本日 は NVD から 417件(うち スコア 付与 済み 199件)、OSV から 1件、GHSA から 3件、JVN から 5件 の 計 423件 を 確認 しました。Critical は 35件。3月 の Trivy サプライチェーン 攻撃 の 詳細 が CVE-2026-33634 として 正式 に 公開 された ほか、ワークフロー 自動化 ツール n8n に Critical 含む 3件、NGINX に バッファ オーバーフロー 2件 が 報告 されて います。
本日 の 概要
| 指標 | 数値 |
|---|---|
| 分析 CVE | 423件 |
| Critical (9.0+) | 35件 |
| High (7.0-8.9) | 79件 |
| Medium (4.0-6.9) | 76件 |
| Low (~3.9) | 9件 |
| 未評価 / 分析中 | 218件 |
| OSV 監視 対象 | 1件 |
| GHSA 更新 | 3件 |
| JVN 更新 | 5件 |
Critical / High 脆弱性 の 詳細
CVE-2026-33634 — Trivy サプライチェーン 攻撃 の 詳細 公開
- CVSS スコア: 8.8(High)
- CWE: CWE-506(悪意 の ある コード の 埋め込み)
- 影響: Trivy v0.69.4、trivy-action v0.0.1〜v0.34.2(76/77タグ)、setup-trivy v0.2.0〜v0.2.6
3月19日 に 発生 した Aqua Security Trivy の サプライチェーン 攻撃 について、CVE が 正式 に 付与 されました。攻撃者 は 侵害 された 認証情報 を 使用 し、悪意 の ある Trivy v0.69.4 を リリース、aquasecurity/trivy-action の 76タグ と aquasecurity/setup-trivy の 全 7タグ を クレデンシャル 窃取 マルウェア に 差し替えました。2月末 の LiteLLM PyPI 攻撃 から の 継続 と されて います。
対応: GitHub Actions で タグ 参照 している 場合 は ワークフロー ログ を 確認 し、フル コミット SHA で の ピン 留め に 切り替え を 推奨 します。影響 を 受けた パイプライン の シークレット は すべて ローテーション が 必要 です。安全 な バージョン は Trivy 0.69.2/0.69.3、trivy-action 0.35.0、setup-trivy 0.2.6(再作成後)です。
- 参考: GHSA-69fq-xp46-6x23 / NVD
n8n ワークフロー 自動化 プラットフォーム — 3件 の 脆弱性
n8n に Critical 1件、High 2件 の 脆弱性 が 報告 されました。いずれ も 認証 済み ユーザー に よる 攻撃 です が、共有 環境 では 影響 が 大きい です。バージョン 2.14.1 / 2.13.3 / 1.123.27 で すべて 修正 されて います。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-33749 | バイナリ データ の HTML インライン 表示 に よる XSS → セッション 乗っ取り | 9.0 |
| CVE-2026-33696 | XML / GSuiteAdmin ノード の プロトタイプ 汚染 → RCE | 8.8 |
| CVE-2026-33713 | Data Table Get ノード の SQL インジェクション | 8.8 |
ワークフロー の 作成・編集 権限 を 持つ ユーザー が 攻撃 可能 な ため、信頼 できる ユーザー のみ に 権限 を 限定 する か、速やか に アップデート を 推奨 します。
NGINX バッファ オーバーフロー — 2件
NGINX Open Source および NGINX Plus に 2件 の バッファ オーバーフロー が 報告 されました。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-27654 | ngx_http_dav_module の MOVE/COPY メソッド で バッファ オーバーフロー | 8.2 |
| CVE-2026-32647 | ngx_http_mp4_module で 細工 された MP4 に よる バッファ 読み書き | 7.8 |
DAV モジュール の 脆弱性 は prefix location と alias ディレクティブ を 併用 する 構成 で 影響 を 受けます。MP4 モジュール は 特殊 な MP4 ファイル の 処理 で ワーカー プロセス の 異常 終了 や コード 実行 の 可能性 が あります。該当 モジュール を 有効 に して いる 場合 は F5 の アドバイザリ を 確認 してください。
- 参考: K000160382 / K000160366
CVE-2026-33413 — etcd 認証 バイパス
- CVSS スコア: 8.8(High)
- CWE: CWE-862(認可 の 欠如)
- 影響: etcd 3.4.42 / 3.5.28 / 3.6.9 より 前
- 修正: 3.4.42、3.5.28、3.6.9
etcd の 組み込み 認証 が 有効 な 環境 で、未認証 ユーザー が MemberList、Alarm、Lease、Compaction API を 呼び出せる 認証 バイパス です。Kubernetes は etcd の 組み込み 認証 に 依存 しない ため、一般的 な Kubernetes 環境 には 影響 しません。etcd を 直接 公開 している 環境 では 修正 バージョン へ の 更新 または mTLS に よる アクセス 制限 を 推奨 します。
