つみかさね

【セキュリティ日報】CVSS 10.0のApple悪用確認済みCVE含むCritical 38件ほか200件

2026-04-04データソース: NVD, OSV, GHSA, JVN
Critical
38
High
101
Medium
52
Low
9

対応判断サマリー

high対応必須
Apple iOS/macOS Use After Free(悪用確認済み)
CVE-2025-24085
iOS 18.3 / macOS Sequoia 15.3 以降へアップデート
high対応必須
Apple WebKit 境界外書き込み(悪用確認済み)
CVE-2025-24201
Safari 18.3.1 / iOS 18.3.2 以降へアップデート
high対応必須
Langflow AIエージェント コード実行
CVE-2026-33873
Langflow v1.9.0 以降へアップデート
high対応必須
Vim ファイルオープン時コード実行
CVE-2026-34714
Vim v9.2.0272 以降へアップデート
high対応必須
Kyverno SSRF
CVE-2026-4789
修正バージョンの確認・適用
high対応必須
MikroORM SQLインジェクション
CVE-2026-34220
v6.6.10 / v7.0.6 以降へアップデート
high対応必須
pdf-image npm コマンドインジェクション
CVE-2026-26830
代替パッケージへの移行を検討
high推奨
Traefik 認証バイパス
CVE-2026-33433
v2.11.42 / v3.6.11 以降へアップデート
CVENVD脆弱性AppleLangflowVimKyvernonpm

本日は NVD から 200件 の CVE 更新 を 確認 しました。Critical(9.0+)が 38件、High(7.0-8.9)が 101件 と 深刻度 の 高い CVE が 多い 日 です。特に Apple 製品 の 悪用 確認 済み CVE が 5件(CVSS 10.0 が 3件)あり、iOS / macOS の 古い バージョン を 利用 して いる 場合 は 早急 な 確認 が 必要 です。また AI ツール・開発者 ツール の 脆弱性 が 目立ち、Langflow(9.9)、Vim(9.2)、Kyverno(9.8)、Ridvay Code(9.8)など 開発 環境 に 直結 する CVE が 報告 されて います。

本日の概要

指標数値
分析CVE200件
Critical (9.0+)38件
High (7.0-8.9)101件
Medium (4.0-6.9)52件
Low (~3.9)9件
OSV更新1件(Next.js)
GHSA更新0件
JVN更新0件

Critical / High 脆弱性の詳細

悪用が確認されているCVE(5件)

以下 の 5件 は Apple が 「悪用 の 報告 を 認識 して いる」と 公表 した CVE です。いずれ も 標的型 攻撃 で の 悪用 が 確認 されて おり、古い バージョン の iOS / macOS を 使い続けて いる 環境 では 早急 に パッチ 適用 を 推奨 します。

CVE ID脆弱性種別CVSS影響
CVE-2025-24085Use After Free10.0権限昇格
CVE-2025-24201境界外書き込み10.0サンドボックス脱出
CVE-2025-43300境界外書き込み10.0メモリ破壊によるコード実行
CVE-2025-31200メモリ破壊9.8音声ストリーム経由のコード実行
CVE-2025-31201アクセス制御バイパス9.8Pointer Authentication バイパス

CVE-2025-24085 は iOS 18.3 未満 で 悪用 が 確認 された Use After Free 脆弱性 です。iOS 17.2 より 前 の バージョン が 標的 と なって います。CVE-2025-24201 は WebKit の 境界外書き込み で、Safari の Web Content サンドボックス を 突破 される 可能性 が あります。CVE-2025-43300 は 悪意 の ある 画像 ファイル の 処理 で メモリ 破壊 が 起きる 脆弱性 で、iOS 18.6.2 / macOS 15.6.1 で 修正 されて います。

CVE-2026-33873 — Langflow AIエージェント コード実行(CVSS 9.9)

  • CVSS スコア: 9.9(Critical)
  • CWE: CWE-94(コードインジェクション)
  • 影響: Langflow 1.9.0 未満
  • 修正: v1.9.0

Langflow の Agentic Assistant 機能 で、LLM が 生成 した Python コード が バリデーション フェーズ 中 に サーバーサイド で 実行 される 問題 です。攻撃者 が モデル 出力 に 影響 を 与え られる 環境 では 任意 の Python コード が サーバー 上 で 実行 されます。AI エージェント の コード 実行 に 関する 新 しい 攻撃 パターン と して 注目 です。

CVE-2026-34714 — Vim ファイルオープン時コード実行(CVSS 9.2)

  • CVSS スコア: 9.2(Critical)
  • CWE: CWE-78(OSコマンドインジェクション)
  • 影響: Vim 9.2.0272 未満
  • 修正: v9.2.0272

Vim の デフォルト 設定 で、細工 された ファイル を 開く だけ で コード が 実行 される 脆弱性 です。tabpanel%{expr} インジェクション が 原因 です。開発者 の 日常 ツール に 直結 する ため、Vim ユーザー は 早急 な アップデート を 推奨 します。

CVE-2026-4789 — Kyverno SSRF(CVSS 9.8)

  • CVSS スコア: 9.8(Critical)
  • CWE: CWE-918(SSRF)
  • 影響: Kyverno 1.16.0 以降

Kubernetes の ポリシーエンジン Kyverno で CEL HTTP 関数 に 制限 が なく、SSRF が 可能 な 脆弱性 です。Kubernetes クラスタ を 運用 して いる 場合 は 影響 を 確認 して ください。

