つみかさね
Top/Security/日報/2026-03-09

【セキュリティ日報】CVSSスコア9.8のWavlinkルーター脆弱性ほか 91件

2026-03-09データソース: NVD, OSV, GHSA, JVN
CVENVD脆弱性WavlinkTendaAdobe CommerceNext.jsネットワーク機器

本日は新規CVE 41件・更新50件の計91件が報告され、うちCriticalが2件、Highが34件。Wavlink NU516U1ルーターのログインCGIに境界外書き込み(CVSS 9.8)が報告されており、ファームウェア更新が推奨されます。

ネットワーク機器のバッファオーバーフローが大量に報告された日です。Tenda FH451/F453、UTT HiPER 810G、H3C Magic B1、Wavlink WL-WN579X3-Cなど、組み込み機器のスタックベースBOFが計16件。OSVではNext.js Middlewareの認証バイパス(CVE-2025-29927)の修正情報が更新されています。

指標数値
新規・更新CVE91件
Critical (9.0+)2件
High (7.0-8.9)34件
Medium (4.0-6.9)43件
Low (0.1-3.9)9件
影響エコシステムnpm
  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-787 (境界外書き込み)
  • 影響: Wavlink NU516U1 ファームウェア 251208
  • 概要: /cgi-bin/login.cgiipaddr 引数の処理に境界外書き込みの脆弱性があり、リモートから認証なしで攻撃可能です。ベンダーは迅速に修正ファームウェアをリリースしています。
  • 修正: 最新ファームウェアへの更新
  • 参考: NVD

CVE-2025-54236 — Adobe Commerce セッション乗っ取り(更新)

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-20 (入力検証不備)
  • 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12 等
  • 概要: 不正な入力検証によるセッション乗っ取りが可能です。ユーザー操作不要で、CISA KEVカタログにも掲載されています。Adobe Commerce / Magento を利用中の場合は優先度の高い対応が必要です。
  • 修正: Adobe Commerce の最新セキュリティパッチの適用
  • 参考: NVD
  • CVSSスコア: 8.8 (High)
  • CWE: CWE-77 (コマンドインジェクション)
  • 影響: D-Link DIR-860LB1 v203b03、DIR-868LB1 v203b01
  • 概要: DHCP DaemonのHostname引数にコマンドインジェクションの脆弱性があり、リモートから攻撃可能です。D-Linkルーターの利用環境では影響を確認してください。
  • 参考: NVD

CVE-2026-3677〜3679 / CVE-2026-3726〜3732 — Tenda FH451/F453 複数のバッファオーバーフロー

CVE-2026-3698〜3700 — UTT HiPER 810G 複数のバッファオーバーフロー

  • CVSSスコア: 8.8 (High) × 3件
  • CWE: CWE-120 (バッファオーバーフロー)
  • 影響: UTT HiPER 810G ファームウェア 1.7.7-171114 以前
  • 概要: /goform/NTP/goform/formRemoteControl/goform/formConfigDnsFilterGlobal にバッファオーバーフローが存在し、リモートから攻撃可能です。
  • 対象CVE: CVE-2026-3698CVE-2026-3699CVE-2026-3700
  • 参考: NVD CVE-2026-3698

CVE-2026-3701 — H3C Magic B1 バッファオーバーフロー

  • CVSSスコア: 8.8 (High)
  • CWE: CWE-120 (バッファオーバーフロー)
  • 影響: H3C Magic B1 ファームウェア 100R004 以前
  • 概要: /goform/aspFormEdit_BasicSSID_5G 関数にバッファオーバーフローがあり、リモートから攻撃可能です。ベンダーは連絡に応答していません。
  • 参考: NVD
  • CVSSスコア: 8.8 (High)
  • CWE: CWE-121 (スタックベースバッファオーバーフロー)
  • 影響: Wavlink WL-WN579X3-C ファームウェア 231124
  • 概要: /cgi-bin/firewall.cgidel_flag 引数にスタックベースBOFが存在します。ベンダーは修正版(20260226)をリリース済みです。
  • 修正: ファームウェア v20260226 へのアップデート
  • 参考: NVD
  • CVSSスコア: 7.3 (High)
  • CWE: CWE-78 (OSコマンドインジェクション)
  • 影響: Totolink N300RH 6.1c.1353_B20190305
  • 概要: CGIハンドラーの setWiFiWpsConfig 関数にOSコマンドインジェクションの脆弱性があり、リモートから攻撃可能です。
  • 参考: NVD

その他のHigh脆弱性(CVSS 7.3)

本日はWebアプリケーションのSQLインジェクション脆弱性も多数報告されています。

エコシステム別サマリー(npm)

OSVデータによると、npmエコシステムでNext.jsに関する脆弱性情報が更新されています。

  • Next.js (CVE-2025-29927): Middlewareの認証チェックをバイパスできる脆弱性。Next.js 15.2.3 / 14.2.25 / 13.5.9 / 12.3.5 で修正済み。Vercelホスト環境では自動的に保護されます。自前ホスティングの場合は修正バージョンへのアップデートを推奨します。

JVN 日本語情報

本日のMyJVNデータに該当する脆弱性対策情報はありませんでした。

まとめ

本日の91件は、ネットワーク機器のバッファオーバーフローが大部分を占める構成です。Tenda FH451/F453で計8件、UTT HiPER 810Gで3件、Wavlink・H3Cでも複数件と、IoT/ルーター機器の脆弱性が集中しています。これらはいずれもリモートから攻撃可能なため、該当機器を運用中の場合はファームウェアの確認を推奨します。

Criticalの2件のうち、Adobe Commerce(CVE-2025-54236、CVSS 9.1)はCISA KEVに掲載済みの既知の悪用脆弱性です。ECサイトでMagentoを利用している場合は、最優先でパッチを適用してください。OSVのNext.js Middleware認証バイパス(CVE-2025-29927)も自前ホスティング環境では引き続き要確認です。開発ツール関連では、biome-mcp-server(CVE-2026-3680)にコマンドインジェクション、libssh(CVE-2026-3731)にOOB Readが報告されており、利用中のプロジェクトでは依存関係を確認してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。