本日はNVDで68件のCVEを収集。Critical 2件・High 19件を含む。GitHubアドバイザリではNezha MonitoringのCritical越境RCEとFileBrowser QuantumのCriticalパストラバーサルを追加確認。LiteSpeed cPanelプラグインの権限昇格(CVE-2026-48172)は2026年5月に野外での悪用が確認されており、即時対応が推奨される。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD収集CVE | 68件 |
| Critical (9.0+) | 2件 |
| High (7.0-8.9) | 19件 |
| Medium (4.0-6.9) | 9件 |
| GHSAアドバイザリ | 14件(別途Critical 2件) |
| 影響エコシステム | PyPI, npm, Go, Maven |
Critical/High 脆弱性の詳細解説
CVE-2026-33642 — Kitty ターミナル ヒープバッファオーバーフロー(CVSS 9.9)
- CVSS: 9.9 (Critical) / CWE-125, CWE-190, CWE-787
- 影響: Kitty v0.46.2 以下
- 修正: v0.47.0
GPUベースのターミナルエミュレータ Kitty の handle_compose_command() 関数で、グラフィックプロトコルの x_offset/y_offset に符号なし32ビット演算の整数ラップが発生し、ヒープの境界外書き込み/読み取りが起きる。ユーザー操作や特殊設定は不要で、端末に細工したエスケープシーケンスを送るだけでトリガーできる。SSH ログインバナーや悪意あるファイルのプレビューなど、端末に出力が生じる機会があれば攻撃が成立する可能性がある。
→ CVE-2026-33642 | NVD
CVE-2026-33117 — Azure SDK 認証バイパス(CVSS 9.1)
- CVSS: 9.1 (Critical) / CWE-287, CWE-347
- 影響: Azure SDK(詳細はMSRC参照)
- 参照: MSRC
Azure SDK の署名検証に不備があり、ネットワーク経由で未認証の攻撃者がセキュリティ機能を回避できる。クラウドインフラを Azure SDK で管理している環境では優先度の高い対応が必要。
CVE-2026-46716 (GHSA-99gv-2m7h-3hh9) — Nezha Monitoring 越境 RCE(Critical)
- 深刻度: CRITICAL(CVSSスコア未採点)
- 影響: Nezha Monitoring v1.14.15-0.20260517022419-d7526351cf97 未満
- 修正: 上記コミット以降
RoleMember ロールのユーザーが POST /api/v1/cron を通じて他テナントのサーバー上でシェルを実行できる。マルチテナント環境で運用している場合、テナント間の分離が完全に破られる可能性がある。
GHSA-qqqm-5547-774x — FileBrowser Quantum パストラバーサル(Critical)
- 深刻度: CRITICAL(CVSSスコア未採点)
- 影響: FileBrowser Quantum(2026-05-18以前)
- 修正: コミット 28e9b81e438e 以降
パブリック共有の PATCH エンドポイントで共有ディレクトリ外のファイル操作が可能。インターネット公開環境では特に注意が必要。
CVE-2026-47101 / CVE-2026-47102 — LiteLLM 権限昇格(CVSS 8.8)
LiteLLMにおいて2つの独立した権限昇格脆弱性が公開された。
- CVE-2026-47101:
internal_userが/key/generateで任意ルートのAPIキーを作成でき、proxy_admin相当の操作が可能になる。修正: v1.83.14-stable - CVE-2026-47102:
/user/updateのuser_roleフィールド検証が欠如。org_adminが自身のロールをproxy_adminに変更可能。修正: v1.83.10-stable
AI プロキシとして社内横断的に使われるケースが増えており、影響範囲の確認を推奨。
CVE-2026-43490 — Linux kernel ksmbd ACE SID 検証不備(CVSS 8.8)
- CVSS: 8.8 (High)
- 影響: Linux kernel(複数安定版ブランチ)
- 修正: git.kernel.org 各安定版パッチ
ksmbd(カーネル内 SMB サーバー)の smb_inherit_dacl() で ACE 長検証が不完全。細工された DACL により境界外メモリ読み取りが発生する可能性がある。ksmbd を有効にしているシステムは優先的にパッチを適用すること。
CVE-2026-48172 — LiteSpeed cPanel Plugin 権限昇格(野外悪用確認)
