本日のNVD更新では200件のCVEにスコアが付与され、Critical 11件、High 60件。Cisco Secure Firewall Management Center(FMC)にCVSS 10.0のリモートコード実行脆弱性が確認され、Interlockランサムウェアによる悪用がCISA KEVに登録済みです。gRPC-Goの認可バイパス(9.1)、Oracle Identity Managerの認証欠如(9.8)など、インフラ・エンタープライズ領域に影響の大きい脆弱性が目立ちます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 200件 |
| Critical (9.0+) | 11件 |
| High (7.0-8.9) | 60件 |
| Medium (4.0-6.9) | 95件 |
| Low (~3.9) | 7件 |
| CISA KEV登録 | 2件 |
| OSV監視対象 | 6件 |
| 影響エコシステム | npm |
Critical / High 脆弱性の詳細
CVE-2026-20131 — Cisco Secure FMC デシリアライゼーションによるRCE
- CVSSスコア: 10.0(Critical)
- CWE: CWE-502(信頼できないデータのデシリアライゼーション)
- 影響: Cisco Secure Firewall Management Center (FMC) Software
- CISA KEV: 登録済み(悪用確認)
Cisco FMCのWebベース管理インターフェースに、認証不要でリモートからroot権限でJavaコードを実行できる脆弱性が存在します。Interlockランサムウェアキャンペーンでの悪用が確認されており、CISA KEVに登録済みです。FMC管理インターフェースがインターネットに公開されている場合は即座に対応を推奨します。
- 参考: Cisco Advisory / CISA KEV / NVD
CVE-2026-21992 — Oracle Identity Manager 認証欠如による完全乗っ取り
- CVSSスコア: 9.8(Critical)
- CWE: CWE-306(重要機能の認証欠如)
- 影響: Oracle Identity Manager / Oracle Web Services Manager 12.2.1.4.0, 14.1.2.1.0
REST WebServicesおよびWeb Services Securityに認証なしのネットワークアクセスでHTTP経由の完全なシステム乗っ取りが可能な脆弱性です。Oracle環境を運用している場合はセキュリティアラートの確認を推奨します。
- 参考: Oracle Security Alert / NVD
CVE-2026-3584 — WordPress Kali Forms 認証不要RCE
- CVSSスコア: 9.8(Critical)
- CWE: CWE-94(コードインジェクション)
- 影響: Kali Forms plugin for WordPress 2.4.9 以下
- 修正: changeset 3487024
form_process関数を介したリモートコード実行の脆弱性です。認証不要で悪用可能なため、Kali Formsプラグインを使用している場合は即アップデートを推奨します。
CVE-2026-33186 — gRPC-Go 認可バイパス
- CVSSスコア: 9.1(Critical)
- CWE: CWE-285(不適切な認可)
- 影響: gRPC-Go 1.79.3 未満(
google.golang.org/grpc/authz使用時) - 修正: 1.79.3
HTTP/2の:path疑似ヘッダーの入力検証が不適切で、先頭スラッシュなしのパスでリクエストを送信すると認可インターセプターの"deny"ルールをバイパスできます。gRPC-Goで認可制御を使用している場合は1.79.3へのアップデートを推奨します。
- 参考: GHSA-p77j-4mvh-x3m3 / NVD
CVE-2025-54236 — Adobe Commerce セッション乗っ取り
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(不正入力検証)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2 およびそれ以前
- 修正: APSB25-88
- CISA KEV: 登録済み(悪用確認)
不正入力検証の脆弱性により、セッション乗っ取りが可能です。CISA KEVに登録済みのため、Adobe Commerceを利用している場合は早急にパッチ適用を推奨します。
- 参考: Adobe Security Bulletin / CISA KEV / NVD
CVE-2025-49794 / CVE-2025-49796 — libxml2 XPathパース脆弱性
- CVSSスコア: 9.1(Critical)
- CWE: CWE-825 / CWE-125
- 影響: libxml2
- 修正: Red Hat errata で修正パッチ配布済み
libxml2のXPathパーシングにおけるuse-after-freeおよびメモリ破損の脆弱性です。多くのLinuxディストリビューションで利用されるライブラリのため、パッケージマネージャ経由でのアップデートを確認してください。
CVE-2026-25192 — EV充電ステーション認証欠如
- CVSSスコア: 9.4(Critical)
- CWE: CWE-306(重要機能の認証欠如)
- 影響: CTEK EV充電インフラ
EV充電ステーションのWebSocketエンドポイントに認証メカニズムが欠如しており、攻撃者が正規の充電器として不正コマンドの発行が可能です。ICS環境で充電インフラを運用している場合はCISAアドバイザリの確認を推奨します。
- 参考: CISA ICS Advisory / NVD
CVE-2026-32610 — Glances CORS設定の不備
- CVSSスコア: 8.1(High)
- CWE: CWE-942(過度に許容的なCORSポリシー)
