【2026年1月版】今すぐ対応すべき脆弱性まとめ|React・n8n・MongoDB
- 脆弱性情報
- CVE
- KEV
- SOC運用
- セキュリティアップデート
というわけで、先月に引き続き対処すべき脆弱性についてまとめました。
SOC/セキュリティ運用に携わる皆様に向けて、直近で注目すべき脆弱性をCybersecurity
and Infrastructure Security Agency(CISA)による公開情報が出す「Known Exploited Vulnerbilities Catalog」及び The MITRE Corporationが公表するCommon Vulnerabilities and Exposures (CVE) Recordsをもとに解説+対処法を記載しました。運用負担を軽減しつつ、リスクを可視化・優先対応できるよう、ぜひご活用ください。
Known Exploited Vulnerabilities Catalog とは
Known Exploited Vulnerabilities(KEV)Catalogは、米国CISAが公開している「実際に悪用が確認された脆弱性」の一覧です。そのため実際にサイバー攻撃で使われている脆弱性に対して、迅速に対処するための判断基準として、役立てることができます。
Common Vulnerabilities and Exposuresとは
Common Vulnerabilities and Exposures (CVE)とは、The MITRE Corporationが公表している個別製品の脆弱性に対して割り当てられた識別子です。セキュリティベンダや製品開発ベンダ、研究者などのセキュリティ専門家によって構成された機関が、報告が挙げられた脆弱性を評価し、識別子を割り当てています。
各脆弱性に関する概要と対処法
CVE-2025-55182
製品/影響範囲
JavaScriptライブラリのReactのサーバ機能に関する、React Server Componentsが本脆弱性によって影響を受ける製品です。
以下のReact Server Componentsが影響を受けるパッケージです。
- react-server-dom-webpack 19.0
- react-server-dom-webpack 19.1.0
- react-server-dom-webpack 19.1.1
- react-server-dom-webpack 19.2.0
- react-server-dom-parcel 19.0
- react-server-dom-parcel 19.1.0
- react-server-dom-parcel 19.1.1
- react-server-dom-parcel 19.2.0
- react-server-dom-turbopack 19.0
- react-server-dom-turbopack 19.1.0
- react-server-dom-turbopack 19.1.1
- react-server-dom-turbopack 19.2.0
CVSS スコア
10.0
概要/重要ポイント
React Server Componentsは、「React」のサーバ機能に関するパッケージです。React Server Componentsは、Next.jsにて標準的に採用されており、インターネット公開しているWebサイトやSaaSサービスなどで幅広く利用されております。またそのほかフレームワークでも幅広く採用されているパッケージであるため、影響範囲は広いと考えられます。
本脆弱性が悪用されることで、認証不要のリモートコード実行が可能となります。本パッケージを利用しているサーバが、攻撃者によって意図的に設定された不正なHTTPペイロードを受信すると、正常にデータの検証が行われず、サーバ側の実行ロジックに対して、影響を与えることが可能となってしまいます。
対処のポイント
まずは各パッケージを最新版へアップデートしましょう。
- react-server-dom-webpack 19.0.1
- react-server-dom-webpack 19.1.2
- react-server-dom-webpack 19.2.1
- react-server-dom-parcel 19.0.1
- react-server-dom-parcel 19.1.2
- react-server-dom-parcel 19.2.1
- react-server-dom-turbopack 19.0.1
- react-server-dom-turbopack 19.1.2
- react-server-dom-turbopack 19.2.1
アップデートの際は、こちらのレポジトリをご参考ください。
CVE-2025-68613
製品/影響範囲
ノーコードまたはローコードで、業務プロセスを自動化するためのOSSツールであるn8nが対象です。
CVSS スコア
10.0
概要/重要ポイント
ワークフロー式評価システムの脆弱性により、リモートコードの実行が可能となります。ワークフロー設定時に、認証済みユーザによる設定が、実行中のランタイムから隔離されない状態で、バリデーションが実行されます。認証済みの攻撃者はこの動作を悪用し、n8nのプロセスの権限で、任意のコードが実行できる可能となります。そのため影響を受けるインスタンスへの侵害を許し、機密データへの不正アクセス、ワークフローの変更などが実行されるなどの被害につながります。
対処のポイント
既に本脆弱性のパッチとして、最新のバージョンがリリースされております。
実際に利用されている環境に応じて、n8n - ReleaseNote より最新のバージョンへアップデートしましょう。
CVE-2025-14847
製品/影響範囲
本脆弱性の対象となる製品は、NoSQLデータベースとして広く利用されている、MongoDBです。
本脆弱性の対象となる製品バージョンは、以下の通りとなっております。
- MongoDB 8.2.0 through 8.2.3
- MongoDB 8.0.0 through 8.0.16
- MongoDB 7.0.0 through 7.0.26
- MongoDB 6.0.0 through 6.0.26
- MongoDB 5.0.0 through 5.0.31
- MongoDB 4.4.0 through 4.4.29
- All MongoDB Server v4.2 versions
- All MongoDB Server v4.0 versions
- All MongoDB Server v3.6 versions
CVSS スコア
8.7
概要/重要ポイント
本製品は、OSSの非リレーショナルデータベース管理システムとして、広く一般的に利用されております。このデータベースの脆弱性は、クライアントサイドのzlibに対する不適切なプロトコルヘッダーの設定により、悪用されるものであり、認証されていないクライアントによるヒープメモリの読み取りにつながる可能性があります。
対処のポイント
既に各メジャーバージョンに対するセキュリティパッチが配布されておりますので、アップデートの実施をしましょう。
Colorkrewが支援できること
ColorkrewSecurityでは、上記のような脆弱性に対する攻撃検知・CSIRT対応を支援するSOCサービスを提供しています。
「運用負担を軽くしたい」「サイバー攻撃を素早く検知したい」といったご要望があれば、ぜひお気軽にお問い合わせください。貴社のセキュリティ運用を、一緒に強化していきましょう。