- CVSS: 0.0(未採点)/ CWE-266
- 影響: LiteSpeed User-End cPanel Plugin v2.4.5 未満
- 修正: v2.4.7 以上を推奨
Redis の有効/無効機能の処理に起因する権限昇格。2026年5月に実際の悪用が確認されている。公式が影響確認用コマンドを提供しており、cPanel ログで攻撃有無を確認できる。
CVE-2026-45585 — Windows "YellowKey" セキュリティ機能バイパス(PoC公開済み)
- CVSS: 6.8 (Medium) / CWE-77
- 影響: Windows(パッチ未提供)
- 参照: MSRC
Microsoft が "YellowKey" として公表した Windows のセキュリティ機能バイパス。PoCが既に公開されており、調整的開示の慣行に違反した形でリリースされた。パッチは未提供だが、MSRC が緩和策ガイダンスを公開している。
Linux kernel High 脆弱性(CVSS 7.8 以上 複数件)
Linuxカーネルに CVSS 7.8 の脆弱性が多数公開。主なもの:
| CVE | コンポーネント | 内容 |
|---|---|---|
| CVE-2026-23270 | net/sched act_ct | egress パスでの Use-after-free |
| CVE-2026-23272 | netfilter nf_tables | セット要素発行後の RCU 競合 |
| CVE-2026-43433 | rust_binder | TOCTOU によるオフセット配列の悪用可能性 |
| CVE-2026-43434 | rust_binder | vma 所有権検証欠如でページ挿入先が誤る |
| CVE-2026-31613 | SMB client | シンボリックリンクエラー応答の OOB 読み取り |
| CVE-2026-34336 | Windows DWM | Windows DWM コアライブラリ バッファオーバーリード |
いずれも安定版へのパッチが公開済み。ディストリビューションのセキュリティアップデートを適用すること。
エコシステム別サマリー
OSV では PyPI 55件、npm 2件の脆弱性を収集。
PyPI(Django 集中)
Django 関連の脆弱性がまとめて公開:
| CVE | 修正バージョン | 内容 |
|---|---|---|
| CVE-2026-4277 | 4.2.30 / 5.2.13 / 6.0.4 | GenericInlineModelAdmin の権限検証欠如 |
| CVE-2026-3902 | 4.2.30 / 5.2.13 / 6.0.4 | ASGIRequest ヘッダースプーフィング |
| CVE-2026-35192 | 5.2.14 / 6.0.5 | SESSION_SAVE_EVERY_REQUEST 時のセッションハイジャック |
| CVE-2026-6907 | 5.2.14 / 6.0.5 | Vary: * を含むキャッシュで非公開データが保存される |
| CVE-2026-33034 | 4.2.30 / 5.2.13 / 6.0.4 | ASGI リクエストのボディサイズ制限バイパス(DoS) |
Django 4.2.30 / 5.2.14 / 6.0.5 へのアップデートを推奨。
npm(Nuxt.js)
| パッケージ | CVE | 内容 |
|---|---|---|
| nuxt | CVE-2026-46342 | /__nuxt_island/* エンドポイントで未検証の props を受け付ける |
| nuxt | CVE-2026-45669 | navigateTo(external: true) でリダイレクト先URLが不十分にサニタイズされる |
| qs | CVE-2026-8723 | qs.stringify が null/undefined エントリで DoS(修正: 6.15.2) |
| parse-server | CVE-2026-47138 | 認証前のクライアントバージョンヘッダー正規表現で DoS |
JVN 日本語情報
本日の MyJVN データに該当する脆弱性情報はありません。
まとめ
本日最も注意が必要なのは、Kitty ターミナルの CVSS 9.9(CVE-2026-33642)と、LiteSpeed cPanel Plugin の野外悪用中の権限昇格(CVE-2026-48172)の2件。Kitty は v0.47.0 へのアップデートで修正済みのため、日常的に使用しているエンジニアは即時対応を検討すること。
Django を使用している環境では、今回複数の脆弱性がまとめてリリースされており、4.2.30 / 5.2.14 / 6.0.5 いずれかへのアップデートを優先的に進めること。Linux カーネルは High 相当の脆弱性が多数公開されており、ksmbd(SMB サーバー機能)を有効にしているシステムは特に注意が必要。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。