つみかさね

【セキュリティ日報】Rclone CVSS 9.8認証なしRCE&Linux kernel複数Critical ほか200件

2026-05-21データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Rclone 認証なしリモートコード実行
CVE-2026-41179
v1.73.5以降へアップデート
high対応必須
Linux kernel NFSv4.0 LOCKリプレイキャッシュ ヒープオーバーフロー
CVE-2026-31402
最新の安定版カーネルへアップデート
high対応必須
Linux kernel DVB-net ULE拡張ヘッダー OOBアクセス
CVE-2026-31405
最新の安定版カーネルへアップデート
high対応必須
SeppMail パストラバーサル経由RCE
CVE-2026-2743
最新バージョンへアップデート
high推奨
Kubernetes ingress-nginx 設定インジェクション
CVE-2026-4342
最新バージョンへアップデート、アノテーション使用の見直し
high推奨
Django GenericInlineModelAdmin 権限検証欠如
CVE-2026-4277
Django 4.2.30 / 5.2.14 / 6.0.5へアップデート
CVENVDRcloneLinuxKubernetesDjangoSvelte

本日のNVDデータセットは200件のCVEを収録し、うちCriticalが34件、Highが94件です。最も注目すべきはRclone(CVE-2026-41179、CVSS 9.8)の認証なしリモートコード実行脆弱性で、RC APIを公開している環境では即時対応が推奨されます。また、Linux kernelにCVSS 9.8の脆弱性が複数確認されており、Kubernetes ingress-nginx(CVE-2026-4342、CVSS 8.8)によるクラスタ全体のSecrets漏洩リスクも継続して注意が必要です。

本日の概要

指標数値
データセット収録CVE200件
Critical (9.0+)34件
High (7.0-8.9)94件
Medium (4.0-6.9)69件
Low (0.1-3.9)2件
影響エコシステムnpm, PyPI

Critical / High 脆弱性 詳細解説

CVE-2026-41179 — Rclone 認証なしリモートコード実行(CVSS 9.8)

  • CVSSスコア: 9.8(Critical)
  • CWE: CWE-78(OSコマンドインジェクション)、CWE-306(認証欠如)
  • 影響製品: Rclone v1.48.0以降 v1.73.5未満
  • 概要: RcloneのRC API(リモートコントロールサーバー)において、operations/fsinfoエンドポイントが認証なしに公開されており、攻撃者が制御するバックエンドをリモートからインスタンス化できる状態でした。WebDAVバックエンドではbearer_token_commandが初期化時に実行されるため、RC APIが外部に公開された環境では認証不要でローカルコマンドが実行される可能性があります。
  • 修正バージョン: v1.73.5
  • 参考: NVD / GitHub Release

CVE-2026-31402 — Linux kernel NFSv4.0 LOCKリプレイキャッシュ ヒープオーバーフロー(CVSS 9.8)

  • CVSSスコア: 9.8(Critical)
  • CWE: CWE-787(Out-of-bounds Write)
  • 影響製品: Linux kernel(複数バージョン)
  • 概要: NFSv4.0のLOCK操作のリプレイキャッシュに使用される固定112バイトのインラインバッファに対し、ロック競合時のオーナーフィールドが最大1024バイトになる可能性があります。大きなオーナー文字列を持つロック競合が発生した場合、最大944バイトのスラブ境界外書き込みが起きます。2つの協調するNFSv4.0クライアントによりリモートから無認証で引き起こせます。
  • 修正: カーネルパッチで修正済み(git.kernel.org参照)
  • 参考: NVD

CVE-2026-31405 — Linux kernel DVB-net ULE拡張ヘッダー OOBアクセス(CVSS 9.8)

  • CVSSスコア: 9.8(Critical)
  • CWE: CWE-125(Out-of-bounds Read)
  • 影響製品: Linux kernel(複数バージョン)
  • 概要: DVBネットワーク機能のhandle_one_ule_extension()において、ULE拡張ヘッダーテーブルのインデックスhtypeがネットワーク制御データから導出されます(ule_sndu_type & 0x00FF、範囲0-255)。テーブルは0-254の255要素のため、htypeが255の場合に境界外読み取りが発生し、OOB値が関数ポインタとして呼び出される可能性があります。
  • 修正: 境界チェック追加により修正済み
  • 参考: NVD

CVE-2026-2743 — SeppMail セキュアEメールゲートウェイ パストラバーサル経由RCE(CVSS 9.8)

  • CVSSスコア: 9.8(Critical)
  • CWE: CWE-22(パストラバーサル)、CWE-434(危険なファイルアップロード)
  • 影響製品: SeppMail 15.0.2.1以前
  • 概要: SeppMailのユーザーWebインターフェースにおける大容量ファイル転送(LFT)機能に、パストラバーサルを介した任意ファイル書き込みからリモートコード実行が可能な脆弱性が存在します。セキュリティ製品自体に深刻な脆弱性が見つかっている点で注意が必要です。
  • 修正バージョン: v15.0以降(リリースノート参照)
  • 参考: NVD

CVE-2026-24352 — PluXml CMS セッション固定(CVSS 9.8)

