【セキュリティ日報】pgAdmin 4 CVSS9.9ほか Critical 21件・2026-05-27

項目	優先度	対応	影響対象	クイックアクション
pgAdmin 4 認可バイパス・認証情報漏洩 CVE-2026-7813	high	対応必須	pgAdmin 4 サーバーモード利用者	pgAdmin 4 v9.15以降へアップデート
Ghost CMS 未認証SQLインジェクション CVE-2026-26980	high	対応必須	Ghost CMS 3.24.0〜6.19.0 利用者	Ghost 6.19.1以降へアップデート
Dify パストラバーサル・内部API不正アクセス CVE-2026-41948	high	対応必須	Dify 1.14.1以前の利用者	Dify 1.14.2以降へアップデート
python-jsonpickle リモートコード実行 CVE-2021-47952	high	対応必須	jsonpickle 2.0.0 利用者	最新バージョンへアップグレード・信頼できないデータのデシリアライズを回避
Sunshine クライアント証明書認証バイパス CVE-2026-32253	high	対応必須	Sunshine 2026.516.143833未満の利用者	Sunshine 2026.516.143833以降へアップデート
Ruby 4 getaddrinfo 競合状態 CVE-2026-46727	high	推奨	Ruby 4.0.5未満の利用者	Ruby 4.0.5以降へアップデート
Apache Airflow providers-google SSH検証無効 CVE-2026-45361	high	推奨	apache-airflow-providers-google 22.0.0未満の利用者	apache-airflow-providers-google 22.0.0以降へアップデート
fastapi 0.136.3 マルウェア混入（供給チェーン攻撃） MAL-2026-4750	high	対応必須	fastapi 0.136.3 利用者	fastapi 0.136.3の使用を即時中止し、別バージョンへ変更

本日はNVDに200件のCVEが登録・更新されました。うちCritical（CVSS 9.0以上）が21件、High（7.0〜8.9）が69件と多い日です。特にデータベース管理ツールのpgAdmin 4に複数のCritical/High脆弱性（CVSS 9.9〜8.1）が集中しており、早急な対応が推奨されます。また、Ghost CMSの未認証SQLインジェクション（CVSS 9.4）とAIプラットフォームDifyの複数の脆弱性も注目です。PyPIエコシステムではfastapi 0.136.3へのマルウェア混入（供給チェーン攻撃）も確認されています。

本日の概要

指標	数値
新規CVE（NVD）	200件
Critical (9.0+)	21件
High (7.0-8.9)	69件
Medium (4.0-6.9)	82件
Low (0-3.9)	2件
OSV更新	44件
影響エコシステム	PyPI（43件）, npm（1件）

Critical / High 脆弱性詳細

CVE-2026-7813 — pgAdmin 4 認可バイパス・認証情報漏洩

CVSS: 9.9 Critical
影響バージョン: pgAdmin 4 9.15未満（サーバーモード）
pgAdmin 4のサーバーモードにおいて、ユーザー所有オブジェクトへのアクセス時にリクエスト者のIDでフィルタリングされていませんでした。認証済みユーザーがオブジェクトIDを推測するだけで、他ユーザーのプライベートサーバー・サーバーグループ・バックグラウンドプロセス・デバッガ関数引数にアクセスできました。さらに共有サーバー機能では、passexec_cmd・パスファイル・SSLキー等の認証情報漏洩や、任意コード実行につながる権限昇格も可能でした。
修正: pgAdmin 4 v9.15以降へアップデート
参考: NVD / GitHub PR#9830

CVE-2026-26980 — Ghost CMS 未認証SQLインジェクション

CVSS: 9.4 Critical
影響バージョン: Ghost 3.24.0〜6.19.0
Node.js製CMSであるGhostにおいて、未認証の攻撃者がデータベースから任意データを読み取ることが可能なSQLインジェクション脆弱性が確認されました。
修正: Ghost 6.19.1以降へアップデート
参考: NVD / GHSA-w52v-v783-gw97

CVE-2026-41948 — Dify パストラバーサル・内部API不正アクセス

CVSS: 9.4 Critical
影響バージョン: Dify 1.14.1以前
Difyにおいて、認証済みユーザーが不十分なURLパスのサニタイズを悪用し、Plugin Daemonの内部REST APIにアクセスできるパストラバーサル脆弱性が確認されました。テナントUUIDを知るだけで攻撃が成立します。Dify Cloudでは無料自己登録が可能なため、攻撃難易度は低い状態です。
修正: Dify 1.14.2以降へアップデート
参考: NVD / GitHub PR#35796

CVE-2021-47952 — python-jsonpickle リモートコード実行

CVSS: 9.8 Critical
影響バージョン: jsonpickle 2.0.0
py/reprオブジェクトを含む悪意あるJSONペイロードをデシリアライズすることで、任意のPythonコマンドが実行される脆弱性です。信頼できないソースからのJSONデータをjsonpickleで処理している環境で深刻なリスクとなります。
修正: 最新バージョンへアップグレード推奨。また、信頼できないデータをjsonpickleでデシリアライズしないことが根本的対策です。
参考: NVD

