CVE-2026-42339 New APIのSSRF脆弱性でAPIトークン悪用によるLLM Gateway攻撃リスクを検証するAI Security対策

結論

• 危険度: 情報なし
• 対象: github.com/QuantumNous/new-api <= 0.11.9-alpha.1
• 修正: ベンダーアドバイザリ参照
• KEV: No (NVD Critical由来。CISA KEVには未登録)

タイトルの緊急度プレフィックス（【至急】【最重大】等）の意味

表記	条件	意味	対応目安
【至急/ランサム悪用】	CISA KEV登録 + ランサムウェア悪用観測	ランサムグループが現在進行形で悪用	本日中に対応開始
【至急/重大】	CISA KEV登録 + CVSS 9.0以上	実世界で攻撃観測あり + スコア極めて高い	本日中に対応開始
【重大/KEV登録】	CISA KEV登録(CVSS低またはNVD未反映)	実世界で攻撃観測あり	数日以内
【最重大】	CVSS 9.5以上(KEV未登録)	理論上の危険度ほぼ満点、攻撃観測はまだない	1週間以内に対応計画
【重大】	CVSS 9.0〜9.4(KEV未登録)	Critical帯の理論的高リスク	1〜2週間以内
【高】	CVSS 7.0〜8.9(KEV未登録)	High帯のリスク	計画的に対応
(プレフィックスなし)	CVSS 7.0未満	Medium以下のリスク	通常メンテで対応

「至急」と「最重大」の違い: 「至急」は CISA(米国政府機関)が 実際に悪用を観測した CVEに付与されます。「最重大」は CVSS スコア上は最高峰だが、まだ悪用観測がない ものです。同じCVSS 9.8でもKEV登録の有無で扱いが変わります。

最終更新: 2026-05-12 ｜ 本記事は公式情報をもとに作成しています。最新情報はベンダー公式アドバイザリを必ずご確認ください。

STEP	やること	かかる目安
STEP 1	何が起きているか理解する	5分
STEP 2	急ぎ対応すべきか判断する	3分
STEP 3	自分の環境が対象か確認する	5分
STEP 4	修正を適用する	環境による
STEP 5	修正されたことを確認する	3分

STEP 1: 何が起きているか

一言でいうと

CVE-2026-42339は、github.com/QuantumNous/new-apiのあるバージョン以下で攻撃者が認証済みAPIトークンを持つ場合、特定のAPIエンドポイントでSSRF（サーバサイドリクエストフォージェリ）攻撃を実行できます。AI/LLMゲートウェイを運用する組織にとって深刻なリスクです。

やさしく説明すると

この脆弱性は「玄関の鍵はかかっているが、誰かが合鍵を持っていて裏口から家に入れてしまう」ようなものです。システム内部の保護が不完全で、攻撃者は意図しない通信を内部サーバに送らせられます。場合によっては通信の結果がAIモデルの出力に取り込まれ、より高度な攻撃に発展します。

技術的な原因

この問題はCWE-918「サーバサイドリクエストフォージェリ（SSRF）」に該当します。SSRFとは、攻撃者がサーバ自身に対して不正なHTTPリクエストを送らせる攻撃です。ここでは、新APIのSSRF対策で特定のIPアドレス「0.0.0.0」が適切にブロックされていません。結果として、正規のAPIトークンを持つ非管理者ユーザがこの漏れ穴を利用できます。

影響を受けると何が困るか

• APIキー（OpenAIやAnthropic等）が漏洩するリスクがある
• LLMのコンテキスト内に顧客データなどの内部情報が漏れる可能性
• プロンプトインジェクションを介したAgentフレームワーク乗っ取りの危険
• モデルやRAG（Retrieval-Augmented Generation）用データの改ざんや不正利用
• 請求コストの急増による運用負荷増大
• テナント間での情報漏洩、マルチテナント環境での深刻な被害
• AI駆動開発ツール（Cursor、Cline、Copilotなど）経由でのローカルファイル読取や任意コード実行
• IDE拡張のリモート操作による開発環境の汚染
• .envや重要な認証情報の漏洩による全体的なセキュリティ侵害

