つみかさね

【セキュリティ日報】Veeam Backup RCE(CVSS 9.9)ほか171件

2026-05-11データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Veeam Backup & Replication RCE(ドメインユーザー)
CVE-2026-21669
KB4831を確認し修正バージョンへアップデート
high対応必須
Veeam Backup & Replication RCE(postgres)
CVE-2026-21708
KB4830/KB4831を確認し修正バージョンへアップデート
high対応必須
Spring AI SpELインジェクション
CVE-2026-22738
Spring AI 1.0.5 / 1.1.4へアップデート
high対応必須
Firefox/Thunderbird Use-after-free
CVE-2026-2786
Firefox 148 / ESR 140.8へアップデート
high対応必須
Adobe Commerce セッション乗っ取り(CISA KEV)
CVE-2025-54236
APSB25-88のセキュリティパッチを適用
high推奨
Chrome V8 境界外メモリアクセス
CVE-2026-7902
Chrome 148.0.7778.96以降へアップデート
high推奨
Apache CloudStack テンプレートRCE
CVE-2026-25077
v4.20.3.0 / v4.22.0.1へアップデート
high推奨
Spring AI Bedrock SSRF
CVE-2026-22742
Spring AIの修正バージョンへアップデート
high推奨
FreeBSD カーネル execve バッファオーバーフロー
CVE-2026-7270
FreeBSD-SA-26:13.execパッチを適用
high推奨
Claude for Windows DLLハイジャック
CVE-2026-22561
v1.1.3363以降を使用
CVENVD脆弱性VeeamSpring AIFirefoxChromeApache CloudStack

本日はNVDで171件のCVEが公開・更新され、うちCritical 14件、High 34件です。特にVeeam Backup & Replicationに対するCVSS 9.9のRCEが2件、Spring AIのSpELインジェクション(CVSS 9.8)、Firefox/ThunderbirdのUse-after-free(CVSS 9.8)が注目です。またAdobe CommerceのCISA KEV入り脆弱性(CVSS 9.1)も引き続き対応が必要です。

本日の概要

指標数値
NVD(公開・更新)171件
Critical (9.0+)14件
High (7.0-8.9)34件
Medium (4.0-6.9)85件
Low (0-3.9)15件
GHSA(変更あり)123件
OSV(新規・更新)0件

※ Critical 14件のうち6件はCVE-2021/2022年番のレガシーCVEが新規NVD登録されたものです。

Critical / High 脆弱性の詳細解説

Veeam Backup & Replication — Critical 3件 / High 3件

Veeam Backup & Replicationに対して複数の深刻な脆弱性が更新されています。バックアップ基盤が侵害されるとデータ復旧の最終防衛線が崩れるため、優先度の高い対応が必要です。

  • CVE-2026-21669 — 認証済みドメインユーザーからのRCE(CVSS 9.9)。CWE-94 コードインジェクション

  • CVE-2026-21708 — Backup ViewerからpostgresユーザーとしてRCE(CVSS 9.9)。CWE-89 SQLインジェクション

  • CVE-2026-21671 — HA構成でBackup Administratorからの RCE(CVSS 9.1)

  • CVE-2026-21668 — ドメインユーザーによるBackup Repository上の任意ファイル操作(CVSS 8.8)

  • CVE-2026-21672 — Windows環境でのローカル権限昇格(CVSS 8.8)

  • CVE-2026-21670 — SSHクレデンシャルの抽出(CVSS 7.7)

  • 対策: KB4830 / KB4831 を確認し、修正バージョンへアップデートしてください

CVE-2026-22738 — Spring AI SpELインジェクション

  • CVSSスコア: 9.8(Critical)
  • 影響: Spring AI 1.0.0〜1.0.4、1.1.0〜1.1.3
  • 概要: SimpleVectorStoreにおいて、ユーザー入力がフィルタ式のキーとして使われた場合にSpEL(Spring Expression Language)インジェクションが発生し、任意コード実行が可能です。AI/RAGアプリケーションでベクトルストアを利用する場合に影響があります。
  • 対策: Spring AI 1.0.5 または 1.1.4 へアップデートを推奨します
  • 参考: Spring Security

CVE-2026-2786 — Firefox / Thunderbird Use-after-free

  • CVSSスコア: 9.8(Critical)
  • 影響: Firefox 148未満、Firefox ESR 140.8未満、Thunderbird 148未満 / 140.8未満
  • 概要: JavaScriptエンジンコンポーネントにUse-after-free脆弱性があり、悪意のあるWebページを介したコード実行の可能性があります。
  • 対策: Firefox 148、Firefox ESR 140.8、Thunderbird 148 / 140.8 で修正済み。最新版へアップデートしてください
  • 参考: NVD / MFSA2026-13

