つみかさね

【セキュリティ日報】三菱電機PLCにCVSS 9.8のRCEほかNVD 200件更新

2026-04-16データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
三菱電機 MELSEC-Q/L CPU RCE
CVE-2024-0802
三菱電機アドバイザリ参照、ファームウェア更新
high対応必須
VMware EAP 認証リレー・セッションハイジャック
CVE-2024-22245
EAPのアンインストールを推奨
high対応必須
ドイツ eID sPACE攻撃による認証偽装
CVE-2024-23674
eIDシステムの更新を確認
high推奨
Buildah/Podman コンテナエスケープ
CVE-2024-1753
RHSA-2024:2049等のパッチ適用
high推奨
Spring Security 認可バイパス
CVE-2024-22257
最新版へアップデート
high推奨
Spring Framework オープンリダイレクト/SSRF
CVE-2024-22243
最新版へアップデート
high推奨
Go protojson 無限ループ DoS
CVE-2024-24786
google.golang.org/protobuf最新版へ更新
high推奨
Go net/mail パーサー不整合
CVE-2024-24784
Go最新版へアップデート
CVENVD脆弱性三菱電機SpringBuildahVMwareICS

NVD で 200件 の CVE 更新 があり、Critical 33件・High 64件 を 含みます。三菱電機 MELSEC-Q/L シリーズ CPU モジュール に CVSS 9.8 の RCE 脆弱性 が 5件 集中 しており、ICS 環境 の 管理者 は 確認 を 推奨 します。VMware EAP の 認証 リレー(9.6)や Buildah/Podman の コンテナ エスケープ(8.6)も 注目 です。

本日 の 概要

ソース更新件数CriticalHighMediumLow
NVD200件33件64件93件9件
OSV1件1件
GHSA0件
MyJVN1件1件

Critical / High 脆弱性 の 詳細

CVE-2024-0802 ほか — 三菱電機 MELSEC-Q/L シリーズ CPU RCE(CVSS 9.8)×5件

三菱電機 MELSEC-Q シリーズ および MELSEC-L シリーズ の CPU モジュール に、リモート から 認証 なし で 任意 コード 実行 が 可能 な 脆弱性 が 5件 報告 されています。ポインタ スケーリング の 不備(CWE-468)と 整数 オーバーフロー(CWE-190)が 原因 です。CISA ICS-CERT からも アドバイザリ が 発行 されています。

  • CVSS: 9.8(Critical) / CWE-468, CWE-190
  • 影響: MELSEC-Q シリーズ・MELSEC-L シリーズ CPU モジュール
  • 対象 CVE: CVE-2024-0802, CVE-2024-0803, CVE-2024-1915, CVE-2024-1916, CVE-2024-1917
  • 修正: 三菱電機 アドバイザリ を 参照
  • 参照: JVN / CISA ICS-CERT

CVE-2024-22245 — VMware EAP 認証 リレー・セッション ハイジャック(CVSS 9.6)

非推奨 の VMware Enhanced Authentication Plug-in(EAP)に、任意 の Active Directory SPN に 対する 認証 リレー および セッション ハイジャック の 脆弱性 が 存在 します。EAP を 使用 中 の 環境 は アンインストール が 推奨 されています。関連 する CVE-2024-22250(7.8)では ローカル ユーザー による セッション ハイジャック も 可能 です。

  • CVSS: 9.6(Critical) / CWE-287
  • 影響: VMware Enhanced Authentication Plug-in(非推奨)
  • 修正: EAP の アンインストール を 推奨(VMware は 非推奨 と している)
  • 参照: VMware Advisory / NVD

CVE-2024-23674 — ドイツ eID sPACE 攻撃 による 認証 偽装(CVSS 9.6)

ドイツ 国民 ID カード の eID スキーム(Online-Ausweis-Funktion)に、中間者 攻撃 により 他者 の ID で 政府・医療・金融 サービス に 認証 できる sPACE 攻撃 が 発見 されました。PACE(Password Authenticated Connection Establishment)プロトコル の 実装上 の 問題 です。

  • CVSS: 9.6(Critical) / CWE-290
  • 影響: ドイツ 国民 ID カード eID スキーム(2024年2月15日 以前)
  • 参照: NVD

CVE-2024-1753 — Buildah / Podman コンテナ エスケープ(CVSS 8.6)

Buildah および Podman の ビルド 処理 に、Containerfile 内 の シンボリック リンク を 利用 して ホスト の ルート ファイルシステム を RUN ステップ 内 に マウント できる 脆弱性 が 存在 します。ビルド 時 に ホスト ファイルシステム への 読み書き が 可能 で、CI/CD パイプライン など で の 影響 が 懸念 されます。

  • CVSS: 8.6(High) / CWE-59
  • 影響: Buildah / Podman
  • 修正: Red Hat Errata RHSA-2024:2049 等 で 修正済み
  • 参照: NVD / Red Hat

CVE-2024-22257 — Spring Security 認可 バイパス(CVSS 8.2)

