本日のNVD更新では200件のCVEにスコアが付与され、Critical 19件、High 70件。Cisco Secure Firewall Management CenterにCVSS 10.0のRCE(CISA KEV登録済み)が確認されたほか、OpenSSL CMS解析のスタックバッファオーバーフロー、Feathers.jsのOAuth認証バイパスなど影響範囲の広い脆弱性が並びます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 200件 |
| Critical (9.0+) | 19件 |
| High (7.0-8.9) | 70件 |
| Medium (4.0-6.9) | 102件 |
| Low (~3.9) | 8件 |
| CISA KEV登録 | 3件 |
| OSV監視対象 | 9件 |
| JVN日本語情報 | 2件 |
| 影響エコシステム | npm, PyPI |
Critical / High 脆弱性の詳細
CVE-2026-20131 — Cisco FMC 安全でないデシリアライゼーション RCE
- CVSSスコア: 10.0(Critical)
- CWE: CWE-502(安全でないデシリアライゼーション)
- 影響: Cisco Secure Firewall Management Center (FMC) Software
- CISA KEV: 登録済み
Cisco FMCのWeb管理インターフェースで、未認証のリモート攻撃者が細工されたJavaオブジェクトを送信し、root権限で任意コードを実行できます。AWSの脅威インテリジェンスチームがInterlockランサムウェアキャンペーンとの関連を報告しており、管理インターフェースがインターネットに公開されている環境では即座の対応が必要です。
- 参考: Cisco Advisory / NVD
CVE-2025-15467 — OpenSSL CMS AuthEnvelopedData スタックバッファオーバーフロー
- CVSSスコア: 8.8(High)
- CWE: CWE-787(境界外書き込み)
- 影響: OpenSSL 3.0 / 3.3 / 3.4 / 3.5 / 3.6
OpenSSLのCMS AuthEnvelopedData解析処理にスタックバッファオーバーフローが存在します。認証前のフェーズで発生するため秘密鍵なしで攻撃可能です。OpenSSLは広く利用されているライブラリのため、影響バージョンを確認しアップデートを推奨します。
- 参考: OpenSSL Commit / NVD
CVE-2026-29792 — Feathers.js OAuth認証バイパス
- CVSSスコア: 9.8(Critical)
- CWE: CWE-287(不適切な認証)
- 影響: Feathers.js 5.0.0 〜 5.0.42未満
未認証の攻撃者が /oauth/:provider/callback に偽造プロファイルを含むGETリクエストを送信すると、OAuthプロバイダに一切接触せずに既存ユーザーの有効なアクセストークンを取得できます。Grant のセッション/ステートが空のとき params.query にフォールバックする設計が原因です。5.0.42で修正済み。
- 参考: GHSA-wg9x-qfgw-pxhj / NVD
CVE-2026-29793 — Feathers.js NoSQLインジェクション
- CVSSスコア: 9.8(Critical)
- CWE: CWE-943(NoSQLインジェクション)
- 影響: Feathers.js 5.0.0 〜 5.0.42未満
Socket.IOクライアントからサービスメソッドのid引数に任意のJSオブジェクトを送信可能。MongoDBアダプタ使用時に {$ne: null} をidとして送ることでコレクション全文書にマッチします。5.0.42で修正済み。
- 参考: GHSA-p9xr-7p9p-gpqx / NVD
CVE-2026-2880 — @fastify/middie 認証バイパス
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(入力検証不備)
- 影響: @fastify/middie 9.2.0未満
パススコープミドルウェア使用時に、Fastifyルーターの正規化オプション(ignoreDuplicateSlashes等)との不整合を悪用して認証・認可ミドルウェアをバイパスできます。Fastify + Expressミドルウェアで認証を実装している場合は影響を確認してください。
- 参考: GHSA-8p85-9qpw-fwgw / NVD
CVE-2025-54236 — Adobe Commerce セッション乗っ取り
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(入力検証不備)
- 影響: Adobe Commerce 複数バージョン
- CISA KEV: 登録済み
Adobe Commerce(Magento)の入力検証不備によりセッション乗っ取りが可能です。ユーザー操作不要で、CISAがKEV登録しています。ECサイトを運用している場合は優先的にパッチ適用を検討してください。
- 参考: Adobe Advisory / NVD
CVE-2026-20963 — Microsoft SharePoint デシリアライゼーション RCE
- CVSSスコア: 8.8(High)
- CWE: CWE-502(安全でないデシリアライゼーション)
