本日はNVDで489件のCVEが公開・更新され、うちCriticalが49件、Highが71件と多めの構成です。Azure Local(CVSS 10.0)の認証不備、Axios(CVSS 9.9)のSSRF脆弱性、Langflowへの未認証RCEなど、広く使われるソフトウェアへの影響が目立ちます。OSVおよびMyJVNの当日データは0件でした。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 489件 |
| Critical (9.0+) | 49件 |
| High (7.0-8.9) | 71件 |
| Medium (4.0-6.9) | 72件 |
| Low (0-3.9) | 5件 |
| 影響エコシステム | NuGet, Go, npm, Maven, PyPI, crates.io |
Critical / High 脆弱性の詳細解説
CVE-2026-42822 — Azure Local 認証不備による権限昇格(CVSS 10.0)
- CVSSスコア: 10.0 (CRITICAL)
- CWE: CWE-287(不適切な認証)
- 影響ソフトウェア: Azure Local Disconnected Operations
- 公開日: 2026年5月18日
Azure Local の Disconnected Operations コンポーネントに認証の不備があり、認証されていない攻撃者がネットワーク経由で特権昇格を行える状態です。CVSSスコアが満点の10.0であり、今日のデータ全体で最も深刻な脆弱性です。
修正パッチはMicrosoftから提供されています。Azure Localを利用している環境はMicrosoft Security Response Center(MSRC)の情報を確認し、速やかに適用してください。
関連リンク:
CVE-2025-62718 — Axios NO_PROXY バイパスによるSSRF(CVSS 9.9)
- CVSSスコア: 9.9 (CRITICAL)
- CWE: CWE-441(意図しないプロキシ転送)、CWE-918(SSRF)
- 影響ソフトウェア: axios < 1.15.0、axios < 0.31.0
- 公開日: 2026年4月9日
Node.js向けHTTPクライアント「Axios」において、NO_PROXY設定の評価に不備があります。localhost.(末尾ドット付き)や[::1](IPv6リテラル)といった特殊な形式でループバックアドレスを指定するとNO_PROXYマッチングをスキップしてしまい、設定したプロキシを経由したSSRF攻撃が成立する可能性があります。
Node.jsやフロントエンドで広く利用されているライブラリのため、影響範囲は広いと考えられます。axios@1.15.0またはaxios@0.31.0以降へのアップデートを推奨します。
関連リンク:
CVE-2026-33017 — Langflow 未認証リモートコード実行(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- CWE: CWE-94(コードインジェクション)、CWE-95、CWE-306(認証欠如)
- 影響ソフトウェア: Langflow < 1.9.0
- 公開日: 2026年3月20日
AIエージェント構築ツールの「Langflow」に、認証なしでリモートコード実行が可能な脆弱性が存在します。POST /api/v1/build_public_tmp/{flow_id}/flowエンドポイントは公開フロー用として認証なしで設計されていますが、dataパラメータに任意のPythonコードを含むフローデータを渡すと、サンドボックスなしでexec()により実行されます。
Langflow 1.9.0で修正済みです。自己ホストしているインスタンスは速やかにアップデートしてください。
関連リンク:
CVE-2026-41889 — pgx(Go PostgreSQLドライバ)SQLインジェクション(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- CWE: CWE-89(SQLインジェクション)
- 影響ソフトウェア: pgx < 5.9.2
- 公開日: 2026年5月8日
Go言語のPostgreSQLドライバ「pgx」において、デフォルトではないシンプルプロトコルを利用している場合にSQLインジェクションが成立する条件があります。ドル引用符リテラルを含むクエリで、そのリテラル内のテキストがプレースホルダとして解釈される場合に攻撃者が制御可能な値を注入できます。
pgx v5.9.2で修正済みです。シンプルプロトコルを使用しているGoアプリケーションは影響を受ける可能性があります。
関連リンク:
CVE-2026-44484 — PyTorch Lightning クレデンシャル収集機構(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- CWE: CWE-506(組み込まれた悪意あるコード)
- 影響ソフトウェア: pytorch-lightning 2.6.2
- 公開日: 2026年5月14日
機械学習フレームワーク「PyTorch Lightning」のバージョン2.6.2にクレデンシャル収集機構と判断される機能が含まれていることが確認されました。GitHubのセキュリティアドバイザリでは「Compromise of PyTorch Lightning PyPi Package Versions」として公開されており、サプライチェーン攻撃の可能性があります。
このバージョンを使用している場合は、安全が確認されたバージョンへの移行を検討してください。
関連リンク:
CVE-2026-43402 — Linux カーネル kthread use-after-free(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- CWE: CWE-416(解放後使用)
- 影響ソフトウェア: Linux カーネル(特定バージョン)
- 公開日: 2026年5月8日
Linuxカーネルのkthreadサブシステムに解放後使用(use-after-free)の脆弱性があります。make_task_dead()経由でkthreadが終了する場合にkthread_exit()をバイパスし、affinity_nodeのクリーンアップが行われないため、解放済みメモリへのダングリングポインタが残ります。後続のkthreadがリストを削除する際にこの解放済みメモリに書き込むことで、PIDのrcu.funcポインタが破壊される可能性があります。
安定版カーネルへのパッチが提供されています。
関連リンク:
CVE-2026-2587 — Glassfish サーバーサイドテンプレートインジェクションRCE(CVSS 9.6)
- CVSSスコア: 9.6 (CRITICAL)
- CWE: CWE-917(サーバーサイドテンプレートインジェクション)
- 影響ソフトウェア: Eclipse Glassfish(特定バージョン)
- 公開日: 2026年5月19日
Glassfishのガジェットハンドラで使用されるサーバーサイドテンプレートレンダリング機構にRCE脆弱性が確認されました。.xmlファイルを処理する際に攻撃者が制御可能な式を評価することで、任意コード実行が可能になります。
関連リンク:
CVE-2026-23941 — Erlang OTP HTTPリクエストスマグリング(CVSS 9.4)
- CVSSスコア: 9.4 (CRITICAL)
- CWE: CWE-444(HTTPリクエストの不整合な解釈)
- 影響ソフトウェア: Erlang OTP inets httpd モジュール
- 公開日: 2026年3月13日
Erlang OTPのinets httpdモジュールにHTTPリクエストスマグリング脆弱性があります。フロントエンドプロキシとバックエンド間でのHTTPリクエスト解釈の不整合を利用し、リクエストの境界を混乱させることで意図しない挙動を引き起こす可能性があります。
OTPの修正済みバージョンへのアップデートを推奨します。
関連リンク:
CVE-2026-42266 — JupyterLab 拡張機能インストールバイパス(CVSS 8.8)
- CVSSスコア: 8.8 (HIGH)
- CWE: CWE-88、CWE-602
- 影響ソフトウェア: JupyterLab 4.0.0 〜 4.5.6
- 公開日: 2026年5月13日
JupyterLabでインストール可能な拡張機能の許可リストが、4.0.0から4.5.6のバージョンでバイパス可能な状態でした。JupyterLab v4.5.7で修正されています。JupyterLabを使用している環境は最新バージョンへのアップデートを検討してください。
関連リンク:
CVE-2026-8587 — Google Chrome for Mac 解放後使用(CVSS 8.8)
- CVSSスコア: 8.8 (HIGH)
- CWE: CWE-416(解放後使用)
- 影響ソフトウェア: Google Chrome for Mac < 148.0.7778.168
- 公開日: 2026年5月14日
macOS向けGoogle ChromeのExtensionsコンポーネントに解放後使用の脆弱性があります。悪意のある拡張機能を経由して任意コード実行が可能になる可能性があります。Chrome 148.0.7778.168以降に更新することで修正されます。
関連リンク:
エコシステム別サマリー
GitHub Advisory Database(GHSA)の更新データ(2,188件)から、エコシステム別の分布は以下の通りです。本日はOSVデータに新規脆弱性はありませんでした。
| エコシステム | 更新アドバイザリ件数 |
|---|---|
| NuGet | 336件 |
| npm | 267件 |
| Go | 216件 |
| Maven | 206件 |
| PyPI | 190件 |
| Packagist | 77件 |
| crates.io | 48件 |
| RubyGems | 22件 |
| GitHub Actions | 2件 |
GHSAの更新の多くは過去のアドバイザリへのメタデータ更新を含みます。本日の新規CVEとして注目すべきはnpm(Axios)、PyPI(PyTorch Lightning)、Go(pgx)です。
JVN 日本語情報
本日(2026年5月22日)のMyJVNデータには、該当する脆弱性対策情報はありませんでした。
まとめ
本日の注目ポイントは大きく3点です。まず、Azure Local(CVSS 10.0)およびAxios(CVSS 9.9)の高スコア脆弱性はいずれも早急な対応が求められます。特にAxiosはNode.jsエコシステムで非常に広く使われており、1.15.0未満を使用しているプロジェクトはアップデートの優先度を高めてください。
次に、AIツールチェーンへの影響です。LangflowのRCE(CVE-2026-33017)、PyTorch Lightningへのサプライチェーン懸念(CVE-2026-44484)と、AI/ML関連ツールに深刻な問題が集中しています。これらのツールを社内ワークフローやサービスに組み込んでいる場合は、バージョン確認と更新を推奨します。
最後に、Linux kernelおよびErlang OTPの脆弱性はインフラ系エンジニアが確認すべき内容です。使用しているディストリビューションのセキュリティアップデートを確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。