つみかさね
Top/Security/日報/2026-03-08

【セキュリティ日報】WeKnoraにCVSS 9.9のRCE脆弱性ほか 104件

2026-03-08データソース: NVD, OSV, GHSA, JVN
CVEWeKnoraZITADELAdobe CommerceCaddyPerlzlibBackstage

本日は新規・更新CVEが104件報告され、うちCriticalが7件、Highが27件。Tencent製LLMフレームワーク WeKnora にSQLインジェクションによるRCE(CVSS 9.9)およびMCP設定のコマンドインジェクション(CVSS 9.9)が公開されており、利用環境では早急な確認が推奨されます。

IDプロバイダー ZITADEL にCritical含む4件、Webサーバー Caddy にも認証バイパス系の脆弱性が報告されています。ネットワーク機器(Wavlink、Tenda、UTT HiPER)のバッファオーバーフローも多数公開されています。

指標数値
新規・更新CVE104件
Critical (9.0+)7件
High (7.0-8.9)27件
Medium (4.0-6.9)39件
Low (0.1-3.9)13件
影響エコシステムPyPI

CVE-2026-30860 — WeKnora SQLインジェクションによるRCE

  • CVSSスコア: 9.9 (Critical)
  • CWE: CWE-89 (SQLインジェクション)
  • 影響: WeKnora 0.2.12 より前のバージョン
  • 概要: PostgreSQL配列式・行式内の子ノードに対する再帰的検査が不十分なため、SQLインジェクション保護をバイパスしてリモートコード実行が可能です。未認証の攻撃者がデータベースユーザー権限で任意コードを実行できます。
  • 修正: WeKnora 0.2.12 へのアップデート
  • 参考: NVD

CVE-2026-30861 — WeKnora MCPコマンドインジェクション

  • CVSSスコア: 9.9 (Critical)
  • CWE: CWE-78 (OSコマンドインジェクション)
  • 影響: WeKnora 0.2.5 〜 0.2.10 より前
  • 概要: MCP stdio設定のバリデーション不備により、npxコマンドの-pフラグを使ってホワイトリスト・ブラックリストをバイパスし、任意コマンドを実行できます。誰でもアカウント登録可能なため、未認証でのRCEが成立します。
  • 修正: WeKnora 0.2.10 へのアップデート
  • 参考: NVD

CVE-2026-3381 — Compress::Raw::Zlib 安全でないzlib使用

  • CVSSスコア: 9.8 (Critical)
  • 影響: Compress::Raw::Zlib 2.219 以前(Perl)
  • 概要: Perl用圧縮ライブラリが安全でないバージョンのzlibをバンドルしています。zlib 1.3.2のセキュリティ監査(7ASecurity)で発見された問題(CVE-2026-27171)への対応です。Perlエコシステム全体に影響する可能性があります。
  • 修正: Compress::Raw::Zlib 2.220 以降へのアップデート
  • 参考: NVD
  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-787 (境界外書き込み)
  • 影響: Wavlink NU516U1 251208
  • 概要: ログインCGIのipaddr引数の処理に境界外書き込みの脆弱性があり、リモートから攻撃可能です。ベンダーは修正ファームウェアをリリース済みです。
  • 修正: 最新ファームウェアへの更新
  • 参考: NVD

CVE-2026-29191 — ZITADEL ログインV2 XSSによるアカウント乗っ取り

  • CVSSスコア: 9.3 (Critical)
  • CWE: CWE-79 (XSS)
  • 影響: ZITADEL 4.0.0 〜 4.11.1
  • 概要: ログインV2インターフェースの/saml-postエンドポイントにXSS脆弱性があり、アカウント乗っ取りにつながります。本日はZITADELに計4件の脆弱性が報告されています。
  • 修正: ZITADEL 4.12.0 以降へのアップデート
  • 参考: NVD

CVE-2025-54236 — Adobe Commerce セッション乗っ取り

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-20 (入力検証不備)
  • 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7 等
  • 概要: 不正な入力検証によるセッション乗っ取りが可能です。ユーザー操作不要で、CISA KEVカタログにも掲載されています。Adobe Commerce / Magento を利用中の場合は優先度の高い対応が必要です。
  • 修正: Adobe Commerce の最新セキュリティパッチの適用
  • 参考: NVD

CVE-2026-30832 — Soft Serve SSRF(内部ネットワークアクセス)

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-918 (SSRF)
  • 影響: Soft Serve 0.6.0 〜 0.11.4 より前
  • 概要: 認証済みSSHユーザーがrepo importの--lfs-endpointに細工したURLを指定することで、サーバーに内部ネットワークへのHTTPリクエストを強制できます。偽のLFSサーバーと連携させると内部サービスの読み取りが可能です。
  • 修正: Soft Serve 0.11.4 へのアップデート
  • 参考: NVD

CVE-2026-30851 — Caddy Server forward_auth ヘッダー偽装

  • CVSSスコア: 8.1 (High)
  • CWE: CWE-287, CWE-345 (認証不備、データ検証不足)
  • 影響: Caddy 2.10.0 〜 2.11.2 より前
  • 概要: forward_authディレクティブのcopy_headers機能がクライアント提供のヘッダーを除去しないため、ID偽装や権限昇格が可能です。Caddy + 外部認証プロキシ構成で影響を確認してください。
  • 修正: Caddy 2.11.2 へのアップデート
  • 参考: NVD

CVE-2026-29186 — Backstage TechDocs 任意コード実行

  • CVSSスコア: 7.7 (High)
  • CWE: CWE-74, CWE-434 (インジェクション、ファイルアップロード)
  • 影響: @backstage/plugin-techdocs-node 1.14.3 より前
  • 概要: TechDocsのMkDocs設定キーのフィルタリングにギャップがあり、悪意のあるmkdocs.ymlを通じて任意のPythonコードが実行可能です。
  • 修正: @backstage/plugin-techdocs-node 1.14.3 へのアップデート
  • 参考: NVD

CVE-2026-29784 — Ghost CMS CSRF保護の不備

  • CVSSスコア: 7.5 (High)
  • CWE: CWE-352 (CSRF)
  • 影響: Ghost 5.101.6 〜 6.19.2
  • 概要: /session/verifyエンドポイントのCSRF保護が不完全で、OTC(ワンタイムコード)を異なるログインセッションで使用可能です。フィッシング攻撃と組み合わせたサイト乗っ取りのリスクがあります。
  • 修正: Ghost 6.19.3 へのアップデート
  • 参考: NVD

エコシステム別サマリー(PyPI)

OSVデータによると、PyPIエコシステムでDjangoに関する2件の脆弱性が報告されています。

  • Django (CVE-2026-25673): URLField.to_python() のNFKC正規化によるDoS脆弱性。Windows環境で特定のUnicode文字を含む大きなURL入力で発生。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。
  • Django (CVE-2026-25674): ファイルシステムストレージとファイルベースキャッシュのレースコンディション。マルチスレッド環境で一時的なumask変更が他スレッドに影響。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 7件で、Tencent製LLMフレームワーク WeKnora にCVSS 9.9の脆弱性が2件(SQLインジェクションRCEとMCPコマンドインジェクション)報告されている点が最も注目です。MCP(Model Context Protocol)のstdio設定における検証不備は、AIツール連携のセキュリティを考える上で重要な事例です。

ソフトウェア基盤では、Caddy Serverのforward_authヘッダー偽装(CVSS 8.1)、BackstageのTechDocs任意コード実行(CVSS 7.7)、Ghost CMSのCSRF不備(CVSS 7.5)など、広く使われているOSSに影響する脆弱性が報告されています。Perl向けCompress::Raw::Zlib(CVSS 9.8)はzlibセキュリティ監査に起因する修正で、依存関係にCompress::Raw::Zlibを含むPerlプロジェクトでは確認を推奨します。Adobe Commerce(CVSS 9.1)はCISA KEV掲載済みのため、利用環境では優先的にパッチを適用してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。