【セキュリティ日報】Adobe Commerce CISA KEVとAIツール脆弱性ほか 47件

項目	優先度	対応	影響対象	クイックアクション
Adobe Commerce セッションテイクオーバー（CISA KEV） CVE-2025-54236	high	対応必須	Adobe Commerce（Magento）利用者	APSB25-88セキュリティアップデートを適用
Newforma Project Center Server .NETデシリアライゼーションRCE CVE-2025-35051	high	対応必須	Newforma Project Center Server利用者	NPCSへのネットワークアクセスを内部ネットワークに制限
Totolink A8000RU OSコマンドインジェクション CVE-2026-7037	high	対応必須	Totolink A8000RU利用者	ファームウェアアップデートを確認、外部アクセス制限
ssh-mcp コマンドインジェクション CVE-2026-7039	high	推奨	ssh-mcp利用者（MCPツール）	利用の一時停止を検討（修正版未リリース）
SmythOS AIエージェント認証不備 CVE-2026-7022	high	推奨	SmythOS利用者	デバッグヘッダの無効化を確認（修正版未リリース）
Tenda F456 バッファオーバーフロー（6件） CVE-2026-7019	high	推奨	Tenda F456利用者	ファームウェアアップデートを確認
Technitium DNS Server DNS増幅攻撃 CVE-2026-42255	high	推奨	Technitium DNS Server利用者	15.0以降へアップデート
Genetec Update Service ローカル権限昇格 CVE-2025-1789	high	推奨	Genetec Update Service利用者（Windows）	Genetec Update Service 2.10の修正版を適用

NVDで47件のCVEが公開・更新され、うちCritical 3件、High 15件。Adobe Commerce（Magento）のセッションテイクオーバー脆弱性（CVE-2025-54236、CVSS 9.1）がCISA KEVに追加されており、早急な対応が必要です。MCPツール「ssh-mcp」やAIエージェントプラットフォーム「SmythOS」「coze-studio」など、AI/LLMツール関連の脆弱性が複数報告されています。OSVではDjangoの既知脆弱性8件が引き続き追跡対象です。

本日の概要

ソース	更新件数	Critical	High	Medium	Low/None
NVD	47件	3件	15件	10件	19件
OSV	10件	—	—	—	—
GHSA	0件	—	—	—	—
MyJVN	0件（※）	—	—	—	—

※ MyJVNは「該当する脆弱性対策情報はありません」のステータス

Critical / High 脆弱性の詳細

CVE-2025-54236 — Adobe Commerce セッションテイクオーバー（CISA KEV）

Adobe Commerce（Magento）に入力検証の不備によるセッションテイクオーバー脆弱性が存在します。ユーザー操作不要で悪用可能であり、認証情報の窃取につながります。CISA KEV（Known Exploited Vulnerabilities）カタログに追加されており、実際の悪用が確認されています。

CVSSスコア: 9.1（Critical）
CWE: CWE-20（不適切な入力検証）
影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
対策: Adobeセキュリティアップデート（APSB25-88）を適用
参考: NVD / Adobe Advisory

CVE-2025-35051 — Newforma Project Center Server .NETデシリアライゼーションRCE

Newforma Project Center Server（NPCS）の /ProjectCenter.rem エンドポイント（9003/tcp）がシリアライズされた.NETデータを受け入れ、認証不要でNT AUTHORITY\NetworkService権限の任意コード実行が可能です。推奨アーキテクチャでは内部ネットワーク限定ですが、公開環境では深刻なリスクとなります。

CVSSスコア: 9.8（Critical）
CWE: CWE-306（認証の欠如）、CWE-502（信頼できないデータのデシリアライゼーション）
影響: Newforma Project Center Server
対策: NPCSへのネットワークアクセスを内部ネットワークに制限
参考: NVD

CVE-2026-7037 — Totolink A8000RU OSコマンドインジェクション

Totolink A8000RUルーターのCGIハンドラにOSコマンドインジェクション脆弱性。/cgi-bin/cstecgi.cgi の setVpnPassCfg 関数で pptpPassThru パラメータが適切にサニタイズされず、リモートから認証不要で攻撃可能です。エクスプロイトが公開されています。

CVSSスコア: 9.8（Critical）
CWE: CWE-77（コマンドインジェクション）、CWE-78（OSコマンドインジェクション）
影響: Totolink A8000RU 7.1cu.643_b20200521
対策: メーカーの更新情報を確認。外部からのアクセス制限を推奨
参考: NVD

CVE-2026-7039 — ssh-mcp コマンドインジェクション（MCPツール）

MCPプロトコル対応SSH接続ツール「ssh-mcp」の shell.write 関数に、Description引数経由のコマンドインジェクション脆弱性。AIエージェントがMCPツールを呼び出す際に、悪意あるツール説明文を経由して任意コマンドが実行される可能性があります。同ツールには資格情報の保護不備（CVE-2026-7038、CVSS 3.3）も報告されています。

CVSSスコア: 7.8（High）
CWE: CWE-74（インジェクション）、CWE-77（コマンドインジェクション）
影響: ssh-mcp 1.5.0以前
対策: 修正版未リリース（ベンダー未応答）。利用の一時停止を検討
参考: NVD

