つみかさね

【セキュリティ日報】SolarWinds WHDにCVSS 9.8のRCE脆弱性ほか 200件

2026-03-10データソース: NVD, OSV, GHSA, JVN
CVENVD脆弱性SolarWindsDockerDjangoWordPressICS

本日は新規・更新CVE 200件が報告され、うちCriticalが29件、Highが108件。SolarWinds Web Help DeskにCVSS 9.8のデシリアライゼーションRCE(CVE-2025-26399)がCISA KEVに掲載されており、早急な対応が必要です。

WordPress関連がCritical/Highの多くを占めますが、SolarWinds・Ivanti EPM・Adobe CommerceのCISA KEV掲載3件、Docker CLI WindowsのDLLハイジャック、DjangoのDoS脆弱性など、影響範囲の広い脆弱性が複数含まれています。

指標数値
新規・更新CVE200件
Critical (9.0+)29件
High (7.0-8.9)108件
Medium (4.0-6.9)55件
Low (0.1-3.9)6件
影響エコシステムPyPI

CVE-2025-26399 — SolarWinds Web Help Desk デシリアライゼーションRCE

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-502 (安全でないデシリアライゼーション)
  • 影響: SolarWinds Web Help Desk 12.8.7 Hotfix 1 未満
  • 概要: AjaxProxyにおける非認証デシリアライゼーションのRCE脆弱性です。CVE-2024-28988のパッチバイパスであり、さらにそれはCVE-2024-28986のバイパスです。CISA KEVカタログに掲載されており、Microsoftも悪用確認のブログを公開しています。
  • 修正: Web Help Desk 12.8.7 Hotfix 1 の適用
  • 参考: NVD / CISA KEV

CVE-2026-29128 — IDC SFX2100 衛星受信機 ハードコード認証情報

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-798 (ハードコードされた認証情報)
  • 影響: IDC SFX2100 Satellite Receiver
  • 概要: ルーティングコンポーネント(zebra, bgpd, ospfd, ripd)の設定ファイルにハードコードされた平文パスワードが含まれています。設定ファイルは誰でも読み取り可能で、ネットワーク上の攻撃者が権限昇格や他システムへのアクセスに悪用可能です。
  • 参考: NVD

CVE-2026-1678 — Zephyr RTOS DNS境界外書き込み

  • CVSSスコア: 9.4 (Critical)
  • CWE: CWE-787 (境界外書き込み)
  • 影響: Zephyr RTOS(CONFIG_DNS_RESOLVER有効時)
  • 概要: dns_unpack_name() がバッファの残容量を1回だけキャッシュして再利用するため、DNSラベル追加時に不正な境界外書き込みが発生します。悪意あるDNSレスポンスでメモリ破壊が可能です。IoTデバイスでZephyrを利用している場合は確認を推奨します。
  • 参考: NVD

CVE-2025-54236 — Adobe Commerce セッション乗っ取り(更新)

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-20 (入力検証不備)
  • 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7 等
  • 概要: 入力検証不備によるセッションハイジャックが可能です。CISA KEVカタログに掲載されており、Magento利用環境では最優先でパッチ適用を推奨します。
  • 参考: NVD / CISA KEV

CVE-2026-1603 — Ivanti Endpoint Manager 認証バイパス

  • CVSSスコア: 8.6 (High)
  • CWE: CWE-288 (代替パスによる認証バイパス)
  • 影響: Ivanti Endpoint Manager 2024 SU5 未満
  • 概要: リモートの非認証攻撃者が保存された認証情報を漏洩させることが可能です。CISA KEVカタログに掲載されており、早急なパッチ適用が推奨されます。
  • 修正: Ivanti EPM 2024 SU5 へのアップデート
  • 参考: NVD / CISA KEV

