本日は NVD で 73件 の CVE が 公開・更新 されました。Critical 1件、High 24件 を 含みます。Adobe Commerce の CVE-2025-54236(CVSS 9.1)は 引き続き CISA KEV に 掲載 されており 要警戒 です。ネットワーク機器(Tenda / UTT HiPER)に バッファオーバーフロー が 複数件、npm エコシステム では Svelte SSR に XSS 脆弱性 が 4件 報告 されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 73件 |
| Critical (9.0+) | 1件 |
| High (7.0-8.9) | 24件 |
| Medium (4.0-6.9) | 46件 |
| Low (0-3.9) | 1件 |
| OSV (npm) | 5件 |
Critical / High 脆弱性の詳細
CVE-2025-54236 — Adobe Commerce 入力検証不備(CVSS 9.1・CISA KEV 掲載)
Adobe Commerce の 複数バージョン に 入力検証の不備 が あり、セッションハイジャック が 可能 です。CISA Known Exploited Vulnerabilities カタログ に 掲載済み で、実際 の 攻撃 に 悪用 されている 可能性 が 高い 状態 です。前日 から 引き続き 警戒 が 必要 です。
- CVSS: 9.1 (Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 以前
- 参照: APSB25-88 | NVD
ネットワーク機器 — Tenda / UTT HiPER に バッファオーバーフロー 5件(CVSS 8.8)
ネットワーク機器 に 複数 の バッファオーバーフロー 脆弱性 が 公開 されました。いずれも リモート から の 攻撃 が 可能 で、エクスプロイト が 公開 されています。
| CVE ID | CVSS | 対象機器 | 脆弱性の種類 |
|---|---|---|---|
| CVE-2026-5544 | 8.8 | UTT HiPER 1250GW | スタックバッファオーバーフロー |
| CVE-2026-5548 | 8.8 | Tenda AC10 | スタックバッファオーバーフロー |
| CVE-2026-5550 | 8.8 | Tenda AC10 | スタックバッファオーバーフロー |
| CVE-2026-5566 | 8.8 | UTT HiPER 1250GW | バッファオーバーフロー |
| CVE-2026-5567 | 8.8 | Tenda M3 | バッファオーバーフロー |
これらの機器 を 利用 している 場合 は、ファームウェアの更新 または ネットワーク分離 の 対策 を 推奨 します。
CVE-2026-5562 — kafka-ui コードインジェクション(CVSS 7.3)
Kafka 管理UI の kafka-ui 0.7.2 以前 に コードインジェクション 脆弱性 が 存在 します。/api/smartfilters/testexecutions エンドポイント の validateAccess 関数 が 影響 を 受けます。ベンダー は 連絡 に 応答 していません。
- CWE: CWE-94(コードインジェクション)
- 参照: NVD
CVE-2026-5584 — agenticSeek コードインジェクション(CVSS 7.3)
AI エージェントツール agenticSeek 0.1.0 の PyInterpreter.execute 関数 に コードインジェクション 脆弱性 が あります。query エンドポイント 経由 で リモート から の 悪用 が 可能 です。
- CWE: CWE-94(コードインジェクション)
- 参照: NVD
CVE-2026-5536 — FedML デシリアライゼーション脆弱性(CVSS 7.3)
ML フレームワーク FedML 0.8.9 以前 の gRPC サーバー に 安全でない デシリアライゼーション 脆弱性 が 存在 します。リモート から の 悪用 が 可能 です。
- CWE: CWE-502(信頼されないデータのデシリアライゼーション)
- 参照: NVD
Technostrobe HI-LED-WR120-G2 — IoT デバイス に 5件
産業用 LED コントローラー Technostrobe HI-LED-WR120-G2 5.5.0.1 に 認証バイパス、ファイルアップロード、情報漏洩 など 5件 の 脆弱性 が 報告 されています。ベンダー は 連絡 に 応答 していません。
| CVE ID | CVSS | 脆弱性の種類 |
|---|---|---|
| CVE-2026-5569 | 7.3 | 不適切なアクセス制御 |
| CVE-2026-5570 | 7.3 | 認証バイパス |
| CVE-2026-5573 | 7.3 | 無制限ファイルアップロード |
| CVE-2026-5574 | 6.5 | 認可の欠如(ファイル削除) |
