本日は スコア付き CVE 200件 が 公開・更新 され、うち Critical が 31件、High が 65件。npm パッケージ simple-git に 過去 の CVE 修正 を バイパス する RCE(CVE-2026-28292、CVSS 9.8)が 最も 影響範囲 の 広い 脆弱性 です。
Cloudflare の Pingora に HTTP Request Smuggling 2件(CVSS 9.1)、OneUptime に CVSS 9.9 の Critical 4件、GitHub Enterprise Server に RCE(CVSS 8.8)、mchange-commons-java(c3p0)に JNDI インジェクション(CVSS 9.8)と、広く 利用 される ソフトウェア の 深刻な 脆弱性 が 多数 含まれています。JVN では マイクロリサーチ 製 ルーター の 複数 脆弱性、Siemens・Intel の 月次 アップデート が 公開 されています。
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 200件 |
| Critical (9.0+) | 31件 |
| High (7.0-8.9) | 65件 |
| Medium (4.0-6.9) | 93件 |
| Low (0.1-3.9) | 3件 |
| OSV 更新 | 4件 |
| MyJVN 情報 | 7件 |
| 影響エコシステム | npm, Maven, Go, Rust, PyPI |
Critical / High 脆弱性 の 詳細解説
CVE-2026-28292 — simple-git RCE(過去CVE修正バイパス)
- CVSSスコア: 9.8 (Critical)
- CWE: CWE-78 (OS コマンド インジェクション), CWE-178
- 影響: simple-git 3.15.0 〜 3.32.2
- 概要: Node.js 向け git ラッパー ライブラリ
simple-gitに RCE 脆弱性 が 発見 されました。過去 に 修正 された CVE-2022-25860 および CVE-2022-25912 の 対策 を バイパス する 新しい 手法 です。npm で 広く 利用 されている パッケージ であり、影響範囲 が 大きい ため 早急な 対応 を 推奨 します。 - 修正: バージョン 3.23.0 へ の アップデート
- 参考: NVD
CVE-2026-30887 — OneUptime vm サンドボックス エスケープ RCE
- CVSSスコア: 9.9 (Critical)
- CWE: CWE-94 (コード インジェクション)
- 影響: OneUptime 10.0.18 未満
- 概要: OneUptime の Synthetic Monitor は Node.js の
vmモジュール で ユーザー コード を 実行 しますが、this.constructor.constructorによる プロトタイプ チェーン エスケープ で サンドボックス を 突破 できます。probe コンテナ 上 で 任意 の コマンド 実行 が 可能 で、環境変数 に含まれる DB/クラスタ 認証情報 も 漏洩 します。同種 の 脆弱性 が CVE-2026-30921(Playwright 経由 RCE)、CVE-2026-30957 でも 報告 されています。 - 修正: バージョン 10.0.18 以降 へ の アップデート
- 参考: NVD / GHSA
CVE-2026-30956 — OneUptime テナント 分離 バイパス・アカウント 乗っ取り
- CVSSスコア: 9.9 (Critical)
- CWE: CWE-285 (不適切 な 認可), CWE-862 (認可 の 欠如)
- 影響: OneUptime 10.0.21 未満
- 概要:
is-multi-tenant-queryヘッダ とprojectidヘッダ を 偽装 する こと で テナント 分離 を 突破 できます。他テナント の プロジェクト データ へ の アクセス、resetPasswordTokenの 平文 読み取り、完全な アカウント 乗っ取り が 可能 です。 - 修正: バージョン 10.0.21 へ の アップデート
- 参考: NVD / GHSA
CVE-2026-2833 — Pingora HTTP Request Smuggling(Upgrade ヘッダ)
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-444 (HTTP Request Smuggling)
- 影響: Pingora v0.8.0 未満
- 概要: Cloudflare の Pingora プロキシ フレームワーク に HTTP/1.1 の Upgrade ヘッダ 処理 に起因 する Request Smuggling 脆弱性 が 発見 されました。バックエンド が アップグレード を 承認 する 前 に 後続 の バイト を 転送 して しまう ため、ACL バイパス、キャッシュ ポイズニング、セッション ハイジャック が 成立 します。Cloudflare CDN 自体 は 影響 を 受けません が、Pingora を スタンドアロン で 利用 している 環境 は 対応 が 必要 です。CVE-2026-2835 も 同様 の HTTP/1.0 起因 の Smuggling です。
- 修正: Pingora v0.8.0 へ の アップグレード
- 参考: NVD
CVE-2026-27727 — mchange-commons-java JNDI インジェクション(c3p0)
- CVSSスコア: 9.8 (Critical)
- CWE: CWE-74 (インジェクション)
- 影響: mchange-commons-java 0.4.0 未満
- 概要: Java の JNDI デリファレンス 実装 が JDK の
com.sun.jndi.ldap.object.trustURLCodebaseによる 制限 を 回避 して 動作 する ため、悪意 あるjavax.naming.Referenceを 読み込む と リモート から コード が ダウンロード・実行 されます。c3p0 コネクション プール を 使用 する アプリケーション に 影響 します。 - 修正: バージョン 0.4.0 へ の アップデート
- 参考: NVD / GHSA
CVE-2026-27478 — Unity Catalog JWT 認証 バイパス