  • CVSSスコア: 9.8(Critical)
  • CWE: CWE-384(セッション固定)
  • 影響製品: PluXml CMS 5.8.21、5.9.0-rc7(他バージョンも影響の可能性あり)
  • 概要: PluXml CMSでは、認証前にセッションIDを設定でき、認証後もそのIDが変わらない挙動があります。攻撃者がセッションIDを被害者に固定(Session Fixation)し、認証後のセッションを乗っ取ることが可能です。ベンダーは未対応のため回避策の適用が必要です。
  • 参考: NVD

CVE-2026-4342 — Kubernetes ingress-nginx 設定インジェクション(CVSS 8.8)

  • CVSSスコア: 8.8(High)
  • CWE: CWE-20(不適切な入力検証)
  • 影響製品: Kubernetes ingress-nginx(複数バージョン)
  • 概要: Ingressアノテーションの組み合わせによってnginx設定にインジェクションが可能で、ingress-nginxコントローラーのコンテキストで任意コードが実行される可能性があります。デフォルトインストールではコントローラーがクラスタ全体のSecretsにアクセスできるため、機密情報が漏洩するリスクがあります。Kubernetesクラスタ管理者は使用中のアノテーションの見直しを推奨します。
  • 参考: NVD / GitHub Issue #137893

CVE-2026-35091 — Corosync リモート認証なしサービス停止(CVSS 8.2)

  • CVSSスコア: 8.2(High)
  • 影響製品: Corosync(クラスタリングソフトウェア)
  • 概要: Corosyncにおいて、リモートの認証されていない攻撃者が誤った戻り値の検証を悪用してサービス停止(DoS)を引き起こすことが可能です。HAクラスタ環境を運用しているインフラエンジニアは影響確認を推奨します。
  • 参考: NVD

CVE-2026-41113 — sagredo qmail TLS終了処理でのRCE(CVSS 8.1)

  • CVSSスコア: 8.1(High)
  • 影響製品: sagredo qmail 2026-04-07未満
  • 概要: TLS接続の終了処理(tls_quit)でnotlshostsに対してpopenを使用していることが原因で、リモートコード実行が可能な脆弱性が存在します。qmailを利用しているメールサーバー管理者は確認を推奨します。
  • 修正バージョン: 2026-04-07以降のバージョン
  • 参考: NVD

エコシステム別サマリー

OSVデータでは74件の脆弱性が収録されており、PyPI 55件、npm 19件の内訳となっています。

PyPI — Django に複数のセキュリティ修正

Django 4.2.x・5.2.x・6.0.x に複数の脆弱性が修正されています。最新バージョン(4.2.30 / 5.2.14 / 6.0.5)への更新が推奨されます。

CVE ID内容CVSSスコア目安
CVE-2026-4277GenericInlineModelAdminでの権限検証欠如(forged POST で新インスタンス作成可能)High
CVE-2026-35192セッション非更新時のVaryヘッダー不備によるセッション盗取リスクMedium
CVE-2026-6907UpdateCacheMiddlewareがVary: *リクエストをキャッシュ→プライベートデータ漏洩Low
CVE-2026-5766ASGIリクエストのContent-Length欠如で大容量ファイルがメモリに展開Low
CVE-2026-3902ASGIリクエストでのヘッダースプーフィング(ハイフン/アンダースコア混在)Medium
CVE-2026-33034HttpRequest.bodyDATA_UPLOAD_MAX_MEMORY_SIZE制限バイパスMedium
CVE-2026-33033Base64 Content-Transfer-Encodingを使った過剰な空白によるDoSMedium
CVE-2026-1312QuerySet.order_by()のカラムエイリアスにSQLインジェクションMedium

npm — Svelte XSS(GHSA-f3cj-j4f6-wq85)

Svelteの実験的機能hydratableにおいて、SSR(サーバーサイドレンダリング)環境でPromiseを含む値が不適切にシリアライズされた場合にXSSが発生する可能性があります。同期値の後にPromise値を渡すケースで影響を受けます。v5.55.7で修正済みです。

JVN 日本語情報

JVNDB-2026-000076 — Movable Type 権限チェックの欠如(CVE-2026-44392)

  • CVSSスコア: 4.3(Medium)
  • 影響製品: シックス・アパート株式会社 Movable Type
  • 概要: Movable Typeに権限チェックの欠如(CWE-862)の脆弱性が確認されました。JPCERT/CCが開発者との調整を経て2026年5月20日に公開しました。
  • 参考: JVN

まとめ

本日はRclone(CVE-2026-41179、CVSS 9.8)の認証なしRCEが最も深刻です。rclone rcd(RC APIサーバー)をHTTP認証なしで外部公開している環境では、即時のv1.73.5へのアップデートを推奨します。また、Linux kernelの複数CVSS 9.8脆弱性(NFSv4.0ヒープオーバーフロー、DVB-net OOBアクセス等)が確認されており、NFSサーバーを運用しているチームはパッチ適用状況の確認が必要です。

Kubernetes環境ではCVE-2026-4342(ingress-nginx、CVSS 8.8)によるSecrets漏洩リスクに継続して注意してください。OSVデータではDjangoに8件の脆弱性が集中しており、4.2.x/5.2.x/6.0.xを利用しているチームは最新版への更新を検討してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。