CVE-2026-34220 — MikroORM SQL インジェクション(CVSS 9.8)

  • CVSS スコア: 9.8(Critical)
  • CWE: CWE-89(SQLインジェクション)
  • 影響: MikroORM 6.6.10 / 7.0.6 未満
  • 修正: v6.6.10 / v7.0.6

Node.js 向け TypeScript ORM の MikroORM で、特別 に 細工 された オブジェクト が 生 の SQL フラグメント として 解釈 され、SQL インジェクション が 可能 な 脆弱性 です。Node.js バックエンド で MikroORM を 使用 して いる 場合 は アップデート を 推奨 します。

CVE-2026-26830 — pdf-image npm パッケージ コマンドインジェクション(CVSS 9.8)

  • CVSS スコア: 9.8(Critical)
  • CWE: CWE-94(コードインジェクション)
  • 影響: pdf-image 2.0.0 以下
  • 修正: 未提供

npm パッケージ pdf-imagepdfFilePath パラメータ を 経由 した OS コマンドインジェクション が 可能 です。child_process.exec() で シェル コマンド に ユーザー 入力 が 直接 展開 されます。利用 して いる 場合 は 代替 パッケージ の 検討 を 推奨 します。

CVE-2025-69874 — nanotar パストラバーサル(CVSS 9.8)

  • CVSS スコア: 9.8(Critical)
  • CWE: CWE-22(パストラバーサル)
  • 影響: nanotar 0.2.0 以下

npm パッケージ nanotar(unjs 製)の parseTar() / parseTarGzip() に パストラバーサル 脆弱性 が あり、細工 された tar アーカイブ で 意図 しない ディレクトリ に ファイル を 書き込め ます。

CVE-2026-33433 — Traefik 認証バイパス(CVSS 8.8)

  • CVSS スコア: 8.8(High)
  • CWE: CWE-290(なりすまし による 認証 バイパス)
  • 影響: Traefik(特定バージョン)
  • 修正: v2.11.42 / v3.6.11

HTTP リバースプロキシ Traefik で 送信元 の なりすまし による 認証 バイパス が 可能 な 脆弱性 です。インフラ で Traefik を 使用 して いる 場合 は 修正 バージョン へ の アップデート を 推奨 します。

AIツール関連の脆弱性

本日 は AI コーディングツール / エージェント に 関連 する CVE が 複数 報告 されて おり、2026年 の 新 しい トレンド として 注目 です。

CVE ID製品CVSS脆弱性種別
CVE-2026-33873Langflow9.9LLM生成コードのサーバー実行
CVE-2026-30311Ridvay Code9.8コマンド自動承認のOSコマンドインジェクション
CVE-2026-30314Ridvay Code9.8同上(別エンドポイント)
CVE-2026-30304AI Code9.6プロンプトインジェクションによるコマンド実行

いずれ も AI が コマンド や コード を 自動 実行 する 機能 の 安全性 に 関わる 問題 です。AI ツール の 自動 実行 機能 を 利用 して いる 場合 は、ホワイトリスト の 設計 や サンドボックス の 適用 を 改めて 確認 して ください。

CWE 分布(Critical + High 139件)

CWE種別件数
CWE-89SQLインジェクション17件
CWE-416Use After Free15件
CWE-78OSコマンドインジェクション13件
CWE-119バッファエラー13件
CWE-787境界外書き込み12件
CWE-121スタックバッファオーバーフロー10件
CWE-22パストラバーサル5件
CWE-94コードインジェクション4件

SQL インジェクション(CWE-89)が 最多 で、MikroORM / SciTokens / Alerta / Fortra Tripwire など 幅広い 製品 で 報告 されて います。メモリ安全性 関連(CWE-416 / 787 / 119)も 引き続き 多く、Linux kernel と Apple 製品 が 大半 を 占めて います。

エコシステム別サマリー

npm

OSV データ では Next.js に 1件 の 脆弱性 が 報告 されて います。

  • CVE-2025-59472(GHSA-5f7q-jpqc-wp7h): Next.js の Partial Prerendering(PPR)有効 時、PPR resume エンドポイント に 対する 認証 なし の POST リクエスト で メモリ 枯渇 による DoS が 可能。修正: v16.1.5 / v15.6.0-canary.61

NVD 側 では npm 関連 として nanotar、pdf-image、MikroORM の Critical 脆弱性 が 目立ち ます。

まとめ

本日 は Critical 38件 と 深刻度 の 高い CVE が 集中 した 日 です。最 も 注意 すべき は Apple 製品 の 悪用 確認 済み CVE 5件(CVSS 10.0 × 3件 + 9.8 × 2件)で、古い iOS / macOS の 利用者 は 早急 に パッチ 状況 を 確認 して ください。

開発者 向け では Vim の ファイルオープン時 コード 実行(9.2)Langflow の AI エージェント コード 実行(9.9) が 特に インパクト が 大きく、前者 は 日常 の 開発 ワークフロー、後者 は AI エージェント の 安全性 に 直結 します。Kubernetes 環境 では Kyverno SSRF(9.8)Traefik 認証 バイパス(8.8) も 要確認 です。

npm エコシステム では MikroORM / nanotar / pdf-image で Critical 脆弱性 が 報告 されて おり、依存 関係 の 監査 を 推奨 します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。