- 参考: GHSA-q8m4-xhhv-38mg / NVD
CVE-2026-33396 — OneUptime Synthetic Monitor サンドボックス バイパス RCE
- CVSS スコア: 9.9(Critical)
- CWE: CWE-78(OS コマンド インジェクション)、CWE-184(拒否 リスト の 不備)
- 影響: OneUptime 10.0.35 より 前
- 修正: 10.0.35
監視 プラットフォーム OneUptime の Synthetic Monitor で、Playwright スクリプト の サンドボックス が 不完全 な ため、低 権限 ユーザー が Probe コンテナ 上 で 任意 コマンド を 実行 できます。page.context().browser()._browserType.launchServer() の 経路 が ブロック されて いなかった こと が 原因 です。
- 参考: GHSA-cqpg-phpp-9jjg / NVD
CVE-2026-33942 — Saloon PHP ライブラリ デシリアライゼーション RCE
- CVSS スコア: 9.8(Critical)
- CWE: CWE-502(信頼 できない データ の デシリアライゼーション)
- 影響: Saloon v4.0.0 より 前
- 修正: Saloon v4.0.0
PHP の API 統合 ライブラリ Saloon の AccessTokenAuthenticator::unserialize() が allowed_classes => true で unserialize() を 使用 して おり、キャッシュ された トークン を 操作 できる 攻撃者 が オブジェクト インジェクション 経由 で RCE を 達成 できます。v4.0.0 で PHP シリアライゼーション が 削除 されました。
- 参考: GHSA-rf88-776r-rcq9 / NVD
Vikunja Desktop Electron — 3件 の 脆弱性
タスク 管理 ツール Vikunja の Electron デスクトップ アプリ に 3件 の 脆弱性 が 報告 されました。いずれ も nodeIntegration: true の 設定 が 根本 原因 で、Version 2.2.0 で 修正 されて います。
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-33334 | XSS 不要 で Electron renderer の Node.js API に アクセス → RCE | 9.6 |
| CVE-2026-33336 | will-navigate 未 登録 に よる 同一 ウィンドウ ナビゲーション → RCE | 8.8 |
| CVE-2026-33335 | shell.openExternal に よる 任意 URI スキーム 起動 | 8.0 |
Trane Tracer SC ICS 脆弱性(3件)
産業 制御 システム Trane Tracer SC / SC+ / Concierge に 暗号 アルゴリズム の 問題 と ハードコード 認証情報 の 脆弱性 が 3件 報告 されました。いずれ も CVSS 9.8 で、認証 バイパス や アカウント 乗っ取り が 可能 です。
| CVE ID | 概要 | CWE |
|---|---|---|
| CVE-2026-28252 | 脆弱 な 暗号 アルゴリズム に よる 認証 バイパス | CWE-327 |
| CVE-2026-28255 | ハードコード された 認証情報 | CWE-798 |
| CVE-2026-28256 | ハードコード された セキュリティ 定数 | CWE-547 |
CVE-2026-32948 — sbt コマンド インジェクション(Windows)
- CVSS スコア: 7.8(High)
- CWE: CWE-78(OS コマンド インジェクション)
- 影響: sbt 0.9.5 〜 1.12.6
- 修正: sbt 1.12.7
Scala の ビルド ツール sbt が Windows 上 で cmd /c 経由 で VCS コマンド を 実行 する 際、URI フラグメント(ブランチ / タグ / リビジョン)が サニタイズ されず に シェル に 渡される ため、& | ; に よる コマンド インジェクション が 可能 です。Windows で sbt を 使用 して いる 場合 は 1.12.7 へ の 更新 を 推奨 します。
- 参考: GHSA-x4ff-q6h8-v7gw / NVD
CVE-2025-53521 — F5 BIG-IP APM リモート コード 実行
- CVSS スコア: 9.8(Critical)
- CWE: CWE-770(リソース 割り当て の 制限 不備)
- 影響: BIG-IP APM アクセス ポリシー 設定 済み の 環境
F5 BIG-IP APM の アクセス ポリシー が 設定 された 仮想 サーバー に 対し、特定 の 悪意 ある トラフィック で RCE が 可能 な 脆弱性 です。2025年 の CVE です が、本日 NVD で 更新 されました。BIG-IP APM を 利用 して いる 場合 は F5 の アドバイザリ を 確認 してください。
- 参考: K000156741 / NVD
WordPress プラグイン / テーマ の 脆弱性(多数)
