本日 の NVD 更新 では 86件 の CVE が 公開・更新 され、Critical が 2件、High が 30件 です。WordPress プラグイン 2件 に 権限昇格 の 脆弱性 が 見つかっており、特に WP Extended(CVSS 8.8)は Subscriber 権限 から 管理者 権限 を 取得 できる 深刻 な 問題 です。また、オープンソース 動画 プラットフォーム AVideo に パストラバーサル や ファイル 削除 を 含む 6件 の 脆弱性 が 報告 されています。
本日 の 概要
| 指標 | 数値 |
|---|---|
| 新規 CVE | 84件 |
| 更新 CVE | 2件 |
| Critical (9.0+) | 2件 |
| High (7.0-8.9) | 30件 |
| Medium (4.0-6.9) | 46件 |
| Low (~3.9) | 6件 |
| OSV 監視対象 | 0件 |
| GHSA 更新 | 0件 |
Critical / High 脆弱性 の 詳細
CVE-2019-25614 — Free Float FTP バッファオーバーフロー による RCE
- CVSS スコア: 9.8(Critical)
- CWE: CWE-787(範囲外書き込み)
- 影響: Free Float FTP 1.0
Free Float FTP Server の STOR コマンド ハンドラー に バッファオーバーフロー の 脆弱性 が 存在 します。匿名 認証 で 接続 した 攻撃者 が 細工 した STOR リクエスト を 送信 する ことで、リモート から 任意 の コード を 実行 できる 可能性 が あります。メンテナンス されていない レガシー ソフトウェア の ため、使用 している 場合 は 代替 ソフト へ の 移行 を 推奨 します。
- 参考: NVD
CVE-2025-54236 — Adobe Commerce セッション 乗っ取り
- CVSS スコア: 9.1(Critical)
- CWE: CWE-20(不正入力検証)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 および それ以前
- 修正: APSB25-88
- CISA KEV: 登録済み
不正 な 入力 検証 の 脆弱性 により、攻撃者 が セッション 乗っ取り を 行い、機密性 と 完全性 に 大きな 影響 を 与える 可能性 が あります。CISA KEV に 登録 済み の ため、Adobe Commerce を 利用 している 場合 は 早急 に パッチ 適用 を 推奨 します。
- 参考: Adobe Advisory / CISA KEV / NVD
CVE-2026-4314 — WordPress WP Extended 権限昇格
- CVSS スコア: 8.8(High)
- CWE: CWE-269(不適切な権限管理)
- 影響: The Ultimate WordPress Toolkit – WP Extended 3.2.4 以下
- 修正: changeset 3475963 以降
Menu Editor モジュール の isDashboardOrProfileRequest() メソッド が strpos() を 使用 した 安全 でない チェック を 行っている ため、grantVirtualCaps() メソッド が manage_options を 含む 管理者 権限 を 付与 します。Subscriber 以上 の 権限 を 持つ 認証済み ユーザー が URL パラメータ を 細工 する ことで 管理者 権限 を 取得 し、任意 の WordPress オプション の 変更 や 新規 管理者 アカウント の 作成 が 可能 です。
CVE-2026-4558 — Linksys MR9600 OS コマンド インジェクション
- CVSS スコア: 8.8(High)
- CWE: CWE-78(OS コマンド インジェクション)
- 影響: Linksys MR9600 2.0.6.206937
SmartConnect.lua の smartConnectConfigure 関数 で、configApSsid / configApPassphrase / srpLogin / srpPassword パラメータ が 適切 に サニタイズ されず、リモート から OS コマンド を 注入 できる 脆弱性 が あります。ベンダー は 早期 に 通知 を 受けた ものの 応答 が ありません。Linksys MR9600 を 使用 している 場合 は ファームウェア 更新 の 有無 を 確認 してください。
- 参考: NVD
CVE-2026-3629 — WordPress Import and export users 権限昇格
- CVSS スコア: 8.1(High)
- CWE: CWE-269(不適切な権限管理)
- 影響: Import and export users and customers 1.29.7 以下
- 修正: changeset 3483330 以降
save_extra_user_profile_fields 関数 が wp_capabilities メタキー の 更新 を 適切 に 制限 しておらず、未認証 の 攻撃者 が 登録 リクエスト を 細工 する ことで 管理者 に 昇格 できる 可能性 が あります。「Show fields in profile」設定 が 有効 かつ wp_capabilities カラム を 含む CSV が インポート 済み の 場合 に 悪用 可能 です。
CVE-2026-33293 — AVideo 任意 ファイル 削除
- CVSS スコア: 8.1(High)
- CWE: CWE-22(パストラバーサル)
- 影響: WWBN AVideo 26.0 未満
- 修正: 26.0
CloneSite プラグイン の deleteDump パラメータ が unlink() に 直接 渡される ため、パストラバーサル シーケンス(../../)を 使って サーバー 上 の 任意 の ファイル を 削除 できます。configuration.php 等 の 重要 ファイル が 削除 される と 完全 な サービス 停止 に つながる 可能性 が あります。
