドバイザー」を搭載。利用中の WordPress プラグインを分析し、最適な運用を支援します。
- 2026-06-18:第二弾機能「環境診断」を追加。KUSANAGI 環境の設定状態を診断する機能です。
- 2026-06-29:「MCP接続」機能を追加。AI エージェントとの連携をさらに広げる機能拡張です。
まとめ
脆弱性の発見件数が増加しており、それに伴って脆弱性対応のためのアップデートも増える傾向が続いています。そのため、公開されたアップデートを迅速に適用することは、脆弱性対策における最も基本的かつ重要な取り組みです。
加えて、WordPressやサーバーの設定不備など、運用上のリスクを未然に防ぐことも欠かせません。KUSANAGIのアップデートにより安全性を維持しながら、AIアシストプラグインやKUSANAGI Security Editionを組み合わせて活用することで、リスクの早期発見と継続的な改善につなげることができます。
WordPressをはじめとするWebサイトを安全かつ安定して運用していくために、KUSANAGIのアップデート情報を継続的に確認し、必要な対応に役立てていきましょう。