Spring Security の AuthenticatedVoter#vote メソッド に、Authentication パラメータ が null の 場合 に アクセス制御 が 破綻 する 脆弱性 が 存在 します。Spring Security 5.7.x〜6.2.x が 影響 を 受けます。

  • CVSS: 8.2(High) / CWE-862
  • 影響: Spring Security 5.7.x〜6.2.x
  • 修正: 各シリーズ の 最新版 へ アップデート
  • 参照: Spring Advisory / NVD

CVE-2024-22243 — Spring Framework オープン リダイレクト / SSRF(CVSS 8.1)

Spring Framework の UriComponentsBuilder に、外部 から 提供 された URL を パース する 際 にホスト 検証 を バイパス して オープン リダイレクト や SSRF を 引き起こす 脆弱性 が 存在 します。URL バリデーション を UriComponentsBuilder に 依存 している アプリケーション で 影響 が あります。

  • CVSS: 8.1(High) / CWE-601
  • 影響: Spring Framework(UriComponentsBuilder 使用箇所)
  • 修正: Spring Framework 最新版 へ アップデート
  • 参照: Spring Advisory / NVD

CVE-2024-24786 — Go protojson 無限ループ DoS(CVSS 7.5)

Go の protojson.Unmarshal に、不正 な JSON を google.protobuf.Any または DiscardUnknown オプション で アンマーシャル する 際 に 無限ループ が 発生 する 脆弱性 が 存在 します。外部 から の JSON 入力 を 処理 する サービス で DoS に つながります。

  • CVSS: 7.5(High)
  • 影響: Go protobuf ライブラリ(google.golang.org/protobuf)
  • 修正: google.golang.org/protobuf 最新版 へ アップデート
  • 参照: Go Advisory / NVD

CVE-2024-24784 — Go net/mail パーサー 不整合(CVSS 7.5)

Go の net/mail.ParseAddressList に、表示名 の コメント 処理 が 不正確 な 脆弱性 が 存在 します。異なる パーサー 間 で メールアドレス の 信頼 判定 が 変わる 可能性 があり、メール フィルタリング 等 で の セキュリティ バイパス に つながります。

  • CVSS: 7.5(High)
  • 影響: Go 標準ライブラリ net/mail
  • 修正: Go 最新版 へ アップデート
  • 参照: Go Advisory / NVD

その他 の Critical 更新

CVE概要CVSS
CVE-2024-2172WordPress MiniOrange プラグイン 権限昇格9.8
CVE-2024-0794HP LaserJet PDF フォント レンダリング バッファオーバーフロー9.8
CVE-2024-2184Canon プリンター WSD バッファオーバーフロー9.8
CVE-2024-28125FitNesse OS コマンド インジェクション9.8
CVE-2024-2051Schneider Electric ブルートフォース アカウント 乗っ取り9.8
CVE-2024-1624Dassault 3DEXPERIENCE OS コマンド インジェクション9.4
CVE-2024-25331D-Link DIR-822 スタック バッファオーバーフロー RCE9.3
CVE-2024-27455Bentley ALIM Web セッション トークン 漏洩9.1
CVE-2024-25091RevoWorks Browser サンドボックス 回避9.1
CVE-2023-50734Lexmark PostScript インタプリタ バッファオーバーフロー9.0

エコシステム 別 サマリー

OSV エコシステム 分布

エコシステム件数主な 内容
npm1件Next.js PPR エンドポイント メモリ 枯渇(CVE-2025-59472)

OSV からは Next.js の Partial Prerendering(PPR)リジューム エンドポイント に 関する メモリ 枯渇 の 脆弱性 が 1件 報告 されています。minimal モード で PPR を 有効 に している 場合、認証 なし の POST リクエスト で サーバー プロセス が クラッシュ する 可能性 が あります。Next.js 16.1.5 / 15.6.0-canary.61 で 修正済み です。

JVN 日本語 情報

JVNDB-2026-000055 — GROWI 格納型 クロスサイト スクリプティング

GROWI に 格納型 XSS(CWE-79)の 脆弱性(CVE-2026-26291)が 存在 します。CVSS 5.4(Medium)で 深刻度 は 限定的 ですが、GROWI を 利用 している 場合 は 最新版 への アップデート を 推奨 します。IPA へ の 報告 に 基づき JPCERT/CC が 開発者 と 調整 を 行って います。

  • CVSS: 5.4(Medium) / CWE-79
  • 参照: JVN iPedia

まとめ

本日 の NVD 200件 更新 では、三菱電機 MELSEC-Q/L シリーズ CPU モジュール の RCE 脆弱性 5件(CVSS 9.8)が 最も 深刻 です。PLC を 使用 する ICS 環境 の 管理者 は ファームウェア と アドバイザリ の 確認 を 推奨 します。

Web / クラウド 開発者 には、Buildah / Podman の コンテナ エスケープ(8.6)と Spring Security の 認可 バイパス(8.2)が 特に 重要 です。Go 標準 ライブラリ の protojson 無限ループ(7.5)も 影響 範囲 が 広い ため、使用 バージョン の 確認 を 推奨 します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。