本日はNVDに220件のCVEが登録・更新されました。うