つみかさね
Top/Security/日報/2026-03-06

【セキュリティ日報】OpenEMRにCVSS 10.0の認証バイパスほか200件

2026-03-06データソース: NVD, OSV, GHSA, JVN
CVEOpenEMRn8nCiscoQwikFreeScoutDjangoDevolutions

本日は新規・更新CVEが200件報告され、うちCriticalが42件、Highが58件。電子カルテシステム OpenEMR に未認証でのAPIトークン漏洩(CVSS 10.0)をはじめとする3件のCriticalが公開されており、医療機関での利用がある場合は早急な確認が推奨されます。

また、JavaScriptフレームワーク Qwik のデシリアライゼーションRCE(CVSS 9.8)や、Cisco SD-WAN Manager の認証バイパス(CVSS 9.8)など、広範囲に影響する脆弱性が含まれています。

指標数値
新規・更新CVE200件
Critical (9.0+)42件
High (7.0-8.9)58件
Medium (4.0-6.9)73件
Low (0.1-3.9)11件
影響エコシステムPyPI

CVE-2026-24898 — OpenEMR 未認証APIトークン漏洩

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-287 (認証不備)
  • 影響: OpenEMR 8.0.0 より前のバージョン
  • 概要: MedExコールバックエンドポイントが認証をバイパスする設定($ignoreAuth = true)になっており、未認証の訪問者がMedEx APIトークンを取得できます。PHI(保護対象医療情報)の流出やHIPAA違反につながる可能性があります。
  • 修正: OpenEMR 8.0.0 へのアップデート
  • 参考: NVD / GHSA-qwff-3mw7-7rc7

CVE-2026-28289 — FreeScout .htaccessアップロードによるRCE

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-434 (ファイルアップロード制限の不備)
  • 影響: FreeScout 1.8.206 以前
  • 概要: CVE-2026-27636のパッチバイパスです。ゼロ幅スペース文字を使って.htaccessファイルのアップロード制限を回避し、リモートコード実行が可能になります。sanitizeUploadedFileName()のTOCTOU(Time-of-Check to Time-of-Use)脆弱性が原因です。
  • 修正: FreeScout 1.8.207 へのアップデート
  • 参考: NVD / GHSA-5gpc-65p8-ffwp

CVE-2026-27494 — n8n Python Codeノードのサンドボックス脱出

  • CVSSスコア: 9.9 (Critical)
  • CWE: CWE-497 (情報漏洩)
  • 影響: n8n 2.10.1 / 2.9.3 / 1.123.22 より前のバージョン
  • 概要: Python Codeノードのサンドボックスが特定のPython組み込みオブジェクトへのアクセスを十分に制限しておらず、ファイル内容の流出やRCEが可能です。内部Task Runner使用時はホストの完全な侵害につながります。昨日報告のJavaScript系脆弱性に続く、Python側の問題です。
  • 修正: n8n 2.10.1 / 2.9.3 / 1.123.22 へのアップデート
  • 参考: NVD / GHSA-mmgg-m5j7-f83h

CVE-2026-27971 — Qwik server$ RPCデシリアライゼーションRCE

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-502 (安全でないデシリアライゼーション)
  • 影響: Qwik 1.19.0 以前
  • 概要: Qwikのserver$ RPCメカニズムにおける安全でないデシリアライゼーションにより、未認証の攻撃者が1つのHTTPリクエストで任意のコードを実行できます。Qwikでサーバーサイドレンダリングを利用しているプロジェクトは影響を受けます。
  • 修正: Qwik の最新バージョンへのアップデート
  • 参考: NVD

CVE-2026-20129 — Cisco Catalyst SD-WAN Manager 認証バイパス

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-287 (認証不備)
  • 影響: Cisco Catalyst SD-WAN Manager(20.18より前のリリース)
  • 概要: APIのユーザー認証が不適切なため、未認証のリモート攻撃者がnetadmin権限でコマンドを実行できます。リリース20.18以降は影響を受けません。
  • 修正: Cisco Catalyst SD-WAN Manager 20.18 以降へのアップデート
  • 参考: NVD / Cisco Advisory

CVE-2026-3224 — Devolutions Server Microsoft Entra ID認証バイパス

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-287 (認証不備)
  • 影響: Devolutions Server 2025.3.15.0 以前
  • 概要: Microsoft Entra ID(旧Azure AD)認証において、偽造されたJWTトークンで任意のユーザーとして認証できる脆弱性です。クラウド認証を利用しているDevolutions Server環境では影響確認が必要です。
  • 修正: Devolutions Server の最新バージョンへのアップデート
  • 参考: NVD

CVE-2026-27441 — SEPPmail PDF暗号化パスワードによるOSコマンド実行

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-78 (OSコマンドインジェクション)
  • 影響: SEPPmail 15.0.1 より前のバージョン
  • 概要: PDF暗号化パスワードの無害化処理が不十分であり、OSコマンドの実行が可能です。SEPPmailはメールゲートウェイ製品であるため、メール処理パイプライン上での攻撃が想定されます。
  • 修正: SEPPmail 15.0.1 へのアップデート
  • 参考: NVD

CVE-2026-27493 — n8n Formノードの式インジェクション

  • CVSSスコア: 9.0 (Critical)
  • CWE: CWE-94, CWE-95 (コードインジェクション、式インジェクション)
  • 影響: n8n 2.10.1 / 2.9.3 / 1.123.22 より前のバージョン
  • 概要: Formノードの入力が式として評価される二次インジェクション脆弱性です。サンドボックス脱出(CVE-2026-27494等)と連鎖させることでRCEにつながります。
  • 修正: n8n 2.10.1 / 2.9.3 / 1.123.22 へのアップデート
  • 参考: NVD

エコシステム別サマリー(PyPI)

OSVデータによると、PyPIエコシステムでDjangoに関する2件の脆弱性が報告されています。

  • Django (CVE-2026-25673): URLField.to_python() のNFKC正規化によるDoS脆弱性。Windows環境で特定のUnicode文字を含む大きなURL入力で発生。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。
  • Django (CVE-2026-25674): ファイルシステムストレージとファイルベースキャッシュのレースコンディション。マルチスレッド環境で一時的なumask変更が他スレッドに影響し、不正なパーミッションでファイルが作成される可能性があります。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。

JVN 日本語情報

MyJVNデータから、本日公開の国内向け脆弱性情報です。

  • JVNDB-2026-000032 — Dell UPS Multi-UPS Management Console(MUMC)における複数の脆弱性(CVSS 7.8)。引用符で囲まれていないファイルパス(CWE-428)と不適切なファイルアクセス権設定(CWE-276)の2件。GMOサイバーセキュリティ byイエラエがIPAに報告。
  • JVNDB-2026-000033 — EC-CUBEにおける多要素認証バイパスの脆弱性(CVSS 4.9)。代替パスを使用した認証回避(CWE-288)。EC-CUBEでMFAを有効にしている環境では確認が必要です。
  • JVNDB-2026-000034 — django-allauthにおけるオープンリダイレクトの脆弱性(CVSS 4.3)。Djangoの認証パッケージを利用している場合はアップデートを検討してください。

まとめ

本日はCritical 42件と、昨日に続き高水準です。特にOpenEMRに3件のCritical(CVSS 10.0/9.9/9.6)が集中しており、医療機関向けシステムでの利用がある場合は最優先で対応が必要です。

n8n は昨日のJavaScript系に加え、本日はPython Codeノードのサンドボックス脱出(CVE-2026-27494, CVSS 9.9)とFormノードの式インジェクション(CVE-2026-27493, CVSS 9.0)が追加されています。セルフホスト環境では v2.10.1 / v2.9.3 / v1.123.22 以降への更新を強く推奨します。

Web開発者向けには、Qwik の server$ RPC における未認証RCE(CVE-2026-27971, CVSS 9.8)が注目です。また、Cisco SD-WAN Manager や Devolutions Server の認証バイパスなど、エンタープライズ製品にも深刻な脆弱性が報告されています。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。