【セキュリティ日報】cPanel認証バイパスCVSS 9.8・MOVEit再び・Bitwarden供給網攻撃ほか200件

項目	優先度	対応	影響対象	クイックアクション
cPanel/WHM 認証バイパス CVE-2026-41940	high	対応必須	cPanel/WHM利用のホスティング環境	cPanelセキュリティアップデートを即時適用
MOVEit Automation 認証バイパス CVE-2026-4670	high	対応必須	MOVEit Automation利用者	2025.0.9 または 2024.1.8 以降へアップデート
Bitwarden CLI npmサプライチェーン攻撃 CVE-2026-42994	high	対応必須	Bitwarden CLIをnpm経由で利用するCI/CD環境	該当時間帯のインストール有無確認・再インストール
GeoVision GV-VMS スタックオーバーフロー CVE-2026-42369	high	対応必須	GeoVision GV-VMS V20利用者	最新ファームウェアを適用
Ollama ヒープ境界外読み取り CVE-2026-7482	high	対応必須	Ollama 0.17.1未満を外部公開している環境	Ollama 0.17.1以降へアップデート
Flowise Cypherインジェクション CVE-2026-41274	high	対応必須	Flowise 3.1.0未満利用者	Flowise 3.1.0以降へアップデート
NVIDIA NVFlare 認証バイパス CVE-2026-24178	high	対応必須	NVIDIA NVFlare Dashboard利用者	NVIDIAセキュリティアップデートを適用
Linux kernel nvmet-tcp 境界外書き込み CVE-2026-23112	high	対応必須	NVMe-oF TCPターゲット有効のLinuxサーバー	カーネルを最新安定版へアップデート

本日はNVDで200件のCVEが公開・更新され、うちCriticalが24件と非常に多い1日です。特にCVE-2026-41940（cPanel/WHM認証バイパス、CVSS 9.8）、CVE-2026-4670（MOVEit Automation認証バイパス、CVSS 9.8）、CVE-2026-42994（Bitwarden CLIサプライチェーン攻撃、CVSS 9.8）の3件は影響範囲が広く、早急な確認を推奨します。

本日の概要

指標	数値
新規・更新CVE	200件
Critical (9.0+)	24件
High (7.0-8.9)	60件
Medium (4.0-6.9)	95件
Low (0-3.9)	14件
未スコア	7件
OSV	0件
GHSA	0件

※ GeoVision製品群に集中的に10件以上、Linux kernelに7件のCritical/High脆弱性が含まれます。

Critical / High 脆弱性の詳細解説

CVE-2026-41940 — cPanel/WHM 認証バイパス

CVSSスコア: 9.8（Critical）
CWE: CWE-306（認証の欠如）
影響: cPanel/WHM バージョン11.40以降の全バージョン
概要: cPanel/WHMのログインフローに認証バイパスの脆弱性があり、未認証のリモート攻撃者がコントロールパネルに不正アクセス可能です。cPanelは世界中の共用ホスティングで広く使われており、影響範囲は極めて広大です。
対策: cPanelのセキュリティアップデートを即時適用してください
参考: NVD / cPanel Advisory

CVE-2026-4670 — MOVEit Automation 認証バイパス

CVSSスコア: 9.8（Critical）
CWE: CWE-305（認証バイパス）
影響: MOVEit Automation 2025.0.0〜2025.0.9未満、2024.0.0〜2024.1.8未満、2024.0.0より前のバージョン
概要: Progress Software MOVEit Automationにおける認証バイパスの脆弱性です。MOVEitは過去にCL0Pランサムウェアグループに標的にされた実績があり、同製品の脆弱性は迅速な対応が求められます。
対策: MOVEit Automation 2025.0.9 または 2024.1.8 以降へアップデートしてください
参考: NVD / Progress Advisory

CVE-2026-42994 — Bitwarden CLI npmサプライチェーン攻撃

CVSSスコア: 9.8（Critical）
CWE: CWE-78, CWE-94（コマンドインジェクション、コードインジェクション）
影響: Bitwarden CLI 2026.4.0（npm経由、2026-04-22T21:57Z〜23:30Z にダウンロードした場合）
概要: Checkmarxのサプライチェーンインシデントにより、npmで配布されたBitwarden CLI 2026.4.0に約90分間悪意あるコードが埋め込まれていました。該当時間帯にnpmからインストールした場合、任意コード実行のリスクがあります。
対策: 該当時間帯にインストールした場合はクリーンな環境で再インストールし、認証情報の漏洩確認を推奨
参考: NVD / Bitwarden Statement