CVE-2025-54236 — Adobe Commerce セッション乗っ取り(CISA KEV)

  • CVSSスコア: 9.1(Critical)
  • 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7 以前
  • 概要: 入力検証の不備により、認証なしでセッション乗っ取りが可能です。CISAのKnown Exploited Vulnerabilities(KEV)カタログに登録済みであり、実際の悪用が確認されています。
  • 対策: APSB25-88 を確認し、最新のセキュリティパッチを適用してください
  • 参考: NVD / CISA KEV

CVE-2026-7902 — Google Chrome V8 境界外メモリアクセス

  • CVSSスコア: 8.8(High)
  • 影響: Google Chrome 148.0.7778.96 未満
  • 概要: JavaScriptエンジンV8において境界外メモリアクセスがあり、細工されたHTMLページを介してサンドボックス内で任意コード実行が可能です。
  • 対策: Chrome 148.0.7778.96 以降へアップデートしてください
  • 参考: NVD / Chrome Releases

CVE-2026-25077 — Apache CloudStack テンプレート経由のRCE

  • CVSSスコア: 8.8(High)
  • 影響: Apache CloudStack 4.20.3.0 / 4.22.0.1 未満
  • 概要: KVMハイパーバイザー向けテンプレート登録時のファイル名サニタイズ不備により、悪意あるテンプレートでKVMホスト上の任意コード実行が可能です。
  • 対策: Apache CloudStack 4.20.3.0 または 4.22.0.1 以降へアップデートを推奨します
  • 参考: NVD / Apache ML

CVE-2026-22742 — Spring AI Bedrock SSRF

  • CVSSスコア: 8.6(High)
  • 影響: Spring AI(spring-ai-bedrock-converse)
  • 概要: BedrockProxyChatModelにおいて、マルチモーダルメッセージ処理時にユーザー指定のメディアURLに対するSSRF脆弱性があります。内部ネットワークへの不正リクエストが送信される可能性があります。
  • 対策: Spring AIの修正バージョンへアップデートしてください
  • 参考: Spring Security

CVE-2026-7270 — FreeBSD カーネル execve バッファオーバーフロー

  • CVSSスコア: 7.8(High)
  • 影響: FreeBSD
  • 概要: カーネルの演算子優先順位バグにより、execve(2)の引数バッファが隣接バッファを上書きし、ローカルからの権限昇格につながる可能性があります。
  • 対策: FreeBSD-SA-26:13.exec を確認し、セキュリティパッチを適用してください
  • 参考: NVD

CVE-2026-22561 — Anthropic Claude for Windows DLLハイジャック

  • CVSSスコア: 7.8(High)
  • 影響: Claude for Windows インストーラー 1.1.3363 未満
  • 概要: インストーラー(Claude Setup.exe)のDLL検索パスに不備があり、ローカル権限昇格が可能です。
  • 対策: Claude for Windows 1.1.3363 以降を使用してください
  • 参考: NVD / Anthropic Trust

その他の注目 High 脆弱性

  • CVE-2026-42605(8.8)— AzuraCast パストラバーサルによるRCE。v0.23.6で修正
  • CVE-2026-30587(8.7)— Seafile Server 複数のStored XSS。13.0.17 / 12.0.20-proで修正
  • CVE-2026-42562(8.3)— Plainpad 権限昇格。v1.1.1で修正
  • CVE-2026-4984(8.2)— Twilio Webhook署名未検証+SSRF
  • CVE-2026-4112(7.2)— SonicWall SMA1000 SQLインジェクション
  • CVE-2026-27880(7.5)— Grafana OpenFeature OOMクラッシュ

レガシーCVE一括登録(CVE-2021/2022年番)

本日はVulnCheckによるレガシー脆弱性のNVD一括登録が多数含まれています。WordPress関連のRCE/権限昇格(CVE-2021-47932〜47940等)やCMS脆弱性が中心です。これらは古いバージョンへの影響ですが、レガシーシステムを運用中の場合は確認を推奨します。

JVN 日本語情報

本日のMyJVNデータには該当する脆弱性対策情報がありませんでした。

まとめ

本日はCritical 14件のうち、Veeam Backup & Replicationの3件が最も深刻です。CVSS 9.9のRCEが2件あり、認証済みドメインユーザーからバックアップサーバーを完全に掌握される可能性があるため、該当環境では最優先で対応してください。Spring AIはSpELインジェクション(9.8)とSSRF(8.6)の2件があり、AI/RAGアプリケーション開発者は早めの確認を推奨します。ChromeFirefoxもそれぞれ修正版がリリースされていますので、ブラウザのアップデートも忘れずに。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。