【セキュリティ日報】Azure Cloud ShellにCVSS 10.0のSSRF脆弱性ほか Critical 26件を含む200件

本日のNVD更新では200件のCVEにスコアが付与され、Critical 26件、High 65件。Azure Cloud ShellにCVSS 10.0のSSRF脆弱性が確認されたほか、Redis Luaスクリプト経由のRCE（9.9）、Argo WorkflowsのSecret漏洩（9.8）など、インフラ・DevOps領域に影響の大きい脆弱性が目立ちます。AI関連ツール（Claude Code UI、Cursor、Taskosaur、ZeptoClaw）にも複数のCritical脆弱性が報告されています。

本日の概要

Critical / High 脆弱性の詳細

CVE-2026-32169 — Azure Cloud Shell SSRF による権限昇格

• CVSSスコア: 10.0（Critical）
• CWE: CWE-918（サーバーサイドリクエストフォージェリ）
• 影響: Azure Cloud Shell

Azure Cloud Shellにサーバーサイドリクエストフォージェリ（SSRF）の脆弱性が存在し、未認証の攻撃者がネットワーク経由で権限を昇格できます。Azure Cloud Shellを利用している環境ではMicrosoftのセキュリティアドバイザリを確認し、対応を推奨します。

• 参考: MSRC / NVD

CVE-2026-22557 — UniFi Network Application パストラバーサル

• CVSSスコア: 10.0（Critical）
• CWE: CWE-22（パストラバーサル）
• 影響: Ubiquiti UniFi Network Application

ネットワークにアクセス可能な攻撃者がパストラバーサル脆弱性を悪用し、システム上のファイルにアクセスしてアカウントを侵害できます。UniFiを利用しているネットワーク管理者は即座にアップデートを確認してください。

• 参考: Ubiquiti Advisory / NVD

CVE-2025-49844 — Redis Luaスクリプト経由の use-after-free RCE

• CVSSスコア: 9.9（Critical）
• CWE: CWE-416（解放済みメモリの使用）
• 影響: Redis 8.2.1以前（Luaスクリプト機能を持つ全バージョン）
• 修正: 8.2.2

認証済みユーザーが特殊なLuaスクリプトでガベージコレクタを操作し、use-after-freeを引き起こしてRCEに繋げられます。Luaスクリプト機能を使う全バージョンが対象のため影響範囲が広いです。ACLでEVAL/EVALSHAコマンドを制限する回避策もあります。

• 参考: GHSA-4789-qfc9-5f9q / NVD

CVE-2026-28229 — Argo Workflows 認証バイパスによるSecret漏洩

• CVSSスコア: 9.8（Critical）
• CWE: CWE-863（不適切な認可）
• 影響: Argo Workflows 4.0.2未満 / 3.7.11未満
• 修正: 4.0.2 / 3.7.11

WorkflowTemplatesエンドポイントが認証を適切に検証せず、Authorization: Bearer nothing のような無効なトークンでもテンプレートの内容を取得できます。テンプレートに埋め込まれたSecret情報が漏洩する可能性があり、Kubernetes上でArgo Workflowsを運用している場合は早急なアップデートを推奨します。

• 参考: GHSA-56px-hm34-xqj5 / NVD

CVE-2026-32191 — Microsoft Bing Images OSコマンドインジェクション

• CVSSスコア: 9.8（Critical）
• CWE: CWE-78（OSコマンドインジェクション）
• 影響: Microsoft Bing Images

Bing Imagesにおける入力値の不適切な無害化により、未認証の攻撃者がネットワーク経由でコードを実行できます。サーバーサイドの脆弱性のため、ユーザー側での対応は不要ですが、MSRCのアドバイザリで状況を確認してください。

• 参考: MSRC / NVD

CVE-2026-32238 — OpenEMR バックアップ機能のコマンドインジェクション

• CVSSスコア: 9.1（Critical）
• CWE: CWE-78（OSコマンドインジェクション）
• 影響: OpenEMR 8.0.0.2未満
• 修正: 8.0.0.2

オープンソースの電子カルテシステムOpenEMRのバックアップ機能に、認証済み攻撃者が悪用可能なコマンドインジェクション脆弱性が存在します。医療機関でOpenEMRを利用している場合はアップデートを確認してください。

• 参考: GHSA-6pmc-3xm7-pm86 / NVD

CVE-2026-33001 — Jenkins シンボリックリンク処理の不備

• CVSSスコア: 8.8（High）
• CWE: 不明
• 影響: Jenkins 2.554以前 / LTS 2.541.2以前

Jenkinsがシンボリックリンクを安全に処理しない脆弱性が確認されています。CI/CDパイプラインでJenkinsを利用している場合は最新版へのアップデートを検討してください。

• 参考: NVD

CVE-2025-54920 — Apache Spark セキュリティ脆弱性

• CVSSスコア: 8.8（High）
• 影響: Apache Spark 3.5.7未満 / 4.0.1未満
• 修正: 3.5.7 / 4.0.1

Apache Sparkに影響するセキュリティ脆弱性です。ビッグデータ基盤でSparkを利用している場合は推奨バージョンへのアップデートを検討してください。

• 参考: NVD

その他のCritical脆弱性

主要パターンと傾向

• Microsoft関連が3件: Azure Cloud Shell（10.0）、Bing Images（9.8）、365 Copilot（8.9）とSSRF/コマンドインジェクションが集中
• AI関連ツールに複数のCritical: Claude Code UI（9.8）、Cursor（8.8）、Taskosaur（9.8）、ZeptoClaw（9.8）。急成長分野ゆえにセキュリティ成熟度に課題
• DevOps/インフラ基盤に深刻な脆弱性: Redis（9.9）、Argo Workflows（9.8）、Step CA（10.0）、Jenkins（8.8）。いずれもパッチが提供済み
• IoT/ネットワーク機器のOSコマンドインジェクション: Lantronix EDS5000/3000PS（6件）、Tenda AC8、UniFi。ICS環境のリスクが継続
• OpenEMR関連が4件: コマンドインジェクション（9.1）含むCritical/High。医療システムの脆弱性に注意

エコシステム別サマリー

npm

OSV監視対象で3件を検出。いずれも過去バージョンの修正情報が更新されたものです。

• Next.js: オープンリダイレクト（CVE-2020-15242、9.5.4で修正済み）、Image Optimization API XSS（CVE-2021-39178、11.1.1で修正済み）
• Svelte: SSR時のXSS（CVE-2022-25875、3.49.0で修正済み）

NVD経由では、undici WebSocket DoS（CVE-2026-1526等、3件、7.5）、flatted circular JSON parser（CVE-2026-32141、7.5）、Elysia（CVE-2026-30837、7.5）なども報告されています。

PyPI

• jQuery/Django: prototype pollution（CVE-2019-11358）の修正情報更新。古いバージョンを使用している場合は確認を推奨

JVN 日本語情報

本日のMyJVNデータでは該当する脆弱性対策情報はありませんでした。

まとめ

本日はCVSS 10.0が6件と多く、特にAzure Cloud ShellのSSRF脆弱性とUniFi Networkのパストラバーサルは影響範囲が広いため、利用状況を確認してください。Redis 8.2.2へのアップデート、Argo Workflows 4.0.2/3.7.11へのアップデートも優先度が高いです。AI関連ツール（Claude Code UI、Cursor等）にもCritical脆弱性が複数出ており、開発環境で利用している場合は最新版への更新を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)

AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。