本日のNVDデータセットは200件のCVEを収録し、うちCriticalが24件、Highが59件です。注目すべきはFirefox(CVE-2026-8401、CVSS 9.8)のサンドボックス脱出と、Google Chrome 148.0.7778.168への20件超の一括修正です。また、AIツールOllama for Windowsやnpmパッケージのsimple-gitにCVSS 9.8の脆弱性が確認されており、開発者・インフラエンジニアへの影響範囲が広い日となっています。
本日の概要
| 指標 | 数値 |
|---|---|
| データセット収録CVE | 200件 |
| Critical (9.0+) | 24件 |
| High (7.0-8.9) | 59件 |
| Medium (4.0-6.9) | 58件 |
| Low (0.1-3.9) | 12件 |
| 影響エコシステム | npm, PyPI |
Critical / High 脆弱性 詳細解説
CVE-2026-42369 — GV-VMS V20 スタックバッファオーバーフロー(CVSS 10.0)
- CVSSスコア: 10.0(Critical)
- CWE: CWE-787(Out-of-bounds Write)
- 影響製品: GeoVision GV-VMS V20(映像監視ソフトウェア)
- 概要: WebCamサーバー機能を有効にした状態でリモートアクセスを許可している環境において、HTTP Authorizationヘッダーを介してBase64デコード後の文字列をスタック変数(256バイト)に境界チェックなしでコピーする処理に脆弱性があります。ASLRが無効なため悪用が容易であり、SYSTEMとしての任意コード実行が可能です。
- 修正: ベンダーセキュリティページを参照( GeoVision Security )
CVE-2026-8401 — Firefox サンドボックス脱出(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-693
- 影響製品: Firefox 150.0.3未満、Firefox ESR 115.36未満、Firefox ESR 140.11未満
- 概要: プロファイルバックアップコンポーネントにサンドボックス脱出の脆弱性があります。広く利用されているブラウザへの影響のため、早急なアップデートが推奨されます。
- 修正バージョン: Firefox 150.0.3、Firefox ESR 115.36、Firefox ESR 140.11
- 参考: Mozilla MFSA2026-45
Google Chrome 148.0.7778.168 — 大型セキュリティアップデート(CVE-2026-8511 ほか20件超)
- 最高CVSSスコア: 9.6(CVE-2026-8511)
- 影響製品: Google Chrome 148.0.7778.168未満(全プラットフォーム)
- 概要: 2026年5月14日公開のChrome更新で、20件を超えるセキュリティ修正が含まれています。
| CVE ID | コンポーネント | 種別 | CVSS |
|---|---|---|---|
| CVE-2026-8511 | UI | Use After Free(サンドボックス脱出) | 9.6 |
| CVE-2026-8509 | WebML | ヒープバッファオーバーフロー | 8.8 |
| CVE-2026-8518 | Blink | Use After Free | 8.8 |
| CVE-2026-8524 | WebAudio | Out of Bounds Write | 8.8 |
| CVE-2026-8526 | WebRTC | Out of Bounds Write | 8.8 |
| CVE-2026-8527 | Downloads | 不十分な入力検証 | 8.8 |
| CVE-2026-8529 | Codecs | ヒープバッファオーバーフロー | 8.8 |
| CVE-2026-8540 | V8 | Type Confusion | 8.8 |
| CVE-2026-8544 | Media | Use After Free | 8.8 |
| CVE-2026-8551 | Downloads | Use After Free | 8.8 |
| CVE-2026-8532 | XML | 整数オーバーフロー | 8.8 |
他多数含む。すべて 148.0.7778.168 で修正済み。
- 参考: Chrome Releases
CVE-2026-6951 — simple-git(npm)リモートコード実行(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-94
- 影響製品: simple-git 3.36.0未満(npm)
- 概要: CVE-2022-25912 の不完全な修正により、
-cオプションの制限はあるが--config形式は制限されていませんでした。untrustedな入力がsimple-gitのオプションに到達できる場合、protocol.ext.allow=alwaysを設定してext::形式のcloneソースを使用することで任意コード実行が可能です。 - 修正バージョン: simple-git 3.36.0以降
- 参考: Snyk Advisory
CVE-2026-42248 / CVE-2026-42249 — Ollama for Windows 更新機構の脆弱性(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-494(CVE-2026-42248)、CWE-22+CWE-494(CVE-2026-42249)
- 影響製品: Ollama for Windows 0.12.10〜0.17.5(他バージョンも影響の可能性)
- 概要:
- CVE-2026-42248: Windows版Ollamaは更新実行ファイルのデジタル署名検証を行わず、悪意ある実行ファイルが自動更新として受け入れられます。
