つみかさね

【セキュリティ日報】CVSS 10.0が3件、GitHub Actionsサプライチェーン攻撃ほか 200件

2026-03-17データソース: NVD, OSV, GHSA, JVN
CVENVD脆弱性GitHub ActionsサプライチェーンIoTGL-iNetHMS Networks

本日 は NVD で 671件 の CVE が 公開・更新 され、うち スコア 付き 200件 を 対象 に 分析 しました。Critical が 20件、High が 61件 と 多め の 日 です。特に GitHub Actions 向け の サプライチェーン 攻撃 が 2件(CVE-2026-31976CVE-2026-31900)報告 されて おり、CI/CD パイプライン を 運用 して いる チーム は 確認 を 推奨 します。CVSS 10.0 も 3件 あり、全体的 に 注意 が 必要 な 日 です。

指標数値
NVD 更新 CVE(全体)671件
スコア付き CVE200件
Critical (9.0+)20件
High (7.0-8.9)61件
Medium (4.0-6.9)84件
Low (0.1-3.9)7件
未スコア28件
OSV 更新4件
GHSA 新規0件
MyJVN2件
影響エコシステムnpm, PyPI

Critical / High 脆弱性 の 詳細解説

CVE-2026-31976 — xygeni-action サプライチェーン 攻撃(タグ 改ざん + C2 インプラント)

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-506(組み込み 悪意 ある コード)
  • 影響: xygeni/xygeni-action@v5 を 参照 する すべて の GitHub Actions ワークフロー(2026年3月3日〜10日 の 期間)
  • 概要: 攻撃者 が 漏洩 した 認証 情報 を 使い、xygeni-action の v5 タグ を 悪意 ある コミット に 差し替えました。この コミット は マージ されて いない PR から の もの でしたが、Git オブジェクト ストア に 残存 して おり、@v5 を 参照 する ワークフロー が 自動的 に C2 インプラント を 実行 する 状態 でした。影響 期間中 の ワークフロー 実行 ごと に 最大 180秒間、攻撃者 が 任意 コマンド を 実行 可能 でした。
  • 対策: 影響 期間 に @v5 を 使用 して いた 場合、シークレット の ローテーション と 監査 ログ の 確認 を 推奨 します
  • 参考: GitHub Advisory

CVE-2026-31900 — Python Black GitHub Action の RCE

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-20(不適切 な 入力 検証)
  • 影響: Black GitHub Action で use_pyproject: true オプション を 使用 して いる ワークフロー(v26.3.0 未満)
  • 概要: Black の GitHub Action は pyproject.toml から Black の バージョン を 読み取る オプション を 提供 して います。悪意 ある PR が pyproject.toml を 編集 して 外部 リポジトリ へ の URL 参照 を 追加 する と、Action の コンテキスト で 任意 コード が 実行 される 可能性 が ありました。シークレット や パーミッション が 漏洩 する リスク が あります。
  • 修正: Black v26.3.0 で 修正済み
  • 参考: GitHub Advisory

CVE-2026-26954 — SandboxJS サンドボックス 脱出

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-94(コード インジェクション)
  • 影響: SandboxJS 0.8.34 未満
  • 概要: JavaScript の サンドボックス ライブラリ で ある SandboxJS に おいて、Function コンストラクタ を 含む 配列 を 取得 する 手法 が 発見 されました。Object.fromEntries と 組み合わせる こと で サンドボックス を 完全 に 脱出 でき、任意 の コード 実行 が 可能 と なります。
  • 修正: SandboxJS 0.8.34 で 修正済み
  • 参考: GitHub Advisory

CVE-2026-31957 — Himmelblau テナント スコープ 欠如

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-1188(安全 でない デフォルト 初期化)
  • 影響: Himmelblau 3.0.0 〜 3.1.0 未満
  • 概要: Microsoft Azure Entra ID の 相互 運用 スイート Himmelblau で、himmelblau.conf に テナント ドメイン が 設定 されて いない 場合、認証 が テナント スコープ で 制限 されず、任意 の Entra ID ドメイン から の 認証 を 受け入れて しまいます。リモート 認証 環境 で 使用 して いる 場合、深刻 な リスク が あります。
  • 修正: Himmelblau 3.1.0 で 修正済み
  • 参考: GitHub Advisory