もっと詳しく調べたい人へ — 公式情報源マップ

本記事は以下の公式・準公式の情報源から内容を集約しています。一次情報を確認したい場合や英語で詳細を読みたい場合は、各リンクから直接アクセスできます。

カテゴリ	情報源	言語	何が分かるか	リンク
総合	NVD（米国 NIST）	英	米国政府の脆弱性データベース。CVSSスコア、影響を受けるCPE、参考リンクの総合ハブ。最も網羅的。	開く
総合	MITRE CVE	英	CVE採番機関の公式記録。CVE記述の「正本」。NVDより記載が簡潔だが一次情報。	開く
総合	JVN iPedia（JPCERT/CC・IPA）	日	日本のCSIRTが運用する脆弱性対策情報データベース。日本語で概要・対策が読める。掲載がない場合あり。	開く
総合	CISA KEV（悪用観測カタログ）	英	米国CISAが実際に悪用を確認している脆弱性のカタログ。掲載されていれば最優先で対応。	開く
総合	GitHub Advisory Database	英	OSSパッケージ（npm/pypi/maven/composer/go等）別の脆弱性アドバイザリ。修正PRへのリンクが豊富。	開く
総合	OpenCVE	英	複数CVEデータベースの集約検索サービス。タイムラインや関連CVEの俯瞰に有用。	開く
Linux	Red Hat CVE	英	Red Hat製品（RHEL/CentOS Stream/Rocky/AlmaLinux系）の影響評価とパッチ状況。	開く
Linux	Ubuntu Security	英	Ubuntu の影響評価。各Ubuntuバージョン（22.04/24.04等）でのパッチ提供状況が一目で分かる。	開く
Linux	Debian Security Tracker	英	Debian の影響評価。stable/testing/sid別のパッチ状況。Debian派生ディスト利用者向け。	開く
Linux	SUSE CVE	英	SUSE Linux Enterprise / openSUSE の影響評価とパッチ状況。	開く
悪用	Exploit Database	英	公開エクスプロイトのアーカイブ。検出ツールやペネトレーションテストでの参照用。	開く
悪用	Packet Storm Security	英	セキュリティアドバイザリ・エクスプロイトの集約サイト。古めの情報も含む。	開く
悪用	GitHub PoC 検索	英	GitHubコード検索でCVE IDを直接検索。野良PoCの早期発見に。	開く
悪用	X（Twitter）検索	日英	直近の議論やニュースを観測。In-the-wild悪用の早期検知に有用。	開く
スキャナ	Snyk Vulnerability DB	英	パッケージ別の脆弱性詳細と修正バージョン。OSS依存ライブラリ追跡に有用。	開く
スキャナ	Tenable（Nessus）	英	Nessusスキャナでの検出プラグイン情報。検出ロジックの参考に。	開く
スキャナ	Rapid7（Metasploit/Nexpose）	英	Metasploit悪用モジュール、Nexposeでの検出情報。	開く

掲載しているのは無料でアクセスできる情報源のみです。CVEによっては掲載がないサイトもあります（特にJVN iPediaは日本国内で報告された脆弱性のみ掲載）。

STEP 2: 急ぎ対応すべきか判断する

結論: 低

判断根拠

• CVSSスコアは未公表のため数値不明。情報からリスクはあるが緊急度は中程度以下
• EPSSスコアは 0.04%（悪用予測は極めて低い）
• ランサムウェア等の悪用は現時点で確認されていない
• 公開されたPoC（実証コード）は存在しない
• 攻撃には認証済みAPIトークンが必要で、対象IPアドレス 0.0.0.0 のフィルタ回避が条件

誰が動くべきか

• LLM Gateway運用チーム（github.com/QuantumNous/new-apiを使用している場合）
• Agentフレームワーク開発者（特にAWS/Bedrock Claude連携利用環境）
• バイブコーダー開発者（Cursor/Cline/Copilot等AI駆動開発ツール利用者で該当API連携している場合）
• MLインフラやRAGパイプライン保守者

STEP 3: 自分の環境が対象か確認する

影響を受けるバージョン

製品	脆弱なバージョン範囲	修正版
github.com/QuantumNous/new-api	0.11.9-alpha.1 以下	ベンダーアドバイザリ参照（未提供）

バージョン確認コマンド

Python（pip）

pip show new-api

出力例:

Name: new-api
Version: 0.11.9-alpha.1
Summary: LLM Gateway and AI asset manager

判定: Versionが 0.11.9-alpha.1 以下なら脆弱

Python（poetry）

poetry show new-api

出力例:

name         : new-api
version      : 0.11.9-alpha.1
description  : LLM Gateway and AI asset management

判定: versionが 0.11.9-alpha.1 以下なら脆弱

Node.js（npm）

npm list new-api

出力例:

└── new-api@0.11.9-alpha.1

判定: バージョンが 0.11.9-alpha.1 以下なら脆弱

設定確認

この脆弱性は特定のIPアドレス（0.0.0.0）に対するフィルタが誤って緩和されています。設定変更による対処情報はベンダーから提供されていません。設定依存ではなく、対象バージョンを使っていれば脆弱です。

