本日は NVD で 200件 の CVE が 公開・更新 されました。Critical 14件、High 65件 で、AI / LLM フレームワーク の SGLang に pickle デシリアライゼーション 経由 の RCE が 2件(CVSS 9.8)、Pi-hole 管理画面 に OS コマンドインジェクション(CVSS 9.8)、Mbed TLS に 3件 の 脆弱性 が 報告 されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 200件 |
| Critical (9.0+) | 14件 |
| High (7.0-8.9) | 65件 |
| Medium (4.0-6.9) | 83件 |
| Low (0-3.9) | 38件 |
| OSV (npm) | 5件 |
Critical / High 脆弱性の詳細
SGLang LLM フレームワーク — Critical 2件 + High 1件
AI / LLM 推論フレームワーク SGLang に pickle デシリアライゼーション 経由 の リモートコード実行 が 3件 報告 されています。いずれも 認証 なし で 攻撃 可能 です。
| CVE ID | CVSS | 脆弱性の種類 |
|---|---|---|
| CVE-2026-3059 | 9.8 | マルチモーダル生成モジュール の ZMQ ブローカー 経由 RCE |
| CVE-2026-3060 | 9.8 | エンコーダー 並列分離 モジュール 経由 RCE |
| CVE-2026-3989 | 7.8 | replay_request_dump.py の pickle.load() |
CVE-2026-3059 と CVE-2026-3060 は いずれも pickle.loads() を 認証 なし で 使用 している ため、ネットワーク 経由 で 任意 コード 実行 が 可能 です。v0.5.10 で 修正済み です。SGLang を 本番環境 で 利用 している 場合 は 早急 な アップデート を 推奨 します。
CVE-2026-33765 — Pi-hole Admin Interface OS コマンドインジェクション(CVSS 9.8)
Pi-hole 管理画面 の savesettings.php で $_POST['webtheme'] パラメータ が サニタイズ されず に exec() に 渡され、sudo 権限 で 実行 されます。root 権限 での 任意 コマンド 実行 が 可能 です。
- CWE: CWE-78(OS コマンドインジェクション)
- 修正: v6.0 以降
- 参照: GHSA-828h-5x96-rqx7
Mbed TLS — Critical 2件 + High 1件
TLS 実装ライブラリ Mbed TLS に 3件 の 脆弱性 が 報告 されています。暗号 基盤 の 脆弱性 として 影響範囲 が 広い ため、組み込み / IoT 環境 では 早め の 確認 を 推奨 します。
| CVE ID | CVSS | 影響バージョン | 概要 |
|---|---|---|---|
| CVE-2026-34877 | 9.8 | 2.19.0〜4.0.0 | シリアライズ SSL コンテキスト の 不十分 な 保護 |
| CVE-2026-34873 | 9.1 | 3.5.0〜4.0.0 | TLS 1.3 セッション再開 時 の クライアント偽装 |
| CVE-2026-34876 | 7.5 | 3.x | mbedtls_ccm_finish() の 範囲外読み取り |
CVE-2026-34877 は シリアライズ された SSL コンテキスト 構造体 を 改変 する こと で メモリ破壊 が 発生 し、任意 コード 実行 が 可能 です。CVE-2026-34873 は TLS 1.3 の セッション 再開 時 に クライアント 偽装 が 可能 な 問題 です。
- 修正: Mbed TLS Security Advisories を 確認 してください
CVE-2026-1615 — jsonpath npm パッケージ 任意コード実行(CVSS 9.8)
npm パッケージ jsonpath の 1.3.0 より 前 の バージョン で、ユーザー 入力 の JSONPath 式 が static-eval モジュール を 介して 安全 でなく 評価 されます。Node.js 環境 での RCE、ブラウザ 環境 での XSS に つながります。.query、.nodes、.paths、.value、.parent、.apply の 全メソッド が 影響 を 受けます。
- CWE: CWE-94(コードインジェクション)
- 修正: v1.3.0 以降
- 参照: Snyk Advisory
CVE-2026-33579 — OpenClaw 権限昇格(CVSS 9.9)
OpenClaw 2026.3.28 より 前 の バージョン で、/pair approve コマンドパス が 呼び出し元 の スコープ を 検証 しない ため、ペアリング 権限 のみ の ユーザー が admin スコープ を 含む デバイスリクエスト を 承認 可能 です。
- CWE: CWE-863(認可不備)
- 修正: 2026.3.28 以降
- 参照: GHSA-hc5h-pmr3-3497
Endian Firewall — OS コマンドインジェクション 7件(CVSS 8.8)
Endian Firewall の 複数 の CGI エンドポイント で DATE パラメータ を 介した OS コマンドインジェクション が 7件 報告 されています。すべて 同じ パターン の 脆弱性 です。
| CVE ID | 対象エンドポイント |
|---|---|
| CVE-2026-34791 | logs_proxy.cgi |
| CVE-2026-34792 | logs_clamav.cgi |
| CVE-2026-34793 | logs_firewall.cgi |