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-290 (認証 スプーフィング), CWE-346, CWE-1390
- 影響: Unity Catalog 0.4.0 以前
- 概要: トークン 交換 エンドポイント が JWT の
issクレーム から 動的 に JWKS を 取得 して 署名 検証 を 行い ますが、発行者 が 信頼 された IdP か を 検証 しません。攻撃者 は 自前 の JWKS を ホスト する こと で 任意 の JWT を 発行 し、認証 を バイパス できます。 - 修正: Unity Catalog の 最新版 へ の アップデート
- 参考: NVD / GHSA
CVE-2026-3854 — GitHub Enterprise Server RCE
- CVSSスコア: 8.8 (High)
- CWE: CWE-77 (コマンド インジェクション)
- 影響: GHES 3.14.24 / 3.15.19 / 3.16.15 / 3.17.12 / 3.18.6 / 3.19.3 未満
- 概要: git push 時 の push option 値 が 内部 サービス ヘッダ に 未サニタイズ で 組み込まれ、デリミタ 文字 を 悪用 した メタデータ フィールド の インジェクション が 可能 です。リポジトリ へ の push 権限 を 持つ 攻撃者 が RCE を 達成 できます。GitHub Bug Bounty 経由 で 報告 されました。
- 修正: 各バージョン の セキュリティ パッチ 適用
- 参考: NVD
CVE-2026-3845 — Firefox for Android ヒープ バッファ オーバーフロー
- CVSSスコア: 8.8 (High)
- CWE: CWE-122 (ヒープ バッファ オーバーフロー)
- 影響: Firefox for Android 148.0.2 未満
- 概要: Audio/Video 再生 コンポーネント に ヒープ バッファ オーバーフロー が 存在 します。悪意 ある メディア コンテンツ の 処理 で 任意 コード 実行 の 可能性 が あります。
- 修正: Firefox for Android 148.0.2 へ の アップデート
- 参考: NVD / Mozilla Advisory
CVE-2026-2836 — Pingora キャッシュ ポイズニング
- CVSSスコア: 8.1 (High)
- CWE: CWE-345 (データ 真正性 の 不十分 な 検証)
- 影響: Pingora v0.8.0 未満(キャッシュ 機能 利用時)
- 概要: Pingora の デフォルト キャッシュキー が URI パス のみ で 構成 され、Host ヘッダ を 含み ません。マルチ テナント 環境 で クロス テナント の キャッシュ ポイズニング が 可能 です。
- 修正: Pingora v0.8.0 へ の アップグレード(デフォルト キャッシュキー 削除済み)
- 参考: NVD
エコシステム別 サマリー(OSV)
本日 の OSV データ は 4件 で、いずれも 既知 の 脆弱性 の 更新 です。
npm(3件) — Svelte の SSR 時 XSS(CVE-2022-25875、3.49.0 で 修正済み)、Next.js の Image Optimization API XSS(CVE-2021-39178)、Next.js の Open Redirect(CVE-2020-15242)。いずれも 修正 バージョン が 公開 済み です。
PyPI(1件) — jQuery の prototype pollution(CVE-2019-11358)が Django 等 の 依存 経由 で 更新。jQuery 3.4.0 / Django 2.1.9 以降 で 修正済み。
JVN 日本語情報
JVNDB-2026-006887 — マイクロリサーチ 製 MR-GM5L-S1 / MR-GM5A-L1 複数 脆弱性
- CVSSスコア: 7.2 (High)
- CVE: CVE-2026-20892, CVE-2026-24448, CVE-2026-27842
- 概要: コード インジェクション、ハードコード 認証情報、代替パス による 認証 回避 の 3種 の 脆弱性 が 存在 します。JPCERT/CC が 開発者 と 調整 を 行いました。
- 参考: JVN
JVNDB-2026-006893 — 複数 の Lantronix 製品 における 複数 脆弱性
- 概要: Lantronix EDS5000 / EDS3000PS に OS コマンド インジェクション 6件、認証 バイパス 1件、パスワード 変更 不備 1件。CISA ICS Advisory も 公開 されています。
- 参考: JVN
その他 JVN 情報
- Siemens 製品 月次 アップデート(2026年3月)— JVNDB-2026-006890
- Intel 製品 月次 アップデート(2026年3月)— JVNDB-2026-006888
- Honeywell IQ4x BMS Controller 認証 欠如 — JVNDB-2026-006891
まとめ
本日は simple-git の RCE(CVSS 9.8)が 最も 影響範囲 の 広い 脆弱性 です。npm で 広く 利用 されている パッケージ であり、過去 の 修正 を バイパス する 新しい 手法 の ため、Node.js プロジェクト で 利用 している 場合 は 依存関係 を 確認 して ください。
Cloudflare Pingora に HTTP Request Smuggling と キャッシュ ポイズニング の 合計 3件 が 報告 されており、スタンドアロン で Pingora を 利用 している 環境 は v0.8.0 へ の アップグレード を 推奨 します。OneUptime は CVSS 9.9 が 4件 と 集中 して おり、利用 環境 が ある 場合 は 10.0.21 以降 へ の アップデート が 必要 です。GitHub Enterprise Server の RCE(CVSS 8.8)も push 権限 のみ で 成立 する ため、オンプレミス GHES 環境 は 優先的 に パッチ 適用 を 検討 して ください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。