Nucleiテンプレートでの検出

本CVEに対応した公開Nucleiテンプレートは提供されていません。バージョン確認を優先してください。

STEP 4: 修正を適用する

パッチ適用

執筆時点ではベンダーから修正版の公開はありません。公開された情報をGitHub Advisoryやベンダー公式にて逐次確認してください。

注意: 修正版が入手できた場合、適用前に必ず環境のバックアップを取得し、本番環境でのテストを推奨します。AI GatewayやAgentフレームワークなど複雑な構成では影響範囲の確認が重要です。

パッチ即時適用ができない場合の暫定対応

現時点で公式の暫定対応は提示されていません。可能な限り、不必要なユーザー権限の制限やネットワークの分離など運用でのリスク軽減を検討してください。

STEP 5: 修正されたことを確認する

STEP 3で使ったバージョン確認コマンドを再度実行し、バージョンが修正版以上になっているか確認してください。

期待される出力

Python（pip）

pip show new-api

出力例:

Name: new-api
Version: 0.11.10  # 修正済みバージョン番号例
Summary: LLM Gateway and AI asset manager

判定: バージョンが 0.11.10 以上ならOK

追加で確認すべきこと

• 修正パッチ適用後はNucleiテンプレートがあれば再実行
• サーバログで不審なアクセスやSSRF攻撃兆候がないか監視
• AIモデル応答に異常な外部コンテンツの混入がないか検証

補足: 悪用観測状況

現在、CVE-2026-42339に関するランサムウェアグループの悪用報告はありません。また、公開されたPoCコードやエクスプロイトは存在しません。EPSSスコアは低く、直近30日での悪用予測も非常に低い状況です。

補足: CVSSメトリクス詳細

• AV（攻撃元の範囲）: 未公表。ただしネットワーク経由で認証済トークンを持つユーザから実行可能
• AC（攻撃困難度）: 認証されたAPIトークンが必要であり、攻撃はやや難しいと推測
• PR（必要な権限）: 認証済みユーザのAPIトークン所持が必要
• UI（ユーザ操作）: APIリクエスト送信が要るためユーザ操作が発生
• S（スコープ）: スコープ変更なし。サーバ自身へのリクエストに限定
• C（機密性影響）: 高。内部情報やAPIキー漏洩のリスク
• I（完全性影響）: 中。リクエスト応答に外部コンテンツ取り込みの可能性あり
• A（可用性影響）: 低。直接のサービス停止は報告なし

よくある質問（FAQ）

Q. このCVEに対応するために最低限すべきことは何ですか？

A. STEP 3で環境の該当バージョンを確認し、STEP 4で修正版が公開されたら速やかに適用することです。具体的なコマンドや判断基準は本記事内に記載しています。

Q. パッチが適用できない場合、どうすればよいですか？

A. 現状公式の暫定対応はありませんが、APIトークンの管理強化やネットワーク分離など運用側でリスクを下げることが推奨されます。

Q. 既に攻撃を受けているか確認する方法はありますか？

A. サーバログのHTTPリクエスト履歴に不審な0.0.0.0宛ての通信がないか確認し、APIアクセスログの監査を行ってください。

Q. なぜEPSSスコアが重要なのですか？

A. CVSSは脆弱性の深刻度を示しますが、EPSSは実際に悪用される可能性を示します。両方見ることで対応の優先順位を適切に判断できます。

Q. このCVEと類似の脆弱性は他にもありますか？

A. 同じCWE-918（SSRF）に分類される脆弱性は多数存在します。特にAIゲートウェイやAgenticフレームワークで類似のフィルタ回避が報告されています。

参考文献

• NVD – CVE-2026-42339
• GitHub Advisory Database – GHSA-v5c3-6wvc-pc2q
• OpenCVE – CVE-2026-42339
• JVN iPedia – CVE-2026-42339

関連トピック・タグから探す

本記事に関連するキーワードから、他のAIセキュリティ記事を探せます。

• SSRF に関するCVE・脆弱性記事一覧
• LLM に関するCVE・脆弱性記事一覧
• クラウド に関するCVE・脆弱性記事一覧

2026-05-13 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 0日）。

項目	公開時点	2026-05-13時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点のCVSSスコアは「9 (Critical)」とされていましたが、NVDによる再評価の結果、「7.1 (HIGH)」へ下方修正されました。これは、攻撃成立に必要な権限や影響範囲などの見直しが行われたことで、リスク評価がCritical帯からHigh帯に変更されたことを意味します。しかし、High帯である7.1は依然として無視できない重大な脆弱性であり、攻撃者による悪用の可能性やシステムへの影響は残ります。管理者や運用担当者は、この変更を踏まえつつも、引き続き早急なパッチ適用やアクセス制御の強化を推奨します。