| CVE-2026-34794 | logs_ids.cgi |
| CVE-2026-34795 | logs_log.cgi |
| CVE-2026-34796 | logs_openvpn.cgi |
| CVE-2026-34797 | logs_smtp.cgi |
その他 の Critical 脆弱性
| CVE ID | CVSS | ソフトウェア | 概要 |
|---|---|---|---|
| CVE-2026-22207 | 9.8 | OpenViking | root_api_key 未設定 時 の 認証バイパス |
| CVE-2026-1579 | 9.8 | MAVLink/PX4 | 署名 未有効 時 の 無認証 シェルアクセス(CISA ICS アドバイザリ) |
| CVE-2026-31027 | 9.8 | TOTOlink A3600R | rootSsid パラメータ の バッファオーバーフロー |
| CVE-2026-30285 | 9.8 | Zora | ファイルインポート に よる 任意 ファイル 上書き |
| CVE-2026-25371 | 9.3 | Lumise (WP) | ブラインド SQL インジェクション |
| CVE-2025-54236 | 9.1 | Adobe Commerce | 入力検証不備(CISA KEV 掲載、前日 から 継続) |
| CVE-2026-25858 | 9.1 | macrozheng mall | OTP 応答漏洩 に よる パスワードリセット |
注目 の High 脆弱性
| CVE ID | CVSS | ソフトウェア | 概要 |
|---|---|---|---|
| CVE-2026-4800 | 8.1 | Lodash | _.template の コードインジェクション |
| CVE-2026-33949 | 8.1 | TinaCMS | パストラバーサル で 任意 ファイル 読み取り |
| CVE-2026-3692 | 8.8 | Progress Flowmon | レポート生成 時 の コマンドインジェクション |
| CVE-2026-33373 | 8.8 | Zimbra (ZCS) | 認証トークン の CSRF 保護欠如 |
| CVE-2026-4101 | 8.1 | IBM Verify | 認証バイパス |
| CVE-2026-4437 | 7.5 | glibc | gethostbyaddr の 範囲外読み取り |
| CVE-2026-4046 | 7.5 | glibc | iconv() の アサーション 失敗 クラッシュ |
エコシステム別サマリー(npm)
OSV データ では npm エコシステム で 5件 の 脆弱性 が 報告 されています。
Svelte SSR — XSS / HTML インジェクション 4件
Svelte の サーバーサイドレンダリング に XSS / HTML インジェクション 関連 の 脆弱性 が 4件 報告 されています。いずれも SSR 時 の み 影響 し、クライアントサイド レンダリング は 影響 を 受けません。
| アドバイザリ | CVE | 概要 | 修正バージョン |
|---|---|---|---|
| GHSA-crpf-4hrx-3jrp | CVE-2026-27125 | スプレッド属性 で プロトタイプチェーン の 継承プロパティ を 列挙 | 5.51.5 |
| GHSA-f7gr-6p89-r883 | CVE-2026-27121 | スプレッド構文 で イベントハンドラ が SSR 出力 に 含まれる XSS | 5.51.5 |
| GHSA-m56q-vw4c-c2cp | CVE-2026-27122 | svelte:element の タグ名 未検証 に よる HTML インジェクション | 5.51.5 |
| GHSA-phwv-c562-gvmh | CVE-2026-27901 | contenteditable bind の エスケープ不備 に よる XSS | 5.53.5 |
Svelte で SSR を 利用 している 場合 は v5.53.5 以降 への アップデート を 推奨 します。
CVE-2025-59472 — Next.js PPR DoS
Next.js の Partial Prerendering (PPR) 有効 時 に、PPR resume エンドポイント が 未認証 の POST リクエスト を 受け付け、メモリ枯渇 に よる サーバー クラッシュ が 可能 です。
- 修正: v16.1.5 / v15.6.0-canary.61 以降
JVN 日本語情報
本日 の MyJVN データ では 該当 する 脆弱性対策情報 は ありませんでした。
まとめ
本日は Critical 14件、High 65件 の CVE が 報告 されています。SGLang(AI / LLM フレームワーク)に pickle デシリアライゼーション 経由 の RCE が 2件(CVSS 9.8)あり、AI インフラ を 運用 している チーム は 早急 な 対応 を 推奨 します。Pi-hole 管理画面 の OS コマンドインジェクション(CVSS 9.8)は root 権限 で の 実行 と なる ため 影響 が 大きく、v6.0 以降 への アップデート を 検討 してください。
Mbed TLS に 3件 の 脆弱性 が 集中 しており、組み込み / IoT デバイス での 影響 に 注意 が 必要 です。npm エコシステム では Svelte の SSR 関連 XSS 4件 と Next.js の PPR DoS が 報告 されています。CWE 別 では XSS(42件)と OS コマンドインジェクション(19件)が 上位 を 占めており、入力 サニタイズ の 徹底 が 引き続き 重要 です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。