CVE-2026-7022 — SmythOS AIエージェントプラットフォーム認証不備

AIエージェントプラットフォーム「SmythOS」のHTTPヘッダハンドラに認証不備。X-DEBUG-RUN / X-DEBUG-INJ ヘッダの操作により認証をバイパスできる可能性があります。同プラットフォームにはConnector Service経由の情報漏洩（CVE-2026-7021、CVSS 3.5）も報告されています。

CVSSスコア: 7.3（High）
CWE: CWE-287（不適切な認証）
影響: SmythOS sre 0.0.15以前
対策: 修正版未リリース（ベンダー未応答）
参考: NVD

CVE-2026-7019 / CVE-2026-7029 / CVE-2026-7030 / CVE-2026-7031 / CVE-2026-7032 / CVE-2026-7033 — Tenda F456 バッファオーバーフロー 6件

Tenda F456 1.0.0.5 の複数のWebインターフェース関数にバッファオーバーフロー脆弱性が計6件報告されています。影響を受ける関数は fromP2pListFilter、fromaddressNat、fromRouteStatic、fromSafeMacFilter、SafeEmailFilter、fromSafeClientFilter で、いずれもリモートから攻撃可能です。

CVSSスコア: 8.8（High）× 6件
CWE: CWE-119（バッファエラー）、CWE-120（バッファオーバーフロー）
影響: Tenda F456 1.0.0.5
対策: ファームウェアアップデートを確認。外部からの管理画面アクセスを制限

CVE-2026-7034 / CVE-2026-7035 — Tenda FH1202 スタックバッファオーバーフロー 2件

Tenda FH1202 1.2.0.14 の httpd コンポーネントに2件のスタックベースバッファオーバーフロー。WrlExtraSet および fromWrlclientSet 関数が影響を受けます。

CVSSスコア: 8.8（High）× 2件
CWE: CWE-119、CWE-121（スタックベースバッファオーバーフロー）
影響: Tenda FH1202 1.2.0.14
対策: ファームウェアアップデートを確認

CVE-2026-42255 — Technitium DNS Server DNS増幅攻撃

Technitium DNS Serverに循環ネームサーバーデリゲーション経由のDNSトラフィック増幅攻撃の脆弱性。DDoS攻撃のリフレクタとして悪用される可能性があります。

CVSSスコア: 7.2（High）
CWE: CWE-684
影響: Technitium DNS Server 15.0未満
対策: 15.0以降へアップデート
参考: NVD

その他の注目脆弱性

CVE-2026-7025 Typecho — Pingback Service EndpointにSSRF（CVSS 7.3）
CVE-2025-1789 Genetec Update Service — ローカル権限昇格（CVSS 7.8）
CVE-2026-7002 KLiK SocialMediaWebsite — SQLインジェクション（CVSS 7.3）
CVE-2026-7036 Tenda i9 — パストラバーサル（CVSS 7.3）
CVE-2026-7023 ByteDance coze-studio — SQLインジェクション（CVSS 6.3）
CVE-2026-7020 Ollama — パストラバーサル（CVSS 5.6）
CVE-2026-6994 Envoy — Query Parameter Handlerにインジェクション（CVSS 6.3）
CVE-2026-6993 go-kratos — DefaultServeMuxフォールバックの不正中継（CVSS 5.3）

エコシステム別サマリー

OSVの監視パッケージデータに基づく、現在追跡中の脆弱性です。

エコシステム	件数	主な影響パッケージ
PyPI	9件	Django（SQLインジェクション4件、DoS 2件、ヘッダスプーフィング、ASGIバイパス）
npm	1件	Astro（define:vars XSS）

Django — 8件の既知脆弱性が追跡中

Djangoでは以下の脆弱性が引き続きアクティブです。最新の修正バージョンへのアップデートを推奨します。

CVE-2026-1287 / CVE-2026-1207: SQLインジェクション（FilteredRelation、RasterField）→ 6.0.2 / 5.2.11 / 4.2.28 で修正
CVE-2026-33034: ASGI Content-Length バイパスによるメモリ枯渇 → 6.0.4 / 5.2.13 / 4.2.30 で修正
CVE-2026-3902: ASGI ヘッダスプーフィング → 6.0.4 / 5.2.13 / 4.2.30 で修正
CVE-2025-64459 / CVE-2025-57833 / CVE-2025-59681: SQLインジェクション（カラムエイリアス、_connector）
CVE-2025-64458: Windows NFKC正規化によるDoS
CVE-2026-25673: URLField NFKC正規化によるDoS

Astro — define:vars XSS

Astroのサーバーサイドレンダリングで define:vars ディレクティブのサニタイズが不完全（大文字小文字、空白、/ の扱い）。6.1.6で修正済み。

JVN 日本語情報

本日のMyJVNデータでは新規の脆弱性対策情報はありませんでした。

まとめ

本日はCritical 3件、High 15件の47件。Adobe Commerce（CVE-2025-54236）がCISA KEVに追加されており、Magento利用者は最優先でパッチ適用を検討してください。AI/LLMツール関連では、ssh-mcp（コマンドインジェクション）、SmythOS（認証不備）、coze-studio（SQLインジェクション）、Ollama（パストラバーサル）と4製品で脆弱性が報告されています。MCPツール導入時はサプライチェーンリスクの評価が重要です。Tenda製ルーターにはF456で6件、FH1202で2件のバッファオーバーフローが集中しており、利用中の場合はファームウェア確認を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。