| CVE-2026-5571 | 5.3 | 情報漏洩 |
その他の High 脆弱性
| CVE ID | CVSS | ソフトウェア | 概要 |
|---|---|---|---|
| CVE-2018-25241 | 7.5 | VPN Browser+ 1.1.0.0 | DoS(検索機能 の バッファオーバーフロー) |
| CVE-2018-25245 | 7.5 | 7 Tik 1.0.1.0 | DoS(検索機能 の バッファオーバーフロー) |
| CVE-2018-25246 | 7.5 | Wikipedia 12.0 (MS Store) | DoS(検索機能 の バッファオーバーフロー) |
| CVE-2026-5526 | 7.3 | Tenda 4G03 Pro | 不適切なアクセス制御 |
| CVE-2026-5534 | 7.3 | Online Enrollment System | SQLインジェクション |
| CVE-2026-5540 | 7.3 | Simple Laundry System | SQLインジェクション |
| CVE-2026-5551 | 7.3 | Hotel Reservation System | SQLインジェクション |
| CVE-2026-5554 | 7.3 | Concert Ticket Reservation | SQLインジェクション |
| CVE-2026-5555 | 7.3 | Concert Ticket Reservation | SQLインジェクション |
| CVE-2026-5564 | 7.3 | Simple Laundry System | SQLインジェクション |
| CVE-2026-5565 | 7.3 | Simple Laundry System | SQLインジェクション |
| CVE-2026-5575 | 7.3 | Record Management System | SQLインジェクション |
| CVE-2026-5577 | 7.3 | cross_browser | SQLインジェクション |
エコシステム別サマリー(npm)
OSV データ では npm エコシステム で 5件 の 脆弱性 が 報告 されています。
Svelte SSR — 4件 の XSS / HTML インジェクション
Svelte の サーバーサイドレンダリング(SSR)に 4件 の 脆弱性 が 確認 されています。いずれも クライアントサイド レンダリング は 影響 を 受けません。
| アドバイザリ | CVE ID | 概要 | 修正バージョン |
|---|---|---|---|
| GHSA-f7gr-6p89-r883 | CVE-2026-27121 | スプレッド属性経由 の XSS | 5.51.5 |
| GHSA-m56q-vw4c-c2cp | CVE-2026-27122 | svelte:element タグ名 未検証 | 5.51.5 |
| GHSA-crpf-4hrx-3jrp | CVE-2026-27125 | プロトタイプチェーン 経由 の 属性汚染 | 5.51.5 |
| GHSA-phwv-c562-gvmh | CVE-2026-27901 | contenteditable バインディング の XSS | 5.53.5 |
Svelte を SSR で 利用 している 場合 は 5.53.5 以降 へ の アップデート を 推奨 します。
CVE-2025-59472 — Next.js PPR メモリ枯渇 DoS
Next.js の Partial Prerendering(PPR)が 有効 な 環境 で、Next-Resume: 1 ヘッダー 付き の POST リクエスト により メモリ枯渇 を 引き起こす DoS 脆弱性 が 存在 します。minimal モード で の 実行 時 に 影響 を 受けます。v16.1.5 で 修正済み です。
JVN 日本語情報
本日 の MyJVN データ では 該当 する 脆弱性対策情報 は ありませんでした。
まとめ
本日は Critical 1件、High 24件 の 構成 です。Adobe Commerce(CVE-2025-54236)は 前日 に 引き続き CISA KEV 掲載 で 要警戒 です。ネットワーク機器(Tenda / UTT HiPER)に CVSS 8.8 の バッファオーバーフロー が 5件 集中 しており、該当機器 の 利用者 は 早め の 対応 を 検討 してください。
npm エコシステム では Svelte SSR に XSS 脆弱性 4件、Next.js PPR に DoS 脆弱性 が 報告 されています。フロントエンド フレームワーク を SSR 構成 で 利用 している チーム は 影響範囲 の 確認 を 推奨 します。また kafka-ui や agenticSeek など 開発者ツール・AI ツール の コードインジェクション にも 注意 が 必要 です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。