- 影響: Microsoft SharePoint
- CISA KEV: 登録済み
SharePointの安全でないデシリアライゼーション脆弱性により、ネットワーク経由でのコード実行が可能です。実際の悪用が確認されており、SharePointを利用している組織は早急なパッチ適用を推奨します。
CVE-2026-25769 — Wazuh クラスタモード RCE
- CVSSスコア: 9.1(Critical)
- CWE: CWE-502(安全でないデシリアライゼーション)
- 影響: Wazuh 4.0.0 〜 4.14.2
クラスタモード(master/worker構成)で、Workerノードから安全でないデシリアライゼーションを介してMasterノード上でroot権限のRCEが可能です。4.14.3で修正済み。
- 参考: GHSA-3gm7-962f-fxw5 / NVD
その他のCritical脆弱性
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2026-27591 | 9.9 | Winter CMS — バックエンドユーザーの権限昇格 |
| CVE-2026-23112 | 9.8 | Linux kernel nvmet-tcp — 境界チェック不備によるOOB書き込み |
| CVE-2026-21622 | 9.8 | Hex.pm — パスワードリセットトークン無期限有効 |
| CVE-2026-32304 | 9.8 | Locutus — create_function経由の任意コード実行 |
| CVE-2026-32746 | 9.8 | GNU inetutils telnetd — SLCハンドラのOOB書き込み |
| CVE-2025-67041 | 9.8 | Lantronix EDS3000PS — TFTPコマンドインジェクション |
| CVE-2025-70082 | 9.8 | Lantronix EDS3000PS — 任意コード実行 |
| CVE-2026-4181〜4184 | 9.8 | D-Link DIR-816 — スタックBOF(EOL製品) |
| CVE-2025-40943 | 9.6 | Siemens PLC — トレースファイル経由の任意コード実行 |
| CVE-2026-25770 | 9.1 | Wazuh — クラスタ同期プロトコルの権限昇格 |
主要パターンと傾向
- デシリアライゼーション脆弱性が目立つ: Cisco FMC(10.0)、SharePoint(8.8)、Wazuh(9.1)とCWE-502がCritical/Highに3件
- Node.jsエコシステムに複数の認証バイパス: Feathers.js OAuth、@fastify/middie、いずれもミドルウェア層の検証不備が原因
- Linux kernel脆弱性が14件: UAFとOOB書き込みが中心。ネットワーク関連サブシステムが多め
- EOL製品の脆弱性が継続: D-Link DIR-816(5件)、D-Link DNS NASシリーズ(5件)。リプレース検討を推奨
- CISA KEV登録が3件: Cisco FMC、Adobe Commerce、SharePoint。いずれも実環境での悪用が確認済み
エコシステム別サマリー
npm
OSV監視対象で8件を検出。Next.js 16.1.7で5件のセキュリティ修正がリリースされています。
- Next.js(5件): PPRリジュームバッファリングDoS(CVE-2026-27979)、画像キャッシュ枯渇DoS(CVE-2026-27980)、HMR WebSocket CSRF(CVE-2026-27977)、Server Actions CSRF(CVE-2026-27978)、リライト経由HTTPスマグリング(CVE-2026-29057)。いずれも16.1.7で修正
- Angular(1件): i18n属性バインディングのXSS(CVE-2026-32635)—
@angular/core19.2.20 / 20.3.18 / 21.2.4 で修正
NVD経由では Feathers.js(2件)、@fastify/middie(1件)、Multer(2件、DoS)、Locutus(1件)も報告されています。
PyPI
- PyJWT(CVE-2026-32597): RFC 7515 critヘッダパラメータの未検証。不明な拡張を持つトークンを受容する問題。2.12.0で修正
JVN 日本語情報
| JVN ID | タイトル |
|---|---|
| JVNDB-2026-007972 | 複数のSchneider Electric製品における複数の脆弱性(CVE-2026-0667) |
| JVNDB-2026-007971 | Festo Automation Suiteで使用されるCODESYSにおける複数の脆弱性 |
いずれも産業制御システム(ICS)関連の脆弱性です。OT環境を運用している場合は詳細を確認してください。
まとめ
本日はCisco FMCのCVSS 10.0 RCE(CISA KEV登録済み)が最も深刻です。ランサムウェアキャンペーンとの関連が報告されており、FMC管理インターフェースの公開状況を即座に確認してください。Node.jsエコシステムではFeathers.js、@fastify/middie、Multerと認証・DoS系の脆弱性が複数出ており、依存関係の棚卸しを推奨します。Next.js 16.1.7へのアップデートも早めに検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。