本日 は NVD から 200件、GHSA から 4件 の 更新、OSV から 1件 の 計 205件 を 確認 しました。Critical 32件、High 113件。Fortinet FortiClientEMS に 未認証 SQL インジェクション(CVSS 9.8)、Trivy セキュリティスキャナー に サプライチェーン 攻撃(8.8)が 報告 されて います。WordPress 関連 が 119件(全体 の 約 60%)を 占め、npm エコシステム では Handlebars.js に 3件 の 脆弱性 が 集中 して います。
本日の概要
| 指標 | 数値 |
|---|---|
| 分析CVE | 200件 |
| Critical (9.0+) | 32件 |
| High (7.0-8.9) | 113件 |
| Medium (4.0-6.9) | 48件 |
| Low (~3.9) | 2件 |
| 未評価 / None | 5件 |
| GHSA更新 | 4件 |
| OSV監視対象 | 1件 |
| JVN更新 | 0件 |
Critical / High 脆弱性の詳細
CVE-2026-21643 — Fortinet FortiClientEMS 未認証 SQL インジェクション
- CVSS スコア: 9.8(Critical)
- CWE: CWE-89(SQL インジェクション)
- 影響: FortiClientEMS 7.4.4
- 公開日: 2026年2月6日
Fortinet の エンドポイント 管理 ソリューション FortiClientEMS に、認証 なし で HTTP リクエスト 経由 で SQL インジェクション が 可能 な 脆弱性 が 存在 します。リモート から 未認証 の 攻撃者 が 任意 の コード 実行 に 至る 可能性 が あり、エンタープライズ 環境 への 影響 が 極めて 大きい です。FortiClientEMS を 運用 して いる 場合 は 最優先 で パッチ 適用 を 推奨 します。
- 参考: FortiGuard Advisory / NVD
CVE-2026-33634 — Trivy セキュリティスキャナー サプライチェーン攻撃
- CVSS スコア: 8.8(High)
- CWE: CWE-506(悪意 ある コード の 埋め込み)
- 影響: Trivy v0.69.4(侵害 リリース)
- 公開日: 2026年3月23日
セキュリティ スキャナー Trivy に おいて、攻撃者 が 侵害 された 認証 情報 を 使用 して 悪意 ある バージョン v0.69.4 を リリース した サプライチェーン 攻撃 が 発生 しました。セキュリティ ツール 自体 が 攻撃 ベクトル と なる 深刻 な 事案 です。Trivy v0.69.4 を 利用 して いる 場合 は 直ちに 削除 し、公式 の 修正 バージョン に 移行 して ください。
- 参考: Security Update / NVD
CVE-2026-21902 — Juniper Junos OS Evolved root 権限 実行
- CVSS スコア: 9.8(Critical)
- CWE: CWE-732(不適切 な 権限 設定)
- 影響: Junos OS Evolved(PTX シリーズ)
- 公開日: 2026年2月25日
Juniper の Junos OS Evolved PTX プラットフォーム に おいて、不適切 な 権限 設定 に より 未認証 の 攻撃者 が root 権限 で コマンド を 実行 できる 脆弱性 が 存在 します。ネットワーク 基盤 を 支える 機器 の ため、影響 範囲 の 確認 と 早急 な アップデート を 推奨 します。
- 参考: Juniper KB / NVD
NGINX — メモリ 破壊 と ワーカー クラッシュ(2件)
| CVE ID | 概要 | CVSS |
|---|---|---|
| CVE-2026-27784 | 32bit 環境 の mp4_module で 整数 オーバーフロー に よる メモリ 破壊 | 7.8 |
| CVE-2026-27651 | mail_auth_http_module の NULL ポインタ 参照 で ワーカー プロセス クラッシュ | 7.5 |
NGINX Open Source および NGINX Plus に 2件 の 脆弱性 が 報告 されて います。mp4_module の メモリ 破壊 は 32bit 環境 に 限定 されます が、mail_auth_http_module の クラッシュ は メール プロキシ 構成 で 影響 を 受ける 可能性 が あります。
- 参考: F5 K000160364 / F5 K000160383
CVE-2025-48611 — Android Pixel 権限昇格(CVSS 10.0)
- CVSS スコア: 10.0(Critical)
- CWE: CWE-120(バッファ オーバーフロー)
- 影響: Android Pixel 2026年3月 セキュリティ パッチ レベル 以前
- 公開日: 2026年3月10日
Android Pixel の DeviceId.java に おける 境界 チェック 欠如 に より、追加 の 実行 権限 なし で ローカル 権限 昇格 が 可能 です。ユーザー 操作 も 不要 で、CVSS 10.0 の 最高 スコア が 付与 されて います。Pixel ユーザー は 2026年3月 の セキュリティ パッチ を 適用 して ください。
- 参考: Android Security Bulletin / NVD
CVE-2026-21513 — Microsoft MSHTML Framework 保護 メカニズム 失敗
- CVSS スコア: 8.8(High)
- CWE: CWE-693(保護 メカニズム の 失敗)
- 影響: Microsoft MSHTML Framework
- 公開日: 2026年2月10日
