NVDで19件のCVEが公開・更新されました(Rejected 2件を除く)。Critical 1件はAdobe Commerceのセッション乗っ取り(CVSS 9.1)で、CISA KEVにも掲載されています。KodExplorerには認証バイパス・パストラバーサルなど5件が集中公開されており、H3Cルーターにもバッファオーバーフロー2件が報告されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 19件 | 1件 | 7件 | 10件 | 1件 |
| GHSA | 17件 | 0件 | 2件 | 11件 | 4件 |
| OSV | 0件 | — | — | — | — |
| MyJVN | 0件 | — | — | — | — |
Critical / High 脆弱性の詳細
CVE-2025-54236 — Adobe Commerce セッション乗っ取り(CVSS 9.1)
Adobe Commerce(Magento)に不正入力検証の脆弱性があり、認証なしでセッション乗っ取りが可能です。CISA Known Exploited Vulnerabilities(KEV)カタログに掲載されており、実際の悪用が確認されています。2025年9月に公開済みですが、4月14日に情報が更新されました。
- CVSS: 9.1(Critical)
- 影響: Adobe Commerce 2.4.9-alpha2, 2.4.8-p2, 2.4.7-p7, 2.4.6-p12, 2.4.5-p14, 2.4.4-p15 以前
- CWE: CWE-20(不正入力検証)
- 参照: NVD / Adobe Security Bulletin / CISA KEV
H3C ルーター — バッファオーバーフロー 2件(CVSS 8.8)
H3Cの家庭用ルーター2機種にリモートからのバッファオーバーフローが報告されています。いずれもベンダーからの応答がない状態です。
| CVE | 製品 | 関数 |
|---|---|---|
| CVE-2026-6560 | H3C Magic B0(〜100R002) | Edit_BasicSSID |
| CVE-2026-6563 | H3C Magic B1(〜100R004) | SetAPWifiorLedInfoById |
ファームウェアの更新が提供されていないため、該当機器のネットワーク露出を最小限にすることを推奨します。
CVE-2026-41113 — sagredo qmail リモートコード実行(CVSS 8.1)
sagredo qmailの qmail-remote.c にある notlshosts_auto 関数内の popen 呼び出しにOSコマンドインジェクションの脆弱性があります。TLS接続時にリモートからコード実行が可能です。
KodExplorer — 5件の脆弱性(〜4.52)
KodExplorer 4.52以前に認証・認可関連の脆弱性が集中的に報告されています。ベンダーからの応答はありません。
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-6568 | Public Share Handlerのパストラバーサル | 7.3(High) |
| CVE-2026-6569 | fileGetエンドポイントの認証不備 | 7.3(High) |
| CVE-2026-6571 | roleGroupActionの認可バイパス | 6.3(Medium) |
| CVE-2026-6572 | fileUploadの認可不備 | 5.6(Medium) |
| CVE-2026-6570 | initInstallの認可バイパス | 2.7(Low) |
KodExplorer利用者はバージョンを確認し、可能であればネットワークアクセスの制限を検討してください。
その他の注目 High
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2026-6562 | muucmf 1.9.5 SQLインジェクション | 7.3(High) |
| CVE-2026-6574 | LightPicture ハードコード認証情報 | 7.3(High) |
その他の注目 Medium
| CVE | 概要 | CVSS |
|---|---|---|
| CVE-2025-1686 | Pebble Templates includeタグによるファイル読み取り | 6.8 |
| CVE-2026-33691 | OWASP CRS ファイル拡張子チェックバイパス | 6.8 |
| CVE-2026-0868 | WordPress EMCプラグイン Stored XSS | 6.4 |
| CVE-2026-6573 | PHPEMS SSRF | 6.3 |
OWASP CRS(CVE-2026-33691)はWAFルールのバイパスで、.php や .jsp ファイルのアップロード制限を空白文字の挿入で回避できます。CRS 3.3.9 / 4.25.0で修正済みです。
エコシステム別サマリー
本日のOSVデータには新規脆弱性がなく、GHSAはNVDと重複するアドバイザリが中心でした。エコシステム固有の新規報告はありません。
JVN 日本語情報
本日のMyJVNデータには該当する脆弱性対策情報はありませんでした。
まとめ
本日はAdobe Commerce(Magento)のセッション乗っ取り脆弱性(CVE-2025-54236、CVSS 9.1)が最も深刻です。CISA KEVに掲載されており実際の悪用が確認されているため、Adobe Commerce利用者は早急にパッチを適用してください。KodExplorerには認証・認可関連の脆弱性が5件まとめて公開されており、ベンダーの対応がないため、利用者はアクセス制限の強化を検討する必要があります。sagredo qmailのRCE(CVE-2026-41113)はv2026.04.07で修正済みなので該当バージョンの利用者はアップデートを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。