- CVE-2026-42249: HTTPレスポンスヘッダーの値をパス検証なしで
filepath.Joinに渡すため、パストラバーサルによって任意の場所に実行ファイルを書き込めます(Windowsスタートアップディレクトリへの書き込みも可能)。サイレント自動更新と組み合わさると、ユーザー操作なしでの持続的コード実行が可能です。
- 修正: ベンダーより現時点で応答なし。利用中の場合は自動更新の無効化を検討してください。
- 参考: CERT.PL Advisory
CVE-2026-42257 / CVE-2026-42258 — Ruby Net::IMAP CRLFインジェクション(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-77、CWE-93
- 影響製品: net-imap gem 0.4.24未満、0.5.14未満、0.6.4未満
- 概要: IMAPクライアントライブラリNet::IMAPの複数コマンドで、ユーザー制御入力を検証・エスケープせずサーバーに送信します。CRLF文字を含む入力により、任意のIMAPコマンドを注入できます(IMAP Command Injection)。Symbolを引数に渡す場合も同様の脆弱性があります(CVE-2026-42258)。
- 修正バージョン: net-imap 0.4.24、0.5.14、0.6.4
- 参考: GitHub Advisory GHSA-hm49-wcqc-g2xg
CVE-2026-44343 — WGDashboard(WireGuard VPN)未認証ファイルシステムアクセス(CVSS 9.8)
- CVSSスコア: 9.8(Critical)
- CWE: CWE-20
- 影響製品: WGDashboard 4.3.2未満
- 概要: WireGuard VPN管理ダッシュボードのWGDashboardに、認証なしでホストファイルシステムへアクセスできる脆弱性があります。悪用されると、VPNサーバー上の任意ファイルへの読み取りが可能になります。
- 修正バージョン: WGDashboard 4.3.2
- 参考: GitHub Advisory GHSA-rrf5-q4fp-qvgm
CVE-2026-44513 / CVE-2026-44827 — HuggingFace Diffusers trust_remote_codeバイパス(CVSS 8.8)
- CVSSスコア: 8.8(High)
- CWE: CWE-94
- 影響製品: HuggingFace diffusers 0.38.0未満
- 概要:
DiffusionPipeline.from_pretrained()でtrust_remote_code=False(デフォルト)を指定していても、複数の経路でリモートコードが実行される脆弱性があります。ローカルスナップショットから読み込む場合にダウンロードゲートをバイパスするケースや、custom_pipeline=Noneが"None.py"として解釈される問題が含まれます(CVE-2026-44827)。Hugging Hubから悪意あるモデルを読み込むだけで任意コードが実行されます。 - 修正バージョン: diffusers 0.38.0
- 参考: GitHub Advisory GHSA-98h9-4798-4q5v
エコシステム別サマリー
OSVデータには npm 19件、PyPI 18件 の脆弱性情報が含まれています。
npm(19件)
- svelte — SSR XSSアドバイザリ(GHSA-f3cj-j4f6-wq85)。
hydratable実験機能利用時にPromiseのシリアライズ不備でXSS。修正: svelte 5.55.7 - next — Next.js Server Componentsへの細工されたリクエストによるDoS(CVE-2026-23870)。修正: 15.5.16 / 16.2.5
- simple-git — RCE(CVE-2026-6951、上記参照)
- nuxt —
navigateTo()での反射型XSS(CVE-2026-45669)。修正: nuxt 3.21.6 / 4.4.6 - deephas — prototype pollution(CVE-2020-28271、CVSS 9.8)。
<1.0.6で修正済み
PyPI(18件)
- diffusers(HuggingFace) — RCEバイパス(CVE-2026-44513/44827、上記参照)
- ray — Parquetファイル読み込み時のRCE(CVE-2026-41486、CVSS 8.8)。修正: ray 2.55.0
- twisted — DNS名解凍時のDoS(CVE-2026-42304、CVSS 7.5)。修正: twisted 26.4.0rc2
- django — 古いバージョンへのSQLi / XSS / CSRF(複数CVE、修正済みバージョン多数)
JVN 日本語情報
本日のMyJVNデータには該当する脆弱性対策情報がありません。
まとめ
本日は広く使われているブラウザ(Firefox、Chrome)のメジャーアップデートが重なり、合計20件超の高深刻度修正が公開されました。特にFirefox ESRを業務端末で利用している環境は、影響バージョンの確認と速やかなアップデートを推奨します。
開発者向けでは、npmのsimple-git(CVSS 9.8)、Rubyのnet-imapライブラリ(CVSS 9.8)、AIツールのOllama for Windows(CVSS 9.8)およびHuggingFace Diffusers(CVSS 8.8)に深刻な脆弱性が確認されています。CI/CDパイプラインや開発環境でこれらのツールを使用している場合は、影響バージョンを確認してアップデートの適用を検討してください。Ollama for Windowsについてはベンダー対応が未確定のため、自動更新の無効化等の回避策も選択肢に入ります。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。