CVE-2025-15558 — Docker CLI Windows DLLハイジャック

  • CVSSスコア: 8.0 (High)
  • CWE: CWE-427 (制御されていない検索パス)
  • 影響: Docker CLI v29.1.5 以前(Windows)
  • 概要: Docker CLIがプラグインバイナリを検索する C:\ProgramData\Docker\cli-plugins ディレクトリがデフォルトで存在しないため、低権限の攻撃者がこのディレクトリを作成し悪意あるバイナリ(docker-compose.exe等)を配置可能です。Docker Desktopの起動時やCLIプラグイン呼び出し時に実行され、権限昇格につながります。
  • 修正: Docker CLI/Desktop の最新版へのアップデート
  • 参考: NVD

CVE-2026-27384 — W3 Total Cache 任意コード実行

  • CVSSスコア: 9.0 (Critical)
  • CWE: CWE-1284 (入力サイズの不適切な検証)
  • 影響: W3 Total Cache 2.9.1 以前
  • 概要: WordPressの人気キャッシュプラグインにACLの不適切な制約があり、任意のコード実行が可能です。W3 Total Cacheを利用中のWordPressサイトはアップデートを推奨します。
  • 参考: NVD

CVE-2026-29053 — Ghost CMS テーマ経由の任意コード実行

  • CVSSスコア: 7.6 (High)
  • CWE: CWE-74 (インジェクション)
  • 影響: Ghost 0.7.2〜6.19.0
  • 概要: 悪意あるテーマを通じてサーバー上で任意コードが実行可能です。Ghost CMSを利用している場合は6.19.1へのアップデートを推奨します。
  • 修正: Ghost 6.19.1 へのアップデート
  • 参考: NVD

CVE-2026-3520 — Multer DoS脆弱性

  • CVSSスコア: 7.5 (High)
  • CWE: CWE-674 (制御されていない再帰)
  • 影響: Multer 2.1.1 未満
  • 概要: Node.jsのマルチパートフォームデータ処理ミドルウェアMulterに、不正なリクエストによるスタックオーバーフローでDoSが発生する脆弱性です。Express.jsでファイルアップロードを扱っている場合は確認してください。
  • 修正: Multer 2.1.1 へのアップデート
  • 参考: NVD

エコシステム別サマリー(PyPI)

OSVデータによると、DjangoのPyPIパッケージで2件の脆弱性が報告されています。

  • Django (CVE-2026-25673): URLField.to_python() 内の urllib.parse.urlsplit() がWindowsでNFKC正規化を行う際、特定のUnicode文字に対して極端に遅くなるため、大きなURL入力によるDoSが可能です。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。
  • Django (CVE-2026-25674): ファイルシステムストレージおよびファイルベースキャッシュバックエンドでのレースコンディションにより、マルチスレッド環境で不正なファイルパーミッションが設定される可能性があります。Django 6.0.3 / 5.2.12 / 4.2.29 で修正済み。

JVN 日本語情報

  • JVNDB-2026-000035 (CVE-2026-30896): Qsee ClientのインストーラにおけるDLL読み込みに関する脆弱性。CVSSスコア 7.8 (High)。インストーラ実行時に同一ディレクトリの悪意あるDLLを読み込む可能性があります。
  • JVNDB-2026-000036 (CVE-2026-28267): 複数のデジタルアーツ製品における不適切なファイルアクセス権設定の脆弱性。CVSSスコア 5.5 (Medium)。インストール時のファイルパーミッション設定に問題があります。

まとめ

本日の200件は、WordPress関連のテーマ・プラグイン脆弱性が大部分を占めますが、注目すべきはCISA KEVに掲載された3件です。SolarWinds Web Help Desk(CVE-2025-26399、CVSS 9.8)は過去のパッチバイパスであり、既に悪用が確認されています。Ivanti EPM(CVE-2026-1603)とAdobe Commerce(CVE-2025-54236)も同様にKEV掲載済みのため、該当環境では最優先で対応してください。

開発者向けでは、Docker CLI WindowsのDLLハイジャック(CVE-2025-15558)とNode.js MulterのDoS(CVE-2026-3520)が実務に影響する可能性があります。Djangoユーザーは 6.0.3 / 5.2.12 / 4.2.29 へのバージョンアップを推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。