- 参考: GHSA-xmjm-86qv-g226 / NVD
CVE-2026-33292 — AVideo HLS パストラバーサル
- CVSS スコア: 7.5(High)
- CWE: CWE-22(パストラバーサル)
- 影響: WWBN AVideo 26.0 未満
- 修正: 26.0
HLS ストリーミング エンドポイント(view/hls.php)で、videoDirectory パラメータ の 認可 チェック と ファイル アクセス の パス 処理 が 分離 しており、認可 は 1つ の 動画 に対して 行われ、実際 の コンテンツ は 別 の 動画 から 配信 される 問題 が あります。未認証 の 攻撃者 が 有料 や 非公開 の 動画 を 閲覧 できる 可能性 が あります。
- 参考: GHSA-pw4v-x838-w5pg / NVD
CVE-2026-4528 — ApiFlow SSRF
- CVSS スコア: 7.3(High)
- CWE: CWE-918(SSRF)
- 影響: trueleaf ApiFlow 0.9.7
URL Validation Handler の validateUrlSecurity 関数 に サーバーサイド リクエスト フォージェリ(SSRF)の 脆弱性 が あります。内部 ネットワーク の リソース に アクセス される 可能性 が あるため、ApiFlow を 利用 している 場合 は 最新版 へ の アップデート を 推奨 します。
- 参考: NVD
CVE-2024-21532 — ggit コマンド インジェクション
- CVSS スコア: 7.3(High)
- CWE: CWE-78(OS コマンド インジェクション)
- 影響: ggit 全バージョン(npm パッケージ)
fetchTags(branch) API で ユーザー 入力 が そのまま git コマンド に 連結 され、安全 でない exec() に 渡される ため、コマンド インジェクション が 可能 です。ggit を 依存 関係 に 含む プロジェクト は 代替 パッケージ へ の 移行 を 検討 してください。
IoT / ルーター 脆弱性
本日 は Tenda FH451 / F453、D-Link DHP-1320 / DIR-513、Linksys MR9600 に 計 8件 の High 脆弱性 が 報告 されています。いずれ も バッファオーバーフロー や コマンド インジェクション で リモート から 悪用 可能 です。D-Link 製品 は EOL の ため パッチ 提供 の 予定 は なく、使用 を 継続 している 場合 は ネットワーク 分離 や 代替 機器 へ の 移行 を 検討 してください。
| CVE ID | 製品 | CVSS | 種別 |
|---|---|---|---|
| CVE-2026-4529 | D-Link DHP-1320 | 8.8 | バッファオーバーフロー |
| CVE-2026-4534 | Tenda FH451 | 8.8 | バッファオーバーフロー |
| CVE-2026-4535 | Tenda FH451 | 8.8 | バッファオーバーフロー |
| CVE-2026-4551 | Tenda F453 | 8.8 | バッファオーバーフロー |
| CVE-2026-4552 | Tenda F453 | 8.8 | バッファオーバーフロー |
| CVE-2026-4553 | Tenda F453 | 8.8 | バッファオーバーフロー |
| CVE-2026-4555 | D-Link DIR-513 | 8.8 | バッファオーバーフロー |
| CVE-2026-4558 | Linksys MR9600 | 8.8 | コマンドインジェクション |
レガシー ソフトウェア CVE 一括 登録
本日 は 2019年 に 発見 された デスクトップ アプリケーション の バッファオーバーフロー や DoS 脆弱性 に CVE が 一括 で 採番 されています(計 30件 以上)。Free Float FTP(CVSS 9.8)を 除き、いずれ も ローカル 環境 の デスクトップ ソフトウェア に 限定 された 影響 です。TuneClone、DVDXPlayer Pro、Axessh、jetCast Server 等 が 含まれます。対象 ソフトウェア を 業務 で 使用 している 場合 は 最新版 へ の 更新 を 確認 してください。
その他 の 注目 CVE
- CVE-2026-33549: SPIP 4.4.10〜4.4.12 に 管理者 権限 の 意図 しない 付与(CVSS 6.7)。4.4.13 で 修正
- CVE-2026-4538: PyTorch 2.10.0 の pt2 ローディング に デシリアライゼーション の 脆弱性(CVSS 5.3)
- CVE-2026-4115: PuTTY 0.83 の Ed25519 署名 検証 に 問題(CVSS 3.7)。パッチ 適用済み
- CVE-2024-21532: npm パッケージ ggit に コマンド インジェクション(CVSS 7.3)。全バージョン が 対象
まとめ
本日 は Critical 2件、High 30件 を 含む 86件 の CVE が 公開・更新 されました。WordPress プラグイン の 権限昇格(WP Extended、Import and export users)は 利用者 が 多い ため、該当 プラグイン を 使用 している 場合 は 早急 に アップデート を 推奨 します。AVideo は パストラバーサル、任意 ファイル 削除、SSRF、XSS、オープン リダイレクト を 含む 6件 の 脆弱性 が 修正 された バージョン 26.0 が リリース されています。IoT / ルーター 機器 は Tenda、D-Link の EOL 製品 を 中心 に 複数 の リモート 悪用 可能 な 脆弱性 が 報告 されており、該当 機器 の 利用 状況 の 確認 を 推奨 します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説 は Claude API に より 自動生成 されています。正確性 に ついては 原文 を ご確認 ください。