速さの理由を知る。安全の仕組みを知る。WordPress運用の「なぜ?」を解く技術コラム。

KUSANAGI 9 最新アップデートまとめ(2026年6月)

相原 知栄子
WordPressNginxLinuxOSSPHP

こんにちは。KUSANAGI 開発チーム、プロダクトマネジャーの相原です。

先月のアップデートまとめはこちら(2026年5月)をご覧ください。

2026年6月は、KUSANAGI 9 本体の機能強化リリースを含む計46件のリリースを行いました。OpenSSL・nginx・Apache HTTP Server など主要コンポーネントで緊急レベルの脆弱性対応が複数発生したほか、新機能「KUSANAGI AI アシスト プラグイン」の提供開始と機能拡張も行いました。

6月のアップデート内容

KUSANAGI 本体バージョンアップ

KUSANAGI 9 および KUSANAGI Security Edition の本体バージョンアップを合計4件実施しました。

日付パッケージバージョン対象エディションリリース情報
2026-06-08KUSANAGI 99.8.14-1Business Edition / KUSANAGI 9 / WEXAL PSTバージョンアップ情報
2026-06-08KUSANAGI Security Edition10.3.18-1.el9Security Editionバージョンアップ情報
2026-06-12KUSANAGI 99.9.0-1Business Edition / KUSANAGI 9 / WEXAL PSTバージョンアップ情報
2026-06-12KUSANAGI Security Edition10.4.0-1.el9Security Editionバージョンアップ情報

6月12日にリリースした KUSANAGI 9 9.9.0-1 および Security Edition 10.4.0-1.el9 では、kusanagi initコマンドで初期設定する際のデフォルトのMariaDBをMariaDB 10.11に変更しましたのでご注意ください。

セキュリティ対応

6月は計7件のセキュリティアドバイザリを公開しました。うち「緊急」2件、「警告」1件です。各アドバイザリの概要は以下のとおりです。

緊急:kusanagi-openssl(2026-06-10)

OpenSSL に報告された15件の CVE を kusanagi-openssl 3.5.7-1 で修正しました。ヒープバッファのオーバーリード・オーバーフロー、NULL ポインタ参照、AES-OCB の IV 無視、Use-After-Free など、暗号処理全般に影響する脆弱性が含まれます。対象は全エディションです。

  • CVE-2026-34180: Heap Buffer Over-read in ASN.1 Content Parsing
  • CVE-2026-34181: PKCS#12 Files with PBMAC1 Are Accepted with Short HMAC Keys
  • CVE-2026-34182: CMS AuthEnvelopedData Processing May Accept Forged Messages
  • CVE-2026-34183: Unbounded Memory Growth in the QUIC PATH_CHALLENGE Handler
  • CVE-2026-42764 〜 CVE-2026-42770、CVE-2026-45445 〜 CVE-2026-45447、CVE-2026-7383、CVE-2026-9076(計11件)

詳細はセキュリティアドバイザリをご参照ください。

緊急:kusanagi-httpd24(2026-06-09)

Apache HTTP Server に報告された5件の CVE を kusanagi-httpd24 2.4.68-1 で修正しました。mod_http2 のメモリ破壊・DoS、mod_ssl の OCSP スタックバッファオーバーリード、mod_proxy_ftp の無限ループ、ap_regname のヒープアンダーフローなどが含まれます。対象は全エディションです。

  • CVE-2026-49975: mod_http2 denial of service
  • CVE-2026-48913: mod_http2 memory corruption when file handles exhausted
  • CVE-2026-44631: Heap Underflow in ap_regname via Signed Char Overflow
  • CVE-2026-44186: Loop in proxy_ftp_handler in mod_proxy_ftp
  • CVE-2026-44185: Stack Buffer Over-Read in mod_ssl OCSP send_request

詳細はセキュリティアドバイザリをご参照ください。

緊急:kusanagi-nginx131(2026-06-19)

nginx 1.31系に報告された3件の CVE を kusanagi-nginx131 1.31.2-1 で修正しました。HTTP/3 の QUIC セッション処理における Use-After-Free、HTTP/2・gRPC バックエンドへのプロキシ時のヒープバッファオーバーフロー、charset_map ディレクティブ使用時のヒープバッファオーバーリードが対象です。対象は全エディションです。

  • CVE-2026-42530: use-after-free in HTTP/3 QUIC session processing
  • CVE-2026-42055: heap buffer overflow when proxying to HTTP/2 or gRPC backend
  • CVE-2026-48142: heap buffer overread in charset_map UTF-8 decoding

詳細はセキュリティアドバイザリをご参照ください。

評価待ち:kusanagi-nginx130(2026-06-18)

nginx 1.30系にも上記 CVE-2026-42055 および CVE-2026-48142 が影響するため、kusanagi-nginx130 1.30.3-1 で対応しました。深刻度は評価待ちですが、同様の脆弱性が対象のため速やかなアップデートを推奨します。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。

警告:kusanagi-php85(2026-06-05)

PHP 8.5 に内包される uriparser ライブラリに報告された2件の CVE を kusanagi-php85 8.5.7-1 で修正しました。ポインタ差分の int への切り捨て (CVE-2026-44927) および URI 同一性判定の誤り (CVE-2026-44928) が対象です。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。

評価待ち:kusanagi-nodejs22(2026-06-22)

Node.js 22 に報告された11件の CVE を kusanagi-nodejs22 22.23.0-1 で修正しました。TLS のホスト名正規化 (CVE-2026-48618、High)、WebCrypto の暗号文出力長の検証 (CVE-2026-48933、High) など High 評価2件を含みます。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。