CVE-2025-48611 — Android DeviceId 境界 チェック 欠如

  • CVSSスコア: 10.0 (Critical)
  • CWE: CWE-120(バッファ オーバーフロー)
  • 影響: Android(Pixel 2026年3月 セキュリティ パッチ 以前)
  • 概要: DeviceId.java に おける 境界 チェック の 欠如 に より、永続 データ の 不整合 が 発生 し、ローカル 権限 昇格 が 可能 です。追加 の 実行 権限 や ユーザー 操作 は 不要 です。
  • 修正: Pixel 2026年3月 セキュリティ パッチ で 修正
  • 参考: Android Security Bulletin

CVE-2026-25823 — HMS Networks Ewon スタック バッファ オーバーフロー

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-121(スタック バッファ オーバーフロー)
  • 影響: Ewon Flexy(15.0s4 未満)、Cosy+(22.1s6 未満 / 23.0s3 未満)
  • 概要: 産業用 リモート アクセス ルーター の Ewon Flexy および Cosy+ に スタック バッファ オーバーフロー が 存在 し、DoS および 非認証 リモート コード 実行 が 可能 です。同 製品 に は CVE-2026-25818(弱い エントロピー の Cookie)など 他 に も 3件 の 脆弱性 が 報告 されて おり、OT 環境 の 管理者 は 早急 な 対応 を 推奨 します。
  • 修正: ファームウェア 15.0s4 / 22.1s6 / 23.0s3 以降 で 修正
  • 参考: HMS Security Advisory

CVE-2025-59388 — QNAP Hyper Data Protector ハードコード パスワード

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-259(ハードコード パスワード の 使用)
  • 影響: QNAP Hyper Data Protector 2.3.1.455 未満
  • 概要: QNAP の バックアップ ソリューション Hyper Data Protector に ハードコード された パスワード が 使用 されて おり、リモート の 攻撃者 が 不正 アクセス を 取得 可能 です。
  • 修正: Hyper Data Protector 2.3.1.455 以降 で 修正
  • 参考: QNAP Security Advisory

CVE-2026-31886 — Dagu ワークフロー エンジン パス トラバーサル で /tmp 削除

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-22(パス トラバーサル)
  • 影響: Dagu 2.2.4 未満
  • 概要: ワークフロー エンジン Dagu の dagRunId パラメータ に パス トラバーサル の 脆弱性 が あり、.. を 指定 する と /tmp ディレクトリ 全体 が 削除 されます。Docker や root 環境 で は システム 全体 の DoS に つながります。
  • 修正: Dagu 2.2.4 で 修正済み
  • 参考: GitHub Advisory

CVE-2026-26791 — GL-iNet ルーター コマンド インジェクション(3件)

  • CVSSスコア: 9.8 (Critical)
  • CWE: CWE-77(コマンド インジェクション)
  • 影響: GL-iNet GL-AR300M16 v4.3.11
  • 概要: GL-iNet の IoT ルーター に 複数 の コマンド インジェクション 脆弱性 が 報告 されて います。CVE-2026-26791(enable_echo_server)、CVE-2026-26792(set_upgrade の 複数 パラメータ)、CVE-2026-26795(get_system_log)の 3件 が すべて CVSS 9.8 です。GL-iNet ルーター を 使用 して いる 場合 は ファームウェア の 更新 を 確認 して ください。
  • 参考: 脆弱性 詳細

CVE-2025-54236 — Adobe Commerce セッション 乗っ取り(CISA KEV)

  • CVSSスコア: 9.1 (Critical)
  • CWE: CWE-20(不適切 な 入力 検証)
  • 影響: Adobe Commerce 2.4.9-alpha2 以前
  • 概要: Adobe Commerce の 入力 検証 不備 に よる セッション 乗っ取り の 脆弱性 です。CISA KEV カタログ に 登録 されて おり、実際 の 攻撃 が 確認 されて います。NVD で 引き続き 情報 が 更新 されて います。EC サイト 運営者 は 対応 状況 を 再確認 して ください。
  • 修正: Adobe セキュリティ パッチ APSB25-88 を 適用
  • 参考: NVD / CISA KEV