CVE-2026-32253 — Sunshine クライアント証明書認証バイパス

CVSS: 9.8 Critical
影響バージョン: Sunshine 2026.516.143833未満
セルフホスト型ゲームストリーミングホストSunshineで、OpenSSL検証結果の処理方法に問題があり、信頼されていない証明書でも認証が通過し、保護されたHTTPSエンドポイントにアクセス可能です。
修正: Sunshine 2026.516.143833以降へアップデート
参考: NVD / GHSA-ph75-mgxh-mv57

CVE-2026-43384 — Linux kernel TCP-AO タイミング攻撃

CVSS: 9.8 Critical
影響バージョン: 修正済みLinuxカーネル以前
Linuxカーネルのnet/tcp-aoにおいて、MAC比較が定数時間で行われていなかったためタイミング攻撃が可能でした。kernel.orgのstable branchで修正済みです（コミット080b0e21等）。
参考: NVD

CVE-2026-41947 — Dify トレース設定認可バイパス

CVSS: 9.1 Critical
影響バージョン: Dify 1.14.2未満
Difyで、認証済みエディターユーザーがテナント所有権のチェックなしに任意アプリのトレース設定を変更・有効化できる認可バイパス脆弱性です。被害アプリのメッセージ・レスポンスを攻撃者制御のLLMトレースプロバイダーに転送できます。
修正: Dify 1.14.2以降へアップデート
参考: NVD

CVE-2026-46727 — Ruby 4 getaddrinfo 競合状態

CVSS: 8.1 High
影響バージョン: Ruby 4.0.5未満
Ruby 4においてpthreadベースのgetaddrinfタイムアウトハンドラにrace conditionが存在し、DNSレスポンスを遅延させることでRubyプロセスをクラッシュさせることが可能です。メモリ破壊ベースの悪用も理論的に考えられます。Addrinfo.getaddrinfo(..., timeout:)やSocket.tcp(..., resolv_timeout:)を使用するアプリケーションが対象です。
修正: Ruby 4.0.5以降へアップデート
参考: NVD / Ruby公式アドバイザリ

CVE-2026-45361 — Apache Airflow providers-google SSH検証無効

CVSS: 8.1 High
影響バージョン: apache-airflow-providers-google 22.0.0未満
ComputeEngineSSHHookがデフォルトでSSHホストキー検証を無効にしており、ネットワーク上の中間者がAirflowワーカーとCompute Engine VM間のSSHセッションを傍受・改ざん可能な状態でした。
修正: apache-airflow-providers-google 22.0.0以降へアップデート
参考: NVD / Apache OSS Securityリスト

エコシステム別サマリー

PyPI（43件）

本日のOSVデータではPyPIで43件の脆弱性情報が確認されました。

fastapi 0.136.3 — マルウェア検出（MAL-2026-4750）: fastapi 0.136.3に未文書の依存パッケージfastar>=0.9.0が追加されていることが確認されました。供給チェーン攻撃の可能性があります。fastapi==0.136.3を使用している場合は即時他バージョンへの変更を推奨します。
Django — 複数のセキュリティ修正: CVE-2026-6907（Vary: *ヘッダーを含むレスポンスのキャッシュ誤り）、CVE-2026-5766（ASGIにおけるファイルアップロード制限バイパス）等が含まれます。Django 6.0.5または5.2.14以降へのアップデートを推奨します。

npm（1件）

Nuxt キャッシュポイズニング（CVE-2026-46342 / GHSA-g8wj-3cr3-6w7v）: __nuxt_islandエンドポイントがリクエストプロパティにレスポンスをバインドしないため、共有キャッシュポイズニングが可能です。Nuxtを使用している場合は最新バージョンへの更新を確認してください。

JVN 日本語情報

JVN ID	タイトル	CVSS	対象
JVNDB-2026-000079	NEC Atermシリーズ OSコマンドインジェクション（NV26-003）	6.8（Medium）	NEC Atermシリーズ
JVNDB-2026-000078	NEC Atermシリーズ XSS（NV26-002）	3.8（Low）	NEC Atermシリーズ
JVNDB-2026-016978	Linuxカーネル複数の脆弱性（Dirty Frag / Copy Fail）	—（評価中）	Linux kernel

NEC AtermシリーズのOSコマンドインジェクション（CVE-2026-8652、CVSS 6.8）は、三井物産セキュアディレクション株式会社からIPAへ報告され、JPCERT/CCが調整したものです。NECから修正済みファームウェアが提供されているため、対象機器のファームウェア更新を確認してください。Linuxカーネルの「Dirty Frag / Copy Fail」はCERT/CCのアドバイザリが公表されており、ローカル権限昇格の可能性があります。

まとめ

本日はNVDでCritical 21件を含む200件のCVEが登録・更新されました。pgAdmin 4はCVSS 9.9のCVE-2026-7813を含む複数の深刻な脆弱性が一度に公開されています。v9.15未満のサーバーモードを利用している環境は早急な確認を推奨します。

Ghost CMSのSQL injection（CVE-2026-26980）はGhost 3.24.0以降の広い範囲に影響します。Difyの複数脆弱性（CVE-2026-41948、CVE-2026-41947）はAI/LLMプラットフォームへの攻撃として、セルフホスト・クラウド双方の利用者が対象です。

また、fastapi 0.136.3へのマルウェア混入（MAL-2026-4750）は、パッケージの依存関係を定期的に監査することの重要性を示す事例です。pip auditやpip-licensesを活用した継続的な依存関係の確認を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。