タイトルプレフィックス未付与

公開時点では記事タイトルに危険度を示すプレフィックス（「【高】」など）が付いていませんでしたが、現時点では適切に「【高】」が付与されるべき状況となりました。これは記事生成時の単純な漏れによるものであり、CVSSスコアの見直しによって危険度表記も「High」相当となったため、より明確に注意喚起を行うべき段階です。今後は記事タイトルのリスクプレフィックスも含め、システム管理者や利用者は公式情報をもとにリスク判断と対応優先度の見直しを行うよう推奨します。

2026-05-20 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-20時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	0.11.9 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

本脆弱性のCVSSスコアが、公開時点の「9 (Critical)」から「7.1 (HIGH)」へとNVDの再評価によって下方修正されました。これは、脆弱性自体のリスク内容や現実的な攻撃条件が精査され、「Critical」とされるほどの被害発生確度や影響度がないと判断されたことを意味します。運用面では、依然として十分な注意が必要ですが、緊急性や優先順位の見直しが推奨される重要な情報です。対象システムの管理者は、脆弱性への対応計画を再評価し、他の重大リスクと比較してリソース配分を見直すなどの運用判断に活用してください。

結論ボックスの修正バージョンが未記入

公開時の記事では、結論ボックスの修正版バージョン欄に「ベンダーアドバイザリ参照」とテンプレートのまま記載されていましたが、今回「0.11.9 以降が修正版（affected範囲外）」と明確なバージョン情報が判明し、反映されました。これによって、記事閲覧者が自環境のバージョンを明確に確認しやすくなり、運用上の対応がより迅速・確実になります。現在、「0.11.9」未満のバージョンは影響を受けるため、該当システムの即時アップデートが推奨されます。必ず公式アドバイザリやリリースノートで詳細を確認し、想定外の影響がないか検証したうえで適用作業を進めてください。

タイトルプレフィックス未付与

記事公開時は、タイトルに危険度を示すプレフィックス（例：【高】など）が付いていませんでしたが、最新状況では「【高】」の表記が追加されています。これはCVSSスコアの正式決定や記事運用ガイドラインの補正を受け、読者がひと目でリスク水準を把握できるようにする対応です。運用実務者やユーザーは、このプレフィックスによって報告・連絡・エスカレーションの判断を正確に行えるようになります。今後も記事のタイトル表記には注意し、危険度に即した優先度設定や周知の基準としてください。

2026-05-27 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-05-27時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	0.11.9 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開時点ではCVSSスコアが「9 (Critical)」に設定されていましたが、NVD（National Vulnerability Database）による再評価の結果、「7.1 (HIGH)」へ下方修正されました。このスコア修正は脆弱性の影響範囲・実行難易度等の技術的な見直しによるものです。運用においては、依然としてリスクは高いものの、対策の優先度を「Critical」レベルから「High」レベルへ調整することが推奨されます。

結論ボックスの修正バージョンが未記入

記事公開時点では、結論ボックスに「ベンダーアドバイザリ参照」とだけ記載されており、具体的な修正版情報が不足していましたが、現在は「0.11.9 以降が修正版（affected範囲外）」と明記されました。これにより、利用者はどのバージョンにアップデートすれば本脆弱性の影響を回避できるかが明確になりました。すでに0.11.9以上を利用中の場合は追加対応不要ですが、それ未満の場合は早急なアップデートを推奨します。

タイトルプレフィックス未付与

公開直後は、記事タイトルにリスクを示す「【高】」などのプレフィックスが付与されていませんでしたが、最新データを踏まえて「【高】」が追加されました。これはCVSSスコア7.1相当のリスク認定を反映するものであり、読者が対処の優先順位を誤らないために有用です。今後も記事のリスクレベル認識に注意し、タイトルの表記ミスがあれば修正対応を継続することが重要です。

2026-06-03 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-03時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	0.11.9 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開当初はNVDにて「9 (Critical)」と評価されていましたが、再評価の結果「7.1 (HIGH)」へとスコアが下方修正されました。これにより、当該脆弱性の相対的な危険度ステータスもCriticalからHighに変更されています。運用者は対応の優先度を見直し、通常のHigh重大度の脆弱性と同様の手順で、計画的かつ確実な対策・修正の適用が推奨されます。