CVE-2026-42369 — GeoVision GV-VMS スタックオーバーフロー

CVSSスコア: 10.0（Critical）
CWE: CWE-787（境界外書き込み）
影響: GeoVision GV-VMS V20（WebCam Server有効時）
概要: GV-VMSのWebCam ServerにおけるBase64デコード処理でスタックオーバーフローが発生します。ASLRが無効なバイナリであるため、SYSTEM権限でのコード実行に直結する脆弱性です。CVSSスコアは本日最高の10.0。
対策: GeoVisionの最新ファームウェアを適用してください
参考: NVD / GeoVision Security

CVE-2026-7482 — Ollama ヒープ境界外読み取り

CVSSスコア: 9.1（Critical）
CWE: CWE-125（境界外読み取り）
影響: Ollama 0.17.1 未満
概要: OllamaのGGUFモデルローダーにおいて、/api/createエンドポイントで攻撃者が細工したGGUFファイルを送信すると、ヒープバッファを超えて読み取りが発生します。環境変数、APIキー、他ユーザーの会話データが漏洩する可能性があります。
対策: Ollama 0.17.1 以降へアップデートしてください
参考: NVD / GitHub PR

CVE-2026-41274 — Flowise Cypherインジェクション

CVSSスコア: 9.8（Critical）
CWE: CWE-943（データクエリロジックの不適切な無害化）
影響: Flowise 3.1.0 未満
概要: FlowiseのGraphCypherQAChainノードでユーザー入力がサニタイズされずにNeo4jのCypherクエリに渡されます。データの窃取・改ざん・削除が可能です。
対策: Flowise 3.1.0 以降へアップデートしてください
参考: NVD / GHSA-28g4-38q8-3cwc

CVE-2026-24178 — NVIDIA NVFlare 認証バイパス

CVSSスコア: 9.8（Critical）
CWE: CWE-639（ユーザー制御キーによる認可バイパス）
影響: NVIDIA NVFlare Dashboard
概要: NVFlare Dashboardのユーザー管理・認証システムに脆弱性があり、未認証の攻撃者が権限昇格・データ改ざん・コード実行が可能です。連合学習基盤を運用している環境に影響します。
対策: NVIDIAのセキュリティアップデートを適用してください
参考: NVD / NVIDIA Advisory

CVE-2026-23112 — Linux kernel nvmet-tcp 境界外書き込み

CVSSスコア: 9.8（Critical）
CWE: CWE-787（境界外書き込み）
影響: Linux kernel（NVMe-oF TCP target有効環境）
概要: nvmet_tcp_build_pdu_iovec()でPDU長やオフセットがsg_cntを超える場合に配列外アクセスが発生し、GPFやKASANエラーを引き起こします。NVMe-oF TCPターゲットを有効にしているストレージサーバーに影響。
対策: カーネルを最新の安定版へアップデートしてください
参考: NVD

その他のCritical脆弱性

CVE-2026-42364 — GeoVision LPC2011/LPC2211 OSコマンドインジェクション（CVSS 9.9）
CVE-2026-42368 — GeoVision LPC2011/LPC2211 権限昇格（CVSS 9.9）
CVE-2026-39087 — ntfy 2.22.0未満 SSRF（CVSS 9.8）。正規表現のアンカー不備。
CVE-2026-43037 — Linux kernel ip6_tunnel スタックバッファオーバーフロー（CVSS 9.8）
CVE-2025-54236 — Adobe Commerce セッション乗っ取り（CVSS 9.1、CISA KEV）。前日から継続。
CVE-2026-7719 — Totolink WA300 バッファオーバーフロー（CVSS 9.8）

その他の注目High脆弱性

CVE-2026-24186 — NVIDIA FLARE SDK デシリアライゼーション（CVSS 8.8）。FOBS経由でコード実行。
CVE-2025-58074 — Norton Secure VPN インストール時の権限昇格（CVSS 8.8）
CVE-2026-36765 — SpringBlade XXE脆弱性（CVSS 8.8）
CVE-2026-7551 — HKUDS OpenHarness RCE（CVSS 8.8）

JVN 日本語情報

本日のMyJVNデータでは、該当する脆弱性対策情報はありませんでした。

まとめ

本日はCritical 24件を含む200件のCVEが公開・更新され、件数・深刻度ともに多い1日です。最優先で対応すべきはCVE-2026-41940（cPanel/WHM認証バイパス）です。cPanelベースの共用ホスティングを利用している場合はホスティング事業者のアナウンスを確認してください。CVE-2026-4670（MOVEit Automation）はMOVEit製品の脆弱性が過去に大規模な攻撃に利用された経緯があるため、利用環境がある場合は即座にパッチ適用を推奨します。

またCVE-2026-42994（Bitwarden CLIサプライチェーン）は影響時間帯が約90分と限定的ですが、CI/CDパイプラインでBitwarden CLIをnpm経由で利用している環境は該当時間帯のインストール有無を確認してください。AI関連ツールではOllama（CVE-2026-7482）にメモリ情報漏洩の脆弱性があり、外部公開しているインスタンスは早めの対応を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。