本日 は NVD で 172件 の CVE が 公開・更新 され、うち Critical が 16件 です。HTTP クライアント ライブラリ Axios に CVSS 10.0 の Prototype Pollution から RCE に 至る 脆弱性 が 報告 されて おり、npm エコシステム 全体 に 影響 します。OpenSSL に 4件、Apache Tomcat に 2件 の 修正 が 含まれ、Google Chrome に も サンドボックス エスケープ に つながる Use-After-Free が 修正 されています。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 更新 CVE | 172件 |
| Critical (9.0+) | 16件 |
| High (7.0-8.9) | 74件 |
| Medium (4.0-6.9) | 29件 |
| Low (0-3.9) | 6件 |
| OSV エコシステム | npm 5件 |
| MyJVN | 1件 |
Critical / High 脆弱性 の 詳細
CVE-2026-40175 — Axios Prototype Pollution → RCE(CVSS 10.0)
npm で 最も 広く 使われて いる HTTP クライアント ライブラリ の 1つ である Axios に、Prototype Pollution を 起点 と した RCE 脆弱性 が 発見 されました。サードパーティ の 依存 ライブラリ に Prototype Pollution が 存在 する 場合、Axios の リクエスト 処理 チェーン を 利用 して 任意 コード 実行 や AWS IMDSv2 の バイパス に よる クラウド 環境 の 完全 侵害 に 至る 可能性 が あります。
- CVSS: 10.0(Critical)
- CWE: CWE-113 / CWE-444 / CWE-918
- 修正: Axios 1.15.0
- 参照: GHSA-fvcv-3m26-pcqx / GitHub Release
Axios を 使用 して いる プロジェクト は 速やか に 1.15.0 へ アップデート する こと を 推奨 します。特に AWS 環境 で 稼働 する Node.js アプリケーション は 影響 が 大きい ため、優先度 を 上げて 対応 してください。
CVE-2026-5874 — Google Chrome PrivateAI Use-After-Free(CVSS 9.6)
Google Chrome 147.0.7727.55 より 前 の バージョン に おいて、PrivateAI 機能 に Use-After-Free 脆弱性 が 存在 します。特定 の UI 操作 を ユーザー に 行わせる こと で、サンドボックス エスケープ に つながる 可能性 が あります。
- CVSS: 9.6(Critical)
- CWE: CWE-416(Use After Free)
- 修正: Chrome 147.0.7727.55
- 参照: Chrome Releases
Chrome の 自動 更新 が 有効 で あれ ば 自動的 に 修正 されます。組織 で 管理 して いる 場合 は 展開 状況 を 確認 してください。
CVE-2026-34621 — Adobe Acrobat Reader Prototype Pollution → RCE(CVSS 9.6)
Adobe Acrobat Reader に Prototype Pollution 脆弱性 が 存在 し、悪意 の ある PDF ファイル を 開く こと で 任意 コード 実行 が 可能 です。ユーザー の 操作(ファイル を 開く こと)が 必要 です が、PDF は 攻撃 ベクトル と して 広く 利用 される ため 注意 が 必要 です。
- CVSS: 9.6(Critical)
- CWE: CWE-1321(Prototype Pollution)
- 影響: Acrobat Reader 24.001.30356, 26.001.21367 以前
- 参照: APSB26-43
Adobe の セキュリティ アップデート を 適用 してください。
OpenSSL セキュリティ アップデート — 4件 の 脆弱性 修正
OpenSSL に 4件 の セキュリティ 脆弱性 が 報告 されました。いずれ も DoS に つながる 可能性 が あります。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-28386 | AES-CFB128 の 境界外 読み取り(AVX-512 + VAES 環境) | 9.1 |
| CVE-2026-28388 | Delta CRL 処理 の NULL ポインタ 参照 | 7.5 |
| CVE-2026-28389 | CMS EnvelopedData KeyAgreeRecipientInfo の NULL ポインタ 参照 | 7.5 |
| CVE-2026-28390 | CMS EnvelopedData RSA-OAEP の NULL ポインタ 参照 | 7.5 |
CVE-2026-28386 は AVX-512 + VAES 命令 を サポート する x86-64 環境 で AES-CFB128 暗号化 処理 時 に 発生 する 境界外 読み取り です。TLS/DTLS プロトコル は CFB モード を 使用 しない ため 影響 は 限定的 です が、FIPS モジュール 3.6 が 影響 を 受けます。