WordPress エコシステム では Critical(CVSS 9.8〜9.9)の 脆弱性 が 多数 報告 されて います。主 に ファイル アップロード と 権限 昇格 の 問題 です。
| CVE ID | プラグイン / テーマ | 概要 | CVSS |
|---|---|---|---|
| CVE-2026-25345 | SimpLy Gallery | ACL バイパス | 9.9 |
| CVE-2026-25413 | WPBookit Pro | 任意 ファイル アップロード | 9.9 |
| CVE-2026-32482 | Ona テーマ | Web シェル アップロード | 9.9 |
| CVE-2026-24968 | Xagio SEO | 権限 昇格 | 9.8 |
| CVE-2026-24971 | Search & Go テーマ | 権限 昇格 | 9.8 |
| CVE-2026-27051 | Golo テーマ | 権限 昇格 | 9.8 |
WordPress サイト を 運用 して いる 場合 は、使用 プラグイン の アップデート 確認 を 推奨 します。
エコシステム 別 サマリー
npm
OSV および GHSA から npm エコシステム に 関する 脆弱性 が 報告 されました。
- Next.js (CVE-2026-27977) — 開発 モード(
next dev)の HMR WebSocket でOrigin: nullが CSRF チェック を バイパス する 問題。allowedDevOrigins設定 時 に サンドボックス 化 された ドキュメント から dev サーバー の 内部 機能 に アクセス できます。16.1.7 で 修正 済み。影響 は 開発 環境 のみ。 - path-to-regexp (CVE-2026-4867) — 複数 の ルート パラメータ に よる ReDoS 脆弱性。Express.js 等 の ルーティング で 広く 使用 される パッケージ です。0.1.13 で 修正 済み。
- pdf-image (CVE-2026-26830) —
pdfFilePathパラメータ 経由 の OS コマンド インジェクション。child_process.exec()に ユーザー 入力 が そのまま 渡される 問題。バージョン 2.0.0 以下 が 影響。
Hex (Elixir)
- elixir-nodejs (CVE-2026-33872) — Worker Protocol の レース コンディション に よるクロス ユーザー データ 漏洩。3.1.4 で 修正 済み。
Maven
- Keycloak (CVE-2026-4874) — OIDC トークン エンドポイント 操作 に よる SSRF。深刻度 は Low です。
JVN 日本語 情報
MyJVN から 5件(High 3件、Medium 2件)が 報告 されました。
JVNDB-2026-000046 — バッファロー 製 Wi-Fi ルータ の 複数 脆弱性
- CVSS スコア: 8.8(High)
- CVE: CVE-2026-33366 ほか 5件
- 影響: バッファロー 複数 Wi-Fi ルータ 製品
OS コマンド インジェクション、コード インジェクション、認証 バイパス など 6件 の 脆弱性 が 報告 されて います。mini_httpd の 古い 脆弱性(CVE-2015-1548)に 起因 する 問題 も 含まれます。ファームウェア の アップデート を 確認 してください。
- 参考: JVN
JVNDB-2026-000047 — baserCMS の 複数 脆弱性
- CVSS スコア: 8.1(High)
- CVE: CVE-2026-32734 ほか 3件
- 影響: baserCMS
クロスサイト スクリプティング 2件、OS コマンド インジェクション 1件、SQL インジェクション 1件 の 計 4件。baserCMS を 利用 して いる 場合 は アップデート を 推奨 します。
- 参考: JVN
JVNDB-2026-000044 — RATOC RAID監視マネージャー インストーラー の 脆弱性
- CVSS スコア: 7.8(High)
- CVE: CVE-2026-32680 / CVE-2026-28760
- 影響: RATOC RAID監視マネージャー(Windows用)インストーラー
ファイル 検索 パス の 制御 不備(DLL ハイジャック)と インストール 時 の 不適切 な アクセス 権 設定 の 2件。最新 版 の インストーラー を 使用 してください。
- 参考: JVN
まとめ
本日 は Critical 35件 を 含む 423件 の 脆弱性 情報 を 確認 しました。最 注目 は Trivy サプライチェーン 攻撃(CVE-2026-33634)の 詳細 公開 です。GitHub Actions で aquasecurity/trivy-action を タグ 参照 して いる 環境 は、3月19〜20日 の ワークフロー ログ を 確認 し、シークレット の ローテーション を 検討 してください。SHA ピン 留め へ の 移行 が 推奨 されます。
n8n に は XSS・プロトタイプ 汚染・SQLi の 3件 が 報告 されて おり、共有 インスタンス を 運用 して いる 場合 は 速やか な アップデート を 推奨 します。NGINX の DAV / MP4 モジュール に バッファ オーバーフロー、etcd に 認証 バイパス と、インフラ 寄り の コンポーネント に も 注意 が 必要 な 1日 でした。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。