curlが18件の脆弱性を一度に修正し単一リリースの過去最多、25年前のバグも含む-CVE-2026-8932|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年06月30日更新日時: 2026年06月30日

2026年6月24日、curl プロジェクトのメンテナーである Daniel Stenberg が curl 8.21.0 をリリースしました。

今回のリリースでは 18件のセキュリティ脆弱性（CVE）が修正され、curl の歴史上単一リリースでの修正件数として最多記録を更新しています（従来の最多は 2016年の 11件）。なかでも CVE-2026-8932 は 2001年3月22日リリースの curl 7.7 から約25年間存在し続けていた mTLS 接続再利用のバグで、curl 史上最古の脆弱性報告となりました。今回の大規模修正の発端は Anthropic の Mythos モデルが5月11日に curl の脆弱性を最初に発見したことで、その公表が引き金となって AI セキュリティプラットフォームや研究者からの報告が殺到した結果によるものです。

サマリー

2026年6月24日、curl 8.21.0 がリリース。18件の CVE を一度に修正し単一リリースの最多記録を更新（従来最多は 2016年の11件）
発端は5月11日の Anthropic Mythos による最初の CVE 発見。AI セキュリティプラットフォーム AISLE が全体の6/18件を発見し、最多報告者となった
CVE-2026-8932（mTLS 接続再利用）は 2001年3月から存在する25年物のバグで、curl 史上最古。クライアント証明書が変わっても既存接続を再利用してしまい認証バイパスが発生しうる
4件がMEDIUM・14件がLOWで、現時点で実際の悪用は確認されていない。ただし curl/libcurl は世界200億台以上のデバイスに組み込まれており、libcurl を埋め込み使用するアプリケーションでは特に早急なアップデートが必要
NTLM・SMB・TLS-SRP は将来バージョンでの削除予定が告知された。これらのプロトコルに依存している環境は移行計画が急務
次回リリースは2026年9月2日予定（開発サイクルが2週間延長された）

CVE	深刻度	概要
CVE-2026-8932	MEDIUM	mTLS 接続再利用：クライアント証明書・秘密鍵が変わっても既存接続を再利用→認証バイパス（libcurl のみ、25年間存在）
CVE-2026-8925	MEDIUM	SASL double-free：SASL 認証フロー中のメモリ破壊
CVE-2026-8927	MEDIUM	Cross-proxy Digest 認証状態リーク：プロキシ境界を越えてクレデンシャルが漏洩
CVE-2026-9079	MEDIUM	古いプロキシパスワードリーク：期限切れクレデンシャルが意図せず再利用される
CVE-2026-11856	MEDIUM	Cross-origin Digest 認証状態リーク：異なるオリジンの認証状態にアクセス可能
CVE-2026-8926	LOW	.netrc + URL 内ユーザー指定の組み合わせでパスワードリーク
CVE-2026-8924	LOW	トレーリングドットドメインのスーパークッキー問題
CVE-2026-8286	LOW	異なるサービスへの STARTTLS 誤再利用
CVE-2026-9080	LOW	ソケットコールバック中の use-after-free
CVE-2026-9545	LOW	HTTP/3 初期データの意図しない露出
CVE-2026-9546	LOW	新しい転送先への古い Referer ヘッダー送信
CVE-2026-9547	LOW	SSH ホスト検証の不適切な処理
CVE-2026-10536	LOW	HTTP/2 ストリーム依存ツリーの use-after-free
CVE-2026-11564	LOW	ネイティブ CA トラストの意図しない持続
CVE-2026-11586	LOW	WebSocket Auto-PONG のメモリ枯渇（DoS）
CVE-2026-12064	LOW	プロトコルデフォルト設定による SSH 検証スキップ
その他2件	LOW	QUIC バジーループ、接続再利用の設定ミスマッチなど

1 AI 主導の脆弱性発見が歴史的な CVE 数を記録した経緯
2 25年物の CVE-2026-8932 を筆頭に
3 libcurl を組み込んでいるシステムが対処すべき理由
4 新機能と廃止予定—アップグレード前に把握すべき変更点
5 出典

AI 主導の脆弱性発見が歴史的な CVE 数を記録した経緯

2026年5月11日、curl の開発者 Daniel Stenberg が Anthropic の Mythos AI モデルが curl の脆弱性を一件発見したことをブログで公表しました。この発表が引き金となり、セキュリティ研究者やAI活用のセキュリティ企業からの報告が殺到するという事態が発生しています。

AI セキュリティプラットフォームの AISLE は今回の 18件中6件を発見し、全体で最多の報告者となりました。

そのなかには CVE-2026-8932——curl 史上最古のバグ——も含まれています。AISLE のエンジニアリングチームのコメントによると、curl はすでに「明らかなバグ」は長年にわたる改善で取り除かれており、残っているのはプロトコル処理・接続再利用・コールバック動作・認証ロジックといった検出が困難な複雑な問題であると述べています。