OpenSSL を 直接 利用 して いる 場合 は パッチ 適用 を 検討 してください。
CVE-2026-33186 — gRPC-Go 認可 バイパス(CVSS 9.1)
gRPC-Go の HTTP/2 :path 疑似 ヘッダー の 入力 検証 不備 に より、認可 バイパス が 可能 です。先頭 の / を 省略 した パス(Service/Method)が ルーティング では 正常 に 処理 される 一方、認可 インターセプター の パス 照合 を すり抜け ます。
- CVSS: 9.1(Critical)
- CWE: CWE-285(不適切 な 認可)
- 修正: gRPC-Go 1.79.3
- 参照: GHSA-p77j-4mvh-x3m3
gRPC-Go で パス ベース の 認可 を 使用 して いる 場合 は 1.79.3 へ の アップデート を 推奨 します。
Apache Tomcat セキュリティ アップデート — 2件
Apache Tomcat に 2件 の 脆弱性 が 修正 されました。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-34483 | JsonAccessLogValve の エスケープ 不備 | 7.5 |
| CVE-2026-34486 | EncryptInterceptor バイパス | 7.5 |
- 修正: Tomcat 11.0.21 / 10.1.54 / 9.0.117
- 参照: Apache 公式 アナウンス
CVE-2026-40046 — Apache ActiveMQ MQTT 整数 オーバーフロー(CVSS 7.5)
Apache ActiveMQ 6.0.0〜6.2.3 で MQTT の 制御 パケット の remaining length フィールド に 対する バリデーション が 不十分 な 問題 です。CVE-2025-66168 の 修正 が 6.0.0 以降 に 適用 されて いなかった もの です。
- 修正: ActiveMQ 6.2.4 または 5.19.2 以降
- 参照: CVE-2026-40046 アナウンス
その他 の 注目 CVE
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-39337 | ChurchCRM セットアップ ウィザード RCE | 10.0 |
| CVE-2026-6057 | FalkorDB Browser パス トラバーサル → RCE | 9.8 |
| CVE-2026-33229 | XWiki Platform サンドボックス 脱出 | 9.8 |
| CVE-2025-54236 | Adobe Commerce セッション 乗っ取り(CISA KEV) | 9.1 |
| CVE-2026-5707 | AWS RES コマンド インジェクション | 8.8 |
| CVE-2026-34079 | Flatpak 任意 ファイル 削除 | 7.5 |
| CVE-2026-39408 | Hono SSG パス トラバーサル | 7.5 |
エコシステム 別 サマリー
npm(OSV 5件)
| パッケージ | 脆弱性 | 修正 バージョン |
|---|---|---|
| next | PPR Resume エンドポイント の メモリ 枯渇 DoS | 16.1.5 |
| svelte | SSR スプレッド 属性 で プロトタイプ チェーン の 継承 プロパティ 混入 | 5.51.5 |
| svelte | SSR スプレッド 属性 の XSS | 5.51.5 |
| svelte | svelte:element の タグ名 未 検証 に よる HTML インジェクション | 5.51.5 |
| svelte | contenteditable bind の XSS | 5.53.5 |
Svelte で SSR を 使用 して いる 場合 は 5.53.5 へ の アップデート を 検討 してください。Next.js の PPR は 実験的 機能 の ため 影響 は 限定的 です。
JVN 日本語 情報
JVNDB-2026-000053 — EmoCheck に おける DLL 読み込み の 脆弱性
JPCERT/CC 提供 の マルウェア Emotet 感染 確認 ツール EmoCheck に、DLL 検索 パス の 制御 不備 に よる 脆弱性 が 報告 されて います。攻撃者 が 細工 した DLL ファイル を EmoCheck と 同じ ディレクトリ に 配置 した 場合、EmoCheck 実行 時 に 悪意 の ある DLL が 読み込まれる 可能性 が あります。
- CVE: CVE-2026-28704
- CVSS: 7.8(High)
- CWE: CWE-427(ファイル 検索 パス の 制御 不備)
- 参照: JVNDB-2026-000053
まとめ
本日 の 最 注目 は Axios の CVSS 10.0 脆弱性 です。Prototype Pollution が 前提 条件 と なります が、Axios の 利用 範囲 の 広さ を 考える と 早め の アップデート を 推奨 します。OpenSSL、Apache Tomcat、Apache ActiveMQ など インフラ 系 の 修正 も 多い ため、サーバー 管理 者 は パッチ 状況 の 確認 を お勧め します。Chrome は 自動 更新 を 確認、Acrobat Reader は セキュリティ アップデート を 適用 してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。