本日は NVD で 200件 の CVE が 更新 され、うち Critical が 22件 と 多い 日 です。JavaScript サンドボックス ライブラリ SandboxJS に CVSS 10.0 の サンドボックス 脱出 脆弱性、Ivanti EPMM に CISA KEV 入り の RCE、ローコード プラットフォーム Budibase に 認証 なし RCE を 含む 3件 が 報告 されています。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 更新CVE | 200件 |
| Critical (9.0+) | 22件 |
| High (7.0-8.9) | 85件 |
| Medium (4.0-6.9) | 72件 |
| Low (0-3.9) | 13件 |
| OSV (npm) | 5件 |
| MyJVN | 3件 |
Critical / High 脆弱性の詳細
CVE-2026-34208 — SandboxJS サンドボックス脱出(CVSS 10.0)
JavaScript サンドボックス ライブラリ SandboxJS に CVSS 10.0 の 最高 スコア が 付与 された サンドボックス 脱出 脆弱性 です。this.constructor.call() を 経由 して ホスト の グローバル オブジェクト に 任意 の プロパティ を 書き込む ことが 可能 で、同一 プロセス 内 の 他 の サンドボックス インスタンス にも 影響 が 持続 します。
- CWE: CWE-693(保護メカニズムの不備)/ CWE-915(動的に決定されたオブジェクト属性の不適切な制御)
- 修正: SandboxJS 0.8.36
- 参照: GHSA-2gg9-6p7w-6cpj
SandboxJS を 利用 して ユーザー 入力 の JavaScript を サンドボックス 実行 している 環境 では、速やか に 0.8.36 へ アップデート してください。
CVE-2026-1340 — Ivanti EPMM 認証なしリモートコード実行(CVSS 9.8)
Ivanti Endpoint Manager Mobile(EPMM)に コードインジェクション による 認証 なし リモートコード実行 の 脆弱性 です。CISA の Known Exploited Vulnerabilities(KEV)カタログ に 追加 されており、実際 の 攻撃 で の 悪用 が 確認 されています。
- CWE: CWE-94(コードインジェクション)
- 参照: Ivanti Security Advisory / CISA KEV
Ivanti EPMM を 利用 している 組織 は 最優先 で パッチ 適用 を 推奨 します。CISA KEV 入り の ため 米国 連邦機関 では 対応 期限 が 設定 されています。
Budibase — 認証なしRCE含む3件(CVSS 9.0〜9.6)
ローコード プラットフォーム Budibase に 3件 の Critical 脆弱性 が 報告 されています。いずれも バージョン 3.33.4 で 修正 済み です。
| CVE ID | CVSS | 脆弱性の種類 | 概要 |
|---|---|---|---|
| CVE-2026-31818 | 9.6 | SSRF(CWE-918) | BLACKLIST_IPS 未設定 で SSRF 保護 が 無効化 |
| CVE-2026-35216 | 9.0 | RCE(CWE-78) | 公開 Webhook 経由 で Bash 自動化 ステップ を 認証 なし 実行 |
| CVE-2026-25044 | 8.8 | コマンドインジェクション(CWE-78) | Bash 自動化 ステップ の 入力 未サニタイズ |
- 修正: Budibase 3.33.4
- 参照: GHSA-7r9j-r86q-7g45
Budibase を セルフホスト している 場合、特に Webhook を 公開 している 環境 では 認証 なし の RCE が 可能 な ため、即時 アップデート を 推奨 します。
CVE-2026-33815 / CVE-2026-33816 — pgx v5 メモリ安全性の脆弱性(CVSS 9.8)
Go の PostgreSQL ドライバ pgx v5 に メモリ 安全性 の 脆弱性 が 2件 報告 されています。詳細 は 限定的 ですが、CVSS 9.8 の Critical 評価 です。
- 参照: GO-2026-4771 / GO-2026-4772
Go で pgx v5 を 利用 している 場合 は、Go Vulnerability Database の 修正 情報 を 確認 し、アップデート を 検討 してください。
CVE-2026-35490 — changedetection.io 認証バイパス(CVSS 9.8)
Web ページ 変更 検知 ツール changedetection.io で、Flask デコレータ の 記述 順序 誤り により 認証 が 完全 に バイパス されます。@login_optionally_required が @blueprint.route() の 外側 に 配置 されている ため、認証 ラッパー が 呼び出し チェーン に 含まれません。
- CWE: CWE-863(認可の不備)
- 修正: changedetection.io 0.54.8
- 参照: GHSA-jmrh-xmgh-x9j4
CVE-2026-35458 — Gotenberg 正規表現DoS(CVSS 9.8)
ドキュメント 変換 API Gotenberg で、ユーザー 入力 の スコープ パターン が タイムアウト なし で 正規表現 コンパイル される ため、ワーカー を 無期限 に ハング させる ことが 可能 です。
- CWE: CWE-1333(非効率的な正規表現の複雑さ)
- 参照: GHSA-fmwg-qcqh-m992
Samsung Exynos — Wi-Fi / SMS バッファオーバーフロー 3件(CVSS 9.8)