結論ボックスの修正バージョンが未記入

当初の記事では、修正版となるバージョン情報が「ベンダーアドバイザリ参照」としたテンプレートのままでしたが、最新では「0.11.9 以降が修正版（affected範囲外）」と具体的な修正版が明記されました。これにより、利用者は明確に修正済みバージョンを認識でき、アップグレード計画立案や影響範囲の確認精度が向上します。実運用においては、早急に0.11.9以上へバージョンアップを進め、旧バージョンの利用継続を避けるべきです。

タイトルプレフィックス未付与

公開時には危険度を示すタイトルプレフィックス（例えば「【高】」など）が設定されていませんでしたが、最新の状況を踏まえHigh相当の「【高】」プレフィックスが付与されるよう修正されました。これにより記事閲覧者は一目で重大度を判断でき、脆弱性リスク認識と対応判断の迅速化が期待できます。運用面では、重大度レベルに応じた対応管理や優先度指定にご活用ください。

2026-06-10 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-10時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	0.11.9 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

当初本脆弱性は「9 (Critical)」とされていましたが、NVDによる再評価の結果、「7.1 (HIGH)」に下方修正されました。これは技術的なリスク評価が見直されたことで、影響の範囲や悪用難易度、システムへの影響度合いが当初の想定よりも限定的であると判断されたためです。運用者は今後のセキュリティ対応計画の優先度を適切に見直し、過剰な緊急対応から計画的な対策へ調整することが望まれます。

結論ボックスの修正バージョンが未記入

公開当初、修正版の情報が「ベンダーアドバイザリ参照」と記載されたままでしたが、最新状況では「0.11.9 以降が修正版（affected範囲外）」と明示されました。これにより、実際のアップグレード対象や対策バージョンが明確化され、利用者は自身の運用環境の影響有無を確実に判別できるようになりました。至急アップデートが必要な範囲が具体的になったことで、改修計画やリスク対策が効率的に進めやすくなります。

タイトルプレフィックス未付与

公開時はタイトルに危険度を示す「プレフィックス」が付されていませんでしたが、新たな評価により「【高】」という適切なリスク水準が付与されました。これにより、記事の一覧やアラート集約画面等で他の脆弱性情報との優先順位付けが明確になり、初動対応の判断材料として一層有益になりました。運用担当者は「【高】」カテゴリーを参考に、他のアラートとの兼ね合いで対応計画を再考してください。

2026-06-17 追記

本記事の公開後、以下の重要な変化が確認されました（公開からの経過: 6日）。

項目	公開時点	2026-06-17時点	変化の意味
CVSSスコア変化	9 (Critical)	7.1 (HIGH)	NVD再評価でスコアが下方修正
結論ボックスの修正バージョンが未記入	ベンダーアドバイザリ参照	0.11.9 以降が修正版（affected範囲外）	公開時は修正版情報が結論ボックスにテンプレ文字列のまま残っていた。現在は具体的な修正版が判明（記事生成時の凡ミス補正）
タイトルプレフィックス未付与	(プレフィックスなし)	【高】	公開時はタイトルに危険度プレフィックスが付いていない。最新状況では付与が妥当（記事生成時の凡ミス補正）

CVSSスコア変化

公開当初、この脆弱性には「9 (Critical)」という非常に高いCVSSスコアが付与されていましたが、NVD（National Vulnerability Database）による再評価の結果、「7.1 (HIGH)」へと下方修正されました。これにより、リスク評価上は「Critical」から「High」へ1段階引き下げられたことになります。運用上は依然として注意が必要ですが、最優先対応が必須という状況からは一歩後退します。影響範囲や攻撃難易度に追加情報が得られた際には、再度対応の優先度を見直してください。

結論ボックスの修正バージョンが未記入

記事公開時点では、結論ボックス内の修正版情報が「ベンダーアドバイザリ参照」という暫定記載のままでしたが、現在は「0.11.9 以降が修正版（affected範囲外）」と具体的なバージョンが判明しています。新APIを利用中の組織は、直ちに0.11.9以上へアップグレードすることで本脆弱性への対策が完了します。すでに0.11.9以降を使用している場合は追加のアクションは不要ですが、過去に暫定情報をもとに判断していた場合は、改めてバージョン確認と更新有無をチェックしてください。

タイトルプレフィックス未付与

公開時点の記事タイトルには危険度を示す「プレフィックス（例：【高】）」が付与されていませんでしたが、現在は「【高】」として妥当なプレフィックスが追加されています。本脆弱性はCVSS 7.1（High）評価ですので、運用担当者は「緊急」ではないものの、高リスクカテゴリとして計画的な対応を進める必要があります。今後はタイトルからも対応優先度を直感的に把握できるため、記事の参照やチーム内通知時に混乱を避けることができます。