- 影響: Glances 4.5.2 未満
- 修正: 4.5.2
システム監視ツールGlancesのREST APIでCORS設定がallow_origins=["*"] + allow_credentials=Trueとなっており、任意のWebサイトからシステム監視情報を窃取可能です。ネットワーク経由で公開している場合は4.5.2へのアップデートを推奨します。
- 参考: NVD
CVE-2026-32887 — Effect TypeScript 競合状態によるセッション混在
- CVSSスコア: 7.4(High)
- CWE: CWE-362(競合状態)
- 影響: Effect 3.20.0 未満(Next.js App Router使用時)
- 修正: 3.20.0
EffectフレームワークのRpcServer.toWebHandlerをNext.js App Routerで使用した際に、AsyncLocalStorageが別リクエストのコンテキストを読む競合状態が発生します。本番環境でauth()が別ユーザーのセッションを返す可能性があります。
- 参考: NVD
その他のCritical脆弱性
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2025-67830 | 9.8 | Mura CMS — sortbyパラメータのSQLインジェクション |
| CVE-2026-29796 | 9.4 | Automated Logic WebCTRL — WebSocket認証欠如 |
| CVE-2026-24060 | 9.1 | Automated Logic WebCTRL — BACnetパケット平文送信 |
注目のHigh脆弱性
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2026-33226 | 8.7 | Budibase — RESTデータソースプレビュー経由のSSRF |
| CVE-2026-33166 | 8.6 | Allure Report — テスト結果処理のパストラバーサル |
| CVE-2026-33243 | 8.2 | barebox — FIT署名検証バイパス |
| CVE-2025-5987 | 8.1 | libssh — ChaCha20 + OpenSSLでの暗号コンテキスト破損 |
| CVE-2026-33142 | 8.1 | OneUptime — ClickHouseへのSQLインジェクション |
| CVE-2026-33236 | 8.1 | NLTK — ダウンローダーのパストラバーサル |
| CVE-2026-33002 | 7.5 | Jenkins — CLIのDNSリバインディング |
| CVE-2026-27135 | 7.5 | nghttp2 — terminate_session後のアサーション失敗 |
| CVE-2026-33154 | 7.5 | dynaconf — @Jinja SSTI |
| CVE-2026-30922 | 7.5 | pyasn1 — 深いネストASN.1構造によるDoS |
主要パターンと傾向
- CISA KEV登録が2件: Cisco FMC(10.0)はInterlockランサムウェアで悪用確認、Adobe Commerce(9.1)も実際の攻撃で使用。即座のパッチ適用が必要
- ICS/OT系に集中: EV充電ステーション(CTEK, WebCTRL)に認証欠如・平文通信など複数の脆弱性。産業制御系のセキュリティ対策が課題
- OpenClaw関連が約20件: 権限昇格、サンドボックスエスケープ、認可バイパスなど多岐にわたる大規模監査結果
- WordPress プラグイン: 約40件。蓄積型XSS、CSRF、SSRFが中心。Kali FormsのRCE(9.8)は認証不要で特に深刻
- Linux kernel: CVE-2023-53xxx系(2023年のバグが正式CVE付与)が約25件
- 基盤ライブラリ: libxml2(9.1 x2)、gRPC-Go(9.1)、nghttp2(7.5)、libssh(8.1)、pyasn1(7.5)。依存関係の広さに注意
エコシステム別サマリー
npm
OSV監視対象で6件を検出。
- Angular:
@angular/core/@angular/compilerにi18n属性バインディング経由のXSS(CVE-2026-32635、HIGH)。v19.2.20 / v20.3.18 / v21.2.4 で修正。v18.x以前は修正なし - Next.js: 5件の脆弱性。画像キャッシュ枯渇DoS、PPR resumeバッファリングDoS、HMR WebSocket CSRF、HTTPリクエストスマグリング、Server Actions CSRF。いずれも v16.1.7 で修正済み(一部 v15.5.13/15.5.14)
NVD経由の注目パッケージ
- Python: pyasn1 0.6.3 未満(DoS)、NLTK 3.9.3 以下(パストラバーサル x2)、dynaconf 3.2.13 未満(SSTI)
- Go: gRPC-Go 1.79.3 未満(認可バイパス)、nghttp2 1.68.1 未満(アサーション失敗)
- AI/ML関連: mcp-memory-service 10.25.1 未満(CORS)、DB-GPT 0.7.5 以下(SQLインジェクション)
JVN 日本語情報
本日のMyJVNデータでは該当する脆弱性対策情報はありませんでした。
まとめ
本日はCISA KEV登録済みのCisco FMC RCE脆弱性(CVSS 10.0)が最も深刻で、Interlockランサムウェアでの悪用が確認されています。FMC管理インターフェースの公開状況を直ちに確認してください。Adobe Commerce利用者もKEV登録されたセッション乗っ取り脆弱性への対応が必要です。gRPC-Go(1.79.3)やNext.js(16.1.7)、Angular(19.2.20+)のアップデートも優先度が高いです。EV充電インフラへの複数の脆弱性はICS環境の運用者にとって注意が必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。