本日はNVDで200件、GHSAで159件のセキュリティアドバイザリが更新されました。GHSAではChrome安定版の22件(Critical 1件含む)、CPython・GoのCritical級脆弱性が注目です。NVD側はFirefox/Thunderbirdの大規模バッチ更新が中心で、CVSS 10.0のサンドボックスエスケープ(CVE-2025-2857)は実際の悪用が確認されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low |
|---|---|---|---|---|---|
| NVD | 200件 | 40件 | 74件 | 82件 | 4件 |
| GHSA | 159件 | 6件 | 36件 | 93件 | 16件 |
| OSV | 1件 | — | — | — | — |
| MyJVN | 0件 | — | — | — | — |
Critical / High 脆弱性の詳細
CVE-2025-2857 — Firefox IPC サンドボックスエスケープ(CVSS 10.0 / 悪用確認済み)
Chromeのサンドボックスエスケープ(CVE-2025-2783)と同様のパターンがFirefoxのIPCコードで発見されました。侵害された子プロセスが親プロセスから意図しない強力なハンドルを取得し、サンドボックスを脱出できます。実際に悪用が確認されています。
- CVSS: 10.0(Critical) / CWE-668
- 影響: Firefox(Windows版のみ)
- 修正: Firefox 136.0.4, ESR 128.8.1, ESR 115.21.1
- 参照: Mozilla Advisory / NVD
CVE-2026-5902 — Chrome 安定版 Critical 脆弱性(GHSA / 22件一括修正)
Chrome安定版のセキュリティアップデートで22件の脆弱性が修正されました。CVE-2026-5902がCritical、CVE-2026-5904・CVE-2026-5877・CVE-2026-5913の3件がHighに分類されています。
- 深刻度: Critical(GHSA評価)
- 影響: Google Chrome(デスクトップ版)
- 修正: Chrome安定版最新バージョン
- 参照: Chrome Releases Blog
Chrome利用者は最新版へのアップデートを推奨します。
CVE-2026-6100 — CPython Critical 脆弱性(GHSA)
Python(CPython)にCritical級の脆弱性が報告されました。修正コミットが公開されています。
- 深刻度: Critical(GHSA評価)
- 参照: CPython Issue #148395 / NVD
CVE-2026-27143 — Go Critical 脆弱性(GHSA)
Go言語にCritical級の脆弱性が報告されました。Go公式の脆弱性データベースに登録済みです。
- 深刻度: Critical(GHSA評価)
- 参照: Go Issue #78333 / Go Vulnerability
Mozilla Firefox / Thunderbird 大規模バッチ更新 — Critical 39件
NVD更新200件中185件がMozilla製品です。主なカテゴリ:
| カテゴリ | CVE例 | CVSS | 概要 |
|---|---|---|---|
| メモリ安全性/UAF | CVE-2025-4918, CVE-2025-6424 | 9.8 | Promise OOB, FontFaceSet UAF |
| WebGPUサンドボックスエスケープ | CVE-2025-13021〜13026 | 9.8 | 境界条件不備(4件) |
| JIT/JSエンジン | CVE-2025-13024, CVE-2025-49710 | 9.8 | JITミスコンパイル, 整数オーバーフロー |
| メモリ破損 | CVE-2025-9179, CVE-2025-49709 | 9.8 | GMPプロセス, Canvas操作 |
Firefox / Thunderbird利用者は最新の安定版へのアップデートを推奨します。
GHSA 注目の High / Critical 脆弱性
| アドバイザリ | 概要 | エコシステム | 修正版 |
|---|---|---|---|
| GHSA-j98m-w3xp-9f56 | excel-mcp-server パストラバーサル(Critical) | PyPI | 0.1.8 |
| GHSA-p4h8-56qp-hpgv | @aiondadotcom/mcp-ssh SSHオプションインジェクション→RCE | npm | 1.3.5 |
| GHSA-875v-7m49-8x88 | Craft Commerce SQLインジェクション→RCE | Packagist | 4.10.3 / 5.5.5 |
| GHSA-9c4q-hq6p-c237 | MinIO 未認証オブジェクト書き込み | Go | — |
| GHSA-fwvm-ggf6-2p4x | ImageMagick スタックオーバーフロー | NuGet | 14.12.0 |
| GHSA-x9h5-r9v2-vcww | ImageMagick ヒープバッファオーバーフロー | NuGet | 14.12.0 |
| GHSA-r7p8-xq5m-436c | Eclipse Jetty JASPI認証バイパス | Maven | 12.1.8 |
MCPツール脆弱性に注意: excel-mcp-server(パストラバーサル、Critical)とmcp-ssh(SSHオプションインジェクション、High)が報告されています。MCPサーバーを利用している場合は依存パッケージの確認を推奨します。
CVE-2023-21529 — Microsoft Exchange Server RCE(CVSS 8.8)
Storm-1175脅威グループがMedusaランサムウェア作戦でこの脆弱性を悪用しているとの報告により更新されました。
- CVSS: 8.8(High) / CWE-502
- 参照: NVD
その他の注目更新(NVD)
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2025-54236 | Adobe Commerce セッション乗っ取り(CISA KEV) | 9.1 |
| CVE-2025-60710 | Windows Tasks ホストプロセス権限昇格 | 7.8 |
| CVE-2023-36424 | Windows CLFS ドライバー権限昇格(CISA KEV) | 7.8 |
エコシステム別サマリー
GHSA エコシステム分布
| エコシステム | 件数 | 主な内容 |
|---|---|---|
| Maven | 7件 | Eclipse Jetty JASPI認証, Apache Log4j 5件 |
| Packagist | 2件 | Craft Commerce SQLインジェクション |
| Go | 2件 | MinIO未認証書き込み, monetr Stripe webhook |
| NuGet | 2件 | ImageMagick (Magick.NET) バッファオーバーフロー |
| crates.io | 1件 | SP1 V6 Recursion Circuit |
| PyPI | 1件 | excel-mcp-server パストラバーサル |
| npm | 1件 | @aiondadotcom/mcp-ssh |
Apache Log4j(Moderate 5件)
Log4j Core 2.25.4で修正される5件のModerate脆弱性が報告されました。XmlLayoutのXML文字エスケープ不備(CVE-2026-34480)、Rfc5424Layoutのログインジェクション(CVE-2026-34478)、TLS設定のverifyHostName無視(CVE-2026-34477)などです。Log4j 2.xを使用中の場合は2.25.4への更新を検討してください。
OSV — npm(1件)
Next.jsのPPR(Partial Prerendering)Resumeエンドポイントにメモリ枯渇DoS脆弱性(CVE-2025-59472)。攻撃複雑性は高い(AC:H)ですが、PPRをminimalモードで利用中の場合は16.1.5へのアップデートを推奨します。
JVN 日本語情報
本日のMyJVNには該当する脆弱性対策情報はありませんでした。
まとめ
本日はGHSAでChrome安定版の大規模セキュリティアップデート(22件、Critical 1件含む)が最も注目です。CPython・GoにもCritical級の脆弱性が報告されており、Web開発者からインフラエンジニアまで幅広い影響があります。NVD側はFirefox/Thunderbirdの185件バッチ更新が中心で、CVSS 10.0のサンドボックスエスケープ(CVE-2025-2857)は実際の悪用が確認されているため、Windows版Firefox利用者は即時対応を推奨します。
MCPツール関連では、excel-mcp-server(パストラバーサル)とmcp-ssh(RCE)が報告されています。MCPエコシステムを利用中の方は依存パッケージの確認を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。