Anthropic の Mythos モデル・OpenAI のモデルを使用した研究者がそれぞれ1件ずつの CVE を発見しており、今回のリリースは AI 活用によるオープンソースセキュリティ監査の実用性を示した事例ともなりました。なお、AISLE は発見した CVE のうち3件についてパッチの修正案も提供しており、脆弱性の発見にとどまらない支援が行われています。

リリースの規模は修正件数だけではありません。curl 8.21.0 は第275回目のリリースであり、開発期間56日間で531コミット・276件のバグ修正・102名のコントリビューター（うち69名は初参加）という規模での更新となっています。今回の18件修正により、curl プロジェクト発足以来に公開された累計 CVE 数は206件に達しました。

25年物の CVE-2026-8932 を筆頭に

今回の修正のなかで最も注目すべきは CVE-2026-8932 です。この脆弱性は 2001年3月22日リリースの curl 7.7 から存在しており、mTLS（相互TLS）接続の再利用に関するバグです。

mTLS はサーバーがクライアントの証明書を検証する認証方式で、API 間通信やゼロトラスト環境のマイクロサービス認証などで広く利用されています。この脆弱性では、libcurl を使用するアプリケーションがクライアント証明書または秘密鍵の設定を変更した場合でも、libcurl が既存の接続プールの接続をそのまま再利用してしまう問題があります。つまり「証明書Aで認証された接続」が「証明書Bに切り替えた後のリクエスト」でも使われてしまう可能性があり、認証バイパスが成立します。この問題は libcurl を埋め込んで使用するアプリケーションにのみ影響し、curl コマンドラインツール自体は対象外です。

MEDIUM 評価の4件（CVE-2026-8925・8927・9079・11856）は認証情報の取り扱いに関わる問題です。SASL のダブルフリーはメモリ破壊につながり、残り3件はプロキシ環境やオリジン間でのダイジェスト認証状態が漏洩し、意図しない別のプロキシ・別のオリジンにクレデンシャルが渡ってしまうリスクを持ちます。複数のプロキシを経由する環境や、同一の HTTP クライアントで複数のサービスにアクセスしている実装では特に注意が必要です。

LOW 評価の14件は個別の深刻度は低いものの、過去の curl の脆弱性（CVE-2024-11053）と同様に .netrc や認証状態の扱いに関わるものが多く含まれています。CVE-2026-11586（WebSocket の DoS）は特定条件下でサービス停止を引き起こす可能性があります。現時点でこれら18件のいずれについても実際の悪用は確認されていません。

libcurl を組み込んでいるシステムが対処すべき理由

curl 公式サイトの説明によると、libcurl は「自動車、テレビ、ルーター、プリンター、音響機器、携帯電話、タブレット、医療機器、セットトップボックス、コンピューターゲーム、メディアプレーヤー」など 200億台以上のデバイスに組み込まれており、インターネット転送の基盤エンジンとして機能しています。

問題は、libcurl のアップデートが curl のリリースに追随しないケースが多いことです。OSS ライブラリとしてアプリケーションに静的リンクされている場合、curl 8.21.0 がリリースされても、そのライブラリを組み込んだアプリケーション側が再ビルドしてリリースするまでは古いバージョンが使われ続けます。IoT 機器・組み込みシステム・CI/CD パイプライン・パッケージマネージャー・SDK などに libcurl が含まれている場合、エンドユーザーには脆弱性の存在が見えにくい状態になります。

Python の依存パッケージエコシステムで脆弱性が14万パッケージに伝播した実態で示されているように、依存ライブラリの脆弱性は直接使用しているライブラリよりも深い階層で存在していることが多く、管理が困難です。curl/libcurl を使用している自社の製品・システムのバージョンを棚卸しし、8.21.0 へのアップデート計画を立てることが推奨されます。

サーバサイドエンジニアとして libcurl を使ったコードを書いてきた経験から補足すると、認証情報を扱う処理で接続再利用（connection reuse/keep-alive）を有効にしている実装は、今回の CVE を特に注意深く確認すべきです。

新機能と廃止予定—アップグレード前に把握すべき変更点

今回は修正中心のリリースながら、新機能も追加されています。

ファイルアップロード時のnamed glob（名前付きグロブ）サポートにより、-T "file[1-3].txt" のような形式で複数ファイルを一括アップロードするパターンが扱いやすくなっています。HTTP/3 プロキシの CONNECT および MASQUE CONNECT-UDP もサポートされ、HTTP/3 ベースの環境でのプロキシ通信が拡張されました。libssh 経由での SHA-256 ホスト公開鍵サポートも追加されています。

廃止関連では、HTTP/2 ストリーム依存トラッキングが今回削除されました。また CURLAUTH_DIGEST_IE も削除されています。さらに将来的な削除が予告されているのが NTLM・SMB・TLS-SRP の各サポートです。これらは現代のセキュリティ標準に照らして廃止が決定されており、使用している場合は早急に代替手段への移行を検討する必要があります。curl-library メーリングリストでの意見表明期限が設けられており、継続使用が必要な組織は早急に声を上げることが求められています。

次回リリースは 2026年9月2日の予定ですが、開発サイクルが2週間延長されているため、次回は通常より余裕のあるスケジュールとなっています。