評価待ち:kusanagi-curl(2026-06-25)

curl に報告された SSH 検証をスキップする脆弱性 (CVE-2026-12064) を kusanagi-curl 8.21.0-1 で修正しました。対象は全エディションです。詳細はセキュリティアドバイザリをご参照ください。

WordPress プラグイン・テーマの脆弱性情報

6月は「WordPress テーマ・プラグイン 脆弱性情報のまとめ」を計4回公開しました。Wordfence のデータフィードから、アクティブインストール数10万以上かつ日本語対応のプラグイン・テーマを対象に、高深刻度の脆弱性をピックアップしています。今月特に注目すべき脆弱性は以下のとおりです。

公開週プラグインCVECVSS概要修正バージョン
06/04Admin ColumnsCVE-2026-7654高 (8.8)PHPオブジェクトインジェクション → リモートコード実行の可能性7.0.19以降
06/04Advanced Google reCAPTCHACVE-2026-5415高 (8.8)認証回避による任意ユーザーへのアカウント乗っ取り5.39以降
06/04MW WP FormCVE-2026-48871高 (7.2)未認証の蓄積型XSS5.1.4以降
06/11LatePointCVE-2026-8176高 (7.5)権限昇格による管理者アカウント乗っ取り5.5.2以降
06/11The Events CalendarCVE-2026-49772高 (7.5)未認証の SQLインジェクション6.16.3以降
06/18Ultimate MemberCVE-2026-7761高 (8.8)認可不備によるパスワードリセットURL漏えい → アカウント乗っ取り2.12.0以降
06/18WP Activity LogCVE-2026-54806高 (8.1)未認証の PHP オブジェクトインジェクション5.6.4以降
06/18All-In-One Security (AIOS)CVE(複数)高 (7.2)蓄積型XSS(REST API・デバッグ機能有効時)5.4.8以降

ご利用中のプラグインが含まれている場合は、速やかに各修正バージョン以上へアップデートしてください。週次の脆弱性まとめ記事はリリース情報ページで継続的に公開しています。

ミドルウェア・モジュール更新

セキュリティ対応を含むモジュール更新を中心に、幅広いコンポーネントのアップデートを実施しました。主な更新は以下のとおりです(セキュリティ対応を伴うものは前節でも紹介しています)。

日付パッケージバージョン主な内容
2026-06-02kusanagi-ngtcp21.23.0-1QUIC 実装ライブラリの更新
2026-06-02kusanagi-nghttp31.16.0-1HTTP/3 ライブラリの更新
2026-06-03kusanagi-prem3-nodejs2.2.14-1WEXAL PST 向け Node.js モジュール更新
2026-06-04kusanagi-mod_security_crs4.27.0-1OWASP CRS(ModSecurity ルールセット)の更新
2026-06-05kusanagi-php858.5.7-1 / 8.5.7-1.el9PHP 8.5 更新(脆弱性修正含む)
2026-06-05kusanagi-php848.4.22-1 / 8.4.22-1.el9PHP 8.4 更新
2026-06-05kusanagi-composer2.10.1-1Composer の更新
2026-06-09kusanagi-httpd242.4.68-1 / 2.4.68-1.el9Apache HTTP Server 更新(脆弱性修正含む)
2026-06-10kusanagi-openssl3.5.7-1OpenSSL 更新(脆弱性修正含む)
2026-06-18kusanagi-nginx1301.30.3-1 / 1.30.3-1.el9nginx 1.30 系更新(脆弱性修正含む)
2026-06-19kusanagi-nginx1311.31.2-1 / 1.31.2-1.el9nginx 1.31 系更新(脆弱性修正含む)
2026-06-22kusanagi-nodejs2222.23.0-1Node.js 22 更新(脆弱性修正含む)
2026-06-25kusanagi-curl8.21.0-1curl 更新(脆弱性修正含む)
2026-06-25kusanagi-nodejs2222.23.1-1Node.js 22 パッチアップデート
2026-06-29kusanagi-nghttp31.17.0-1HTTP/3 ライブラリの追加更新
2026-06-29kusanagi-ngtcp21.24.0-1QUIC 実装ライブラリの追加更新
複数回kusanagi-wp-plugins各版WordPress 同梱プラグインの随時更新(計5回)

また、WEXAL® Page Speed Technology 3.4.1-1 もリリースしました。

トピック:KUSANAGI AI アシスト プラグイン

6月は、KUSANAGI の運用を支援する新プラグイン「KUSANAGI AI アシスト プラグイン」の提供を開始し、あわせて機能追加も行いました。6月に公開した情報は以下の3件です。引き続き機能追加を行う予定です。

まとめ

脆弱性の発見件数が増加しており、それに伴って脆弱性対応のためのアップデートも増える傾向が続いています。そのため、公開されたアップデートを迅速に適用することは、脆弱性対策における最も基本的かつ重要な取り組みです。

加えて、WordPressやサーバーの設定不備など、運用上のリスクを未然に防ぐことも欠かせません。KUSANAGIのアップデートにより安全性を維持しながら、AIアシストプラグインやKUSANAGI Security Editionを組み合わせて活用することで、リスクの早期発見と継続的な改善につなげることができます。

WordPressをはじめとするWebサイトを安全かつ安定して運用していくために、KUSANAGIのアップデート情報を継続的に確認し、必要な対応に役立てていきましょう。

Webサイト運用の課題解決事例100選 プレゼント

Webサイト運用の課題を弊社プロダクトで解決したお客様にインタビュー取材を行い、100の事例を108ページに及ぶ事例集としてまとめました。

・100事例のWebサイト運用の課題と解決手法、解決後の直接、間接的効果がわかる

・情報通信、 IT、金融、メディア、官公庁、学校などの業種ごとに事例を確認できる

・特集では1社の事例を3ページに渡り背景からシステム構成まで詳解