Samsung の モバイル / ウェアラブル プロセッサ Exynos に 3件 の CVSS 9.8 バッファオーバーフロー が 報告 されています。
| CVE ID | 概要 |
|---|---|
| CVE-2025-52908 | Wi-Fi ドライバ NL80211 コマンド処理 バッファオーバーフロー(1/2) |
| CVE-2025-52909 | Wi-Fi ドライバ NL80211 コマンド処理 バッファオーバーフロー(2/2) |
| CVE-2025-62818 | SMS TP-UD パケット処理 の 境界外書き込み |
- 影響: Exynos 980 / 850 / 1280 / 1330 / 1380 / 1480 / 1580 / W920 / W930 / W1000
- 参照: Samsung Security Updates
LibRaw — ヒープバッファオーバーフロー 3件(CVSS 9.8)
画像処理 ライブラリ LibRaw に 3件 の ヒープバッファオーバーフロー が 報告 されています。悪意 の ある 画像 ファイル を 処理 させる ことで 発動 します。
| CVE ID | 影響関数 |
|---|---|
| CVE-2026-20889 | x3f_thumb_loader |
| CVE-2026-20911 | HuffTable::initval |
| CVE-2026-21413 | lossless_jpeg_load_raw |
その他 の Critical 脆弱性
| CVE ID | CVSS | ソフトウェア | 概要 |
|---|---|---|---|
| CVE-2026-32768 | 9.9 | Chall-Manager | NetworkPolicy 誤設定 による 横展開 |
| CVE-2026-22886 | 9.8 | OpenMQ | デフォルト管理者パスワード(admin/admin)未変更 |
| CVE-2026-30079 | 9.8 | OpenAirInterface AMF | 認証バイパス(メッセージ順序異常) |
| CVE-2024-36057 | 9.8 | Koha Library | ファイル名 未サニタイズ による RCE |
| CVE-2026-21876 | 9.3 | OWASP CRS | マルチパート リクエスト 処理 の ルール バイパス |
| CVE-2025-54236 | 9.1 | Adobe Commerce | 入力検証不備 による セッション 乗っ取り |
エコシステム別サマリー
npm(5件 — OSV)
| パッケージ | CVE | 概要 | 修正版 |
|---|---|---|---|
| next | CVE-2025-59472 | PPR Resume エンドポイント の メモリ枯渇 DoS | 16.1.5 |
| svelte | CVE-2026-27901 | contenteditable bind:innerText の XSS | 5.53.5 |
| svelte | CVE-2026-27121 | SSR スプレッド属性 の XSS | 5.51.5 |
| svelte | CVE-2026-27122 | svelte:element タグ名 未検証 による HTML インジェクション | 5.51.5 |
| svelte | CVE-2026-27125 | SSR スプレッド属性 の プロトタイプチェーン 列挙 | 5.51.5 |
Next.js の PPR(Partial Prerendering)を minimal モード で 使用 している 場合、認証 なし の POST リクエスト で メモリ 枯渇 が 可能 です。16.1.5 で 修正 されています。Svelte は SSR 環境 での XSS / HTML インジェクション が 4件 で、5.51.5 および 5.53.5 で 修正 されています。
JVN 日本語情報
MyJVN から 3件 の 脆弱性対策情報 が 公開 されています。
JVNDB-2026-000050 — Movable Type(CVSS 9.8 Critical)
シックス・アパート の Movable Type に コードインジェクション(CVE-2026-25776)と SQL インジェクション(CVE-2026-33088)の 2種類 の 脆弱性 です。前日 に 引き続き 対応 が 必要 です。
JVNDB-2026-000052 — 抹茶シリーズ(CVSS 8.8 High)
アイシーズ の 抹茶シリーズ に SQL インジェクション、XSS、ファイルアップロード 検証不備 の 3件 です。
JVNDB-2026-010499 — CISA ICS Advisory(2026年4月7日)
三菱電機 GENESIS64 および ICONICS Suite 製品 に 関する ICS アドバイザリ が 1件 新規公開、4件 更新 されています。産業用 制御 システム を 運用 している 場合 は CISA の アドバイザリ を 確認 してください。
まとめ
本日 の 最大 の トピック は SandboxJS の CVSS 10.0 サンドボックス 脱出 脆弱性 です。JavaScript の サンドボックス 実行 環境 として 利用 している 場合 は 0.8.36 への アップデート が 必須 です。また、Ivanti EPMM の RCE(CVE-2026-1340)は CISA KEV 入り しており、実際 の 攻撃 が 確認 されている ため、エンタープライズ 環境 では 最優先 で 対応 してください。
Budibase に 認証 なし RCE を 含む 3件、pgx v5 に メモリ 安全性 の 問題 2件 と、Web アプリケーション 開発者 / Go 開発者 に 影響 の ある 脆弱性 が 多い 日 です。OSV では Next.js の PPR メモリ 枯渇 と Svelte SSR の XSS 4件 が npm エコシステム で 報告 されています。影響 を 受ける パッケージ を 利用 している 場合 は 修正版 への アップデート を 検討 してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。