NVDで200件のCVEが公開・更新され、うちCritical 8件、High 62件。WordPressプラグイン/テーマ系のCriticalが7件と大半を占めますが、CVE-2025-54236(Adobe Commerce、CISA KEV登録済み)が引き続き含まれています。インフラ寄りでは libxslt の型混同(CVE-2025-7424)、Samba の権限昇格(CVE-2020-25720)、ConnectWise ScreenConnect のパストラバーサル(CVE-2024-1708)がスコア更新されています。
本日の概要
| ソース | 更新件数 | Critical | High | Medium | Low/None |
|---|---|---|---|---|---|
| NVD | 200件 | 8件 | 62件 | 128件 | 2件 |
| OSV | 1件 | — | — | 1件 | — |
| GHSA | 0件 | — | — | — | — |
| MyJVN | 0件(※) | — | — | — | — |
※ MyJVNは「該当する脆弱性対策情報はありません」のステータス
Critical / High 脆弱性の詳細
CVE-2025-58963 — Medcity テーマ 任意ファイルアップロード
WordPress向けテーマ「Medcity」に危険なファイルタイプの無制限アップロード脆弱性。Webシェルの配置が可能で、サーバーの完全な乗っ取りにつながります。
- CVSSスコア: 10.0(Critical)
- CWE: CWE-434(危険なファイルタイプの無制限アップロード)
- 影響: Medcity 1.1.9 より前のバージョン
- 対策: 1.1.9 以降へアップデート
- 参考: NVD
CVE-2023-36529 / CVE-2024-25918 / CVE-2024-27972 — WordPress プラグイン CVSS 9.9 × 3件
Houzez CRM(SQLインジェクション)、InstaWP Connect(コードインジェクション)、WP Fusion Lite(コードインジェクション)の3件がいずれもCVSS 9.9でスコア更新されました。いずれも認証なしでリモートからの攻撃が可能です。
- CVSSスコア: 9.9(Critical)× 3件
- CWE: CWE-89 / CWE-94
- 影響: Houzez CRM ≤ 1.3.4、InstaWP Connect ≤ 0.1.0.8、WP Fusion Lite ≤ 3.41.24
- 対策: 各プラグインの最新版へアップデート
- 参考: NVD CVE-2023-36529 / NVD CVE-2024-25918 / NVD CVE-2024-27972
CVE-2025-54236 — Adobe Commerce セッションテイクオーバー(CISA KEV)
前日に引き続きスコア更新。Adobe Commerce(Magento)に入力検証不備によるセッションテイクオーバー脆弱性。CISA KEVに登録済みで実際の悪用が確認されています。
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
- 対策: Adobeセキュリティアップデート(APSB25-88)を適用
- 参考: NVD / Adobe Advisory
CVE-2024-1708 — ConnectWise ScreenConnect パストラバーサル
リモート管理ツール ConnectWise ScreenConnect 23.9.7 以前にパストラバーサル脆弱性。リモートコード実行や機密データへのアクセスにつながる可能性があります。広く利用されているツールのため注意が必要です。
- CVSSスコア: 8.4(High)
- CWE: CWE-22(パストラバーサル)
- 影響: ConnectWise ScreenConnect 23.9.7 以前
- 対策: 23.9.8 以降へアップデート
- 参考: NVD / ConnectWise Advisory
CVE-2025-49552 — Adobe Connect DOM-based XSS
Adobe Connect 12.9 以前にDOM-based XSS脆弱性。高権限の攻撃者がセッションテイクオーバーを達成する可能性があります。ユーザー操作が必要です。
- CVSSスコア: 8.1(High)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響: Adobe Connect 12.9 以前
- 対策: Adobe Connect の最新バージョンへアップデート
- 参考: NVD / Adobe Advisory
CVE-2025-7424 — libxslt 型混同によるDoS/メモリ破壊
libxsltライブラリで psvi フィールドがスタイルシートと入力データの両方に使われることによる型混同。アプリケーションのクラッシュやメモリ破壊につながる可能性があります。libxsltは多くのLinuxディストリビューションやアプリケーションで利用されるため、影響範囲が広い脆弱性です。
- CVSSスコア: 7.5(High)
- CWE: CWE-843(型混同)
- 影響: libxslt(修正版情報は Red Hat エラータ参照)
- 対策: ディストリビューションの提供する修正パッケージを適用
- 参考: NVD / Red Hat CVE / GitLab Issue
CVE-2020-25720 — Samba Active Directory 権限昇格
Samba において、委任管理者が Active Directory にオブジェクトを作成した際、ACL不在により「creator owner」として全属性への書き込み権限を保持してしまう問題。意図しない権限昇格につながる可能性があります。
- CVSSスコア: 7.5(High)
- CWE: CWE-266(不適切な権限割り当て)
- 影響: Samba(影響バージョンは Red Hat Bugzilla 参照)
- 対策: ディストリビューションの提供する修正パッケージを適用
- 参考: NVD / Red Hat CVE
CWE 傾向分析
本日の Critical + High(70件)で目立つ脆弱性タイプ:
| CWE | 件数 | 概要 |
|---|---|---|
| CWE-89 | 40件 | SQLインジェクション |
| CWE-79 | 9件 | クロスサイトスクリプティング(XSS) |
| CWE-862 | 5件 | 認可の欠如 |
| CWE-98 | 5件 | PHPリモートファイルインクルージョン |
| CWE-94 | 4件 | コードインジェクション |
SQLインジェクション(CWE-89)が40件と突出しており、そのほぼすべてがWordPressプラグインです。
エコシステム別サマリー
npm
OSVデータより、Astro にXSS脆弱性(CVE-2026-41067 / GHSA-j687-52p2-xcff)が報告されています。define:vars ディレクティブで <script> タグ内に値を注入する際のサニタイズが不完全で、大文字小文字の違いや空白を含むバリエーションでバイパスが可能です。
- 影響: astro 6.1.6 より前
- 対策: astro 6.1.6 以降へアップデート
- CVSSベクトル: CVSS:3.1/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N(Medium、推定6.1)
- 参考: GitHub Advisory
JVN 日本語情報
本日のMyJVNデータでは新規の脆弱性対策情報はありませんでした。
まとめ
本日はCritical 8件、High 62件の計200件。WordPress系のCriticalが7件と多く、SQLインジェクション(40件)が支配的です。インフラ/基盤系ではlibxsltの型混同(CVE-2025-7424)とSambaの権限昇格(CVE-2020-25720)がスコア更新されており、Linux環境の管理者は確認を推奨します。Adobe Commerce(CVE-2025-54236)は引き続きCISA KEV登録済みのため、Magento利用者は早急にAPSB25-88を適用してください。npm エコシステムでは Astro の XSS(CVE-2026-41067)が報告されており、define:vars を使用している場合は 6.1.6 へのアップデートを検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。