その他 の 注目 パターン

本日 の 200件 の スコア付き CVE に は、以下 の ような クラスター が 見られます:

  • wpDiscuz(WordPress プラグイン): 14件 — XSS、CSRF、SQL インジェクション、メール フラッド、OAuth シークレット 漏洩 など 多数。v7.6.47 で 修正済み
  • TP-Link Archer AX53: 10件 — tmpserver/tdpserver モジュール の ヒープ バッファ オーバーフロー(すべて CVSS 8.0)、Cisco Talos が 発見
  • IBM Sterling B2B Integrator: 10件 — XSS、SQL インジェクション、情報 漏洩 の 混在
  • Google Chrome 146: 9件 — ポリシー 適用 の 不備、UI スプーフィング
  • FreeRDP: 8件 — オーディオ デコーダ の バグ、ヒープ オーバーフロー。v3.24.0 で 修正
  • MediaWiki: 5件 — XSS、情報 漏洩。v1.39.14 / v1.43.4 / v1.44.1 で 修正

エコシステム別 サマリー(OSV)

本日 の OSV データ は 4件。いずれ も 過去 に 公開 された 脆弱性 の メタデータ 更新 です。

npm(3件):

  • Next.js オープンリダイレクト(CVE-2020-15242)— v9.5.4 で 修正済み
  • Next.js Image Optimization XSS(CVE-2021-39178)— v11.1.1 で 修正済み
  • Svelte SSR XSS(CVE-2022-25875)— v3.49.0 で 修正済み

PyPI(1件):

  • jQuery / Django prototype pollution(CVE-2019-11358)— jQuery 3.4.0 / Django 2.1.9 以降 で 修正済み

いずれ も 古い バージョン を 使い 続けて いない 限り 影響 は ありません。依存 関係 の バージョン を 確認 して ください。

JVN 日本語 情報

JVNDB-2026-000039 — GROWI OpenAI スレッド・メッセージ API 権限 チェック 欠如

  • CVE: CVE-2026-25083
  • CVSSスコア: 8.3 (High)
  • 概要: GROWI の OpenAI スレッド・メッセージ API に 権限 チェック の 欠如(CWE-862)が 存在 します。GMO サイバーセキュリティ by イエラエ が 報告。
  • 参考: JVN

JVNDB-2026-000037 — OpenLiteSpeed / LSWS Enterprise OS コマンド インジェクション

  • CVE: CVE-2026-31386
  • CVSSスコア: 7.2 (High)
  • 概要: LiteSpeed Technologies の OpenLiteSpeed および LSWS Enterprise に OS コマンド インジェクション(CWE-78)の 脆弱性 が 存在 します。みずほフィナンシャルグループ が IPA に 報告、JPCERT/CC が 調整。
  • 参考: JVN

まとめ

本日 は CVSS 10.0 が 3件、Critical 全体 で 20件 と 多い 日 でした。最 も 注目 すべき は GitHub Actions を 標的 と した サプライチェーン 攻撃 2件 です。CVE-2026-31976(xygeni-action)は タグ 改ざん に よる C2 インプラント の 配布、CVE-2026-31900(Black formatter)は pyproject.toml を 経由 した 任意 コード 実行 で、いずれ も CI/CD パイプライン の セキュリティ を 根本 から 脅かす もの です。GitHub Actions の アクション 参照 に は タグ では なく コミット SHA を 使う ベストプラクティス の 再確認 を 推奨 します。

IoT / 産業 機器 分野 で は GL-iNet ルーター(3件、CVSS 9.8)と HMS Networks Ewon(4件、CVSS 9.8)が 複数 の Critical 脆弱性 を 抱えて おり、OT / IoT 環境 の 管理者 は 早急 な ファームウェア 更新 を 検討 して ください。QNAP Hyper Data Protector の ハードコード パスワード(CVE-2025-59388)も NAS 運用者 に は 影響 が 大きい 脆弱性 です。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。