【セキュリティ日報】Azure DevOps情報漏えいCVSS 10.0ほか252件

本日はNVDで252件のCVEが公開・更新され、うちCritical 48件、High 76件と深刻度の高い脆弱性が多数含まれています。特にAzure DevOpsの情報漏えい（CVSS 10.0）、CISA KEV入りのLiteLLM SQLインジェクション（CVSS 9.8）、Firefox/Thunderbirdの複数脆弱性（CVSS 9.8）が注目です。OSVからはAngular・Astro・NestJSのnpm脆弱性3件も報告されています。

本日の概要

※ NVD 252件のうち約39件はLinux kernelのセキュリティパッチです。

Critical / High 脆弱性の詳細解説

CVE-2026-42826 — Azure DevOps 情報漏えい

• CVSSスコア: 10.0（Critical）
• 影響: Azure DevOps
• 概要: Azure DevOpsにおいて、認証なしでネットワーク経由の機密情報漏えいが可能な脆弱性です。CVSSスコアが最大値の10.0であり、攻撃条件の複雑さも低いため、即時対応が必要です。
• 対策: Microsoftのセキュリティ更新ガイドを確認し、修正を適用してください
• 参考: NVD / MSRC

CVE-2026-42208 — LiteLLM SQLインジェクション（CISA KEV）

• CVSSスコア: 9.8（Critical）
• 影響: LiteLLM 1.81.16 〜 1.83.7 未満
• 概要: AIゲートウェイプロキシLiteLLMにおいて、APIキー検証時のデータベースクエリにSQLインジェクション脆弱性があります。認証ヘッダに細工した値を送るだけでデータベースの読み取り・改ざんが可能です。CISAのKnown Exploited Vulnerabilities（KEV）カタログに追加されており、実際の悪用が確認されています。
• 対策: LiteLLM v1.83.7-stable へ即時アップデートを推奨します
• 参考: NVD / GHSA / CISA KEV

Firefox / Thunderbird — Critical 2件

Mozilla Firefox および Thunderbird で深刻な脆弱性が2件修正されています。

• CVE-2026-8091 — Audio/Video Playback コンポーネントの境界条件不備（CVSS 9.8）。Firefox 150、Firefox ESR 140.10.1 / 115.35.2、Thunderbird 150 / 140.10.1 で修正
• CVE-2026-8094 — WebRTC コンポーネントの脆弱性（CVSS 9.8）。Firefox ESR 140.10.2、Thunderbird 140.10.2 で修正

ブラウザは攻撃対象となりやすいため、早急なアップデートを推奨します。

CVE-2026-42298 — Postiz CI/CDパイプラインでの任意コード実行

• CVSSスコア: 10.0（Critical）
• 影響: Postiz（コミット da44801 未満）
• 概要: AIソーシャルメディアスケジューリングツールPostizのGitHub Actions CI/CDワークフローに「Pwn Request」脆弱性があり、フォークからのPRでDockerビルドプロセス中に任意コードの実行とwrite-all権限のGITHUB_TOKENの窃取が可能です。
• 対策: コミット da44801 以降へアップデートしてください
• 参考: NVD / GHSA

CVE-2026-33109 — Azure Managed Instance for Apache Cassandra コード実行

• CVSSスコア: 9.9（Critical）
• 影響: Azure Managed Instance for Apache Cassandra
• 概要: アクセス制御の不備により、認可されたユーザーがネットワーク経由でコード実行可能な脆弱性です。
• 対策: Microsoftのセキュリティ更新ガイドを確認してください
• 参考: NVD / MSRC

CVE-2026-33823 — Microsoft Teams 情報漏えい

• CVSSスコア: 9.6（Critical）
• 影響: Microsoft Teams
• 概要: Microsoft Teamsにおける認可の不備により、認可されたユーザーがネットワーク経由で情報を漏えいできる脆弱性です。広範な利用者に影響する可能性があります。
• 対策: Microsoftのセキュリティ更新ガイドを確認してください
• 参考: NVD / MSRC

CVE-2026-25199 — Apache CloudStack Proxmox拡張 不正アクセス

• CVSSスコア: 9.1（Critical）
• 影響: Apache CloudStack 4.21.0.0 〜 4.22.0.0
• 概要: CloudStackのProxmox拡張機能において、ユーザーが編集可能なインスタンス設定（proxmox_vmid）のテナント所有権検証が不十分なため、他テナントのVMへのクロステナント不正アクセスが可能です。VMの起動・停止・破棄を含む完全な制御権が奪取される可能性があります。
• 対策: Apache CloudStack 4.22.0.1 へアップデート。回避策として user.vm.denied.details に proxmox_vmid を追加
• 参考: NVD

CVE-2026-42354 — Sentry SAML SSOアカウント乗っ取り

• CVSSスコア: 9.1（Critical）
• 影響: Sentry 21.12.0 〜 26.4.1 未満
• 概要: エラー追跡ツールSentryのSAML SSO実装に脆弱性があり、悪意のあるSAML IdPを使用して同一Sentryインスタンス上の任意のユーザーアカウントを乗っ取ることが可能です。被害者のメールアドレスが既知であることが条件です。
• 対策: Sentry 26.4.1 以降へアップデートしてください
• 参考: NVD / GHSA

CVE-2026-42215 — GitPython コマンド実行

• CVSSスコア: 8.8（High）
• 影響: GitPython 3.1.30 〜 3.1.47 未満
• 概要: GitPythonは--upload-pack等の危険なGitオプションをブロックしますが、Pythonのkwargs（upload_pack）経由では同じチェックがバイパスされます。攻撃者制御のkwargsがRepo.clone_from()等に渡されると、allow_unsafe_options=Falseでも任意コマンド実行が可能です。
• 対策: GitPython 3.1.47 以降へアップデートしてください
• 参考: NVD / GHSA

CVE-2026-39816 — Apache NiFi 権限昇格

• CVSSスコア: 8.8（High）
• 影響: Apache NiFi 2.0.0-M1 〜 2.8.0
• 概要: オプションのTinkerpopClientServiceコンポーネントにRestricted アノテーションが欠落しており、Execute Code権限を持たないユーザーがGroovyスクリプトを実行できるサービスを構成可能です。細粒度認可を使用するインストール環境が対象です。
• 対策: Apache NiFi 2.9.0 へアップデートを推奨します
• 参考: NVD

エコシステム別サマリー

npm（OSV: 3件）

GHSA注目（NVD未収録分）

• CVE-2026-41705 — Spring Frameworkに脆弱性（HIGH）。Spring公式を確認してください
• CVE-2026-6664 / 6665 — PgBouncer に複数の脆弱性（HIGH）。PgBouncer 1.25.x Changelogで修正済み
• CVE-2026-44028 — Nix/Lix 符号なし整数オーバーフロー（CVSS 7.5）。ローカル権限昇格の可能性

JVN 日本語情報

本日のMyJVNデータには該当する脆弱性対策情報がありませんでした。

まとめ

本日はCritical 48件と量が多く、特にAzure DevOps（CVSS 10.0）とLiteLLM（CVSS 9.8、CISA KEV入り）は対応の優先度が非常に高いです。Azure DevOpsは利用者が多く、LiteLLMはAIアプリ開発で急速に普及しているため影響範囲が広いと考えられます。Firefox/Thunderbirdも2件のCriticalが修正されており、ブラウザのアップデートも忘れずに確認してください。Apache CloudStackのクロステナント不正アクセス、SentryのSAML SSO乗っ取りも、該当ユーザーは早めの確認を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。