Microsoft MSHTML Framework に おいて 保護 メカニズム の 失敗 に より、攻撃者 が セキュリティ 制約 を 回避 できる 脆弱性 です。MSHTML は Internet Explorer の レンダリング エンジン です が、多く の Windows アプリケーション が 内部 で 使用 して いる ため、影響 範囲 は 広い です。
セキュリティ ライブラリ / ツール の 脆弱性
| CVE ID | 対象 | 概要 | CVSS |
|---|---|---|---|
| CVE-2026-33306 | bcrypt-ruby(JRuby) | 整数 オーバーフロー で ハッシュ イテレーション が 0回 に | 7.5 |
| CVE-2026-32829 | lz4_flex(Rust) | 未初期化 メモリ の 漏洩 | 7.5 |
| CVE-2026-0603 | Hibernate | 二次 SQL インジェクション | 8.3 |
bcrypt-ruby の JRuby 実装 で 整数 オーバーフロー に より ハッシュ イテレーション が 0回 に なる 脆弱性 は、パスワード の 安全性 に 直結 します。JRuby 環境 で bcrypt を 利用 して いる 場合 は 早急 に 確認 して ください。lz4_flex は Rust の 圧縮 ライブラリ で、未初期化 メモリ が 出力 に 混入 する 問題 です。
WordPress 脆弱性 — 119件(全体の約60%)
本日 の NVD データ の 約 60% が WordPress プラグイン / テーマ の 脆弱性 です。すべて Patchstack 経由 で 報告 されて います。
Critical WordPress 脆弱性(上位)
| CVE ID | 対象 | 概要 | CVSS |
|---|---|---|---|
| CVE-2026-25345 | SimpLy Gallery 3.3.2以下 | 任意 コード 実行 | 9.9 |
| CVE-2026-25366 | Woody ad snippets 2.7.1以下 | コード インジェクション(RCE) | 9.9 |
| CVE-2026-24968 | Xagio SEO 7.1.0.30以下 | 権限 昇格 | 9.8 |
| CVE-2026-24971 | Search & Go テーマ 2.8以下 | 権限 昇格 | 9.8 |
| CVE-2026-25035 | Contest Gallery 28.1.2.2以下 | アカウント 乗っ取り | 9.8 |
CWE 別 の 傾向
| 脆弱性 タイプ | 件数 |
|---|---|
| XSS(CWE-79) | 56件 |
| 認可 欠如(CWE-862) | 23件 |
| デシリアライゼーション(CWE-502) | 21件 |
| PHP ファイル インクルージョン(CWE-98) | 19件 |
| SQL インジェクション(CWE-89) | 18件 |
WordPress を 運用 して いる 場合 は、利用中 の プラグイン / テーマ の 更新 状況 を 確認 して ください。特に PHP オブジェクト インジェクション(CWE-502)と ローカル ファイル インクルージョン(CWE-98)が 多数 報告 されて おり、テーマ 開発者 の AncoraThemes、NooTheme、Elated-Themes、skygroup 製品 に 集中 して います。
エコシステム別サマリー
npm
GHSA から npm エコシステム の 脆弱性 が 4件、OSV から 1件 報告 されました。
-
Handlebars.js(3件) — テンプレート エンジン Handlebars.js に 3件 の 脆弱性 が 同時 公開。
- CVE-2026-33939 — 不正 な デコレータ 構文 に よる DoS
- CVE-2026-33940 — AST 型 混同 に よる JavaScript インジェクション
- CVE-2026-33941 — CLI プリコンパイラー の 未 サニタイズ 名前 に よる JS インジェクション
- 修正 バージョン: すべて v4.7.9 で 修正。handlebars を 利用 して いる 場合 は アップデート を 推奨 します。
-
Happy DOM (CVE-2026-33943) — ECMAScriptModuleCompiler で 未 サニタイズ の export 名 が 実行 可能 コード として 補間 される 問題。v20.8.8 で 修正。テスト 環境 で happy-dom を 使用 して いる 場合 は 確認 して ください。
-
Astro (CVE-2026-33769) — remotePatterns の パス 検証 で ワイルドカード マッチング が アンカー されて おらず、許可 リスト を バイパス できる 問題。v5.18.1 で 修正。
JVN 日本語情報
本日 の MyJVN データ に 該当 する 脆弱性 対策 情報 は ありません でした。
まとめ
本日 は Critical 32件 を 含む 200件 の 脆弱性 情報 を 確認 しました。最 注目 は Fortinet FortiClientEMS の 未認証 SQL インジェクション(CVSS 9.8)で、エンタープライズ 環境 で FortiClient を 管理 して いる 組織 は 即時 対応 が 必要 です。
Trivy セキュリティ スキャナー の サプライチェーン 攻撃(CVE-2026-33634)は、セキュリティ ツール 自体 が 攻撃 対象 と なる 事例 として 注意 が 必要 です。v0.69.4 は 利用 しない よう に して ください。npm エコシステム では Handlebars.js に 3件 の 脆弱性 が 集中 しており、v4.7.9 へ の アップデート を 推奨 します。WordPress 関連 が 119件 と 全体 の 60% を 占め、プラグイン / テーマ の 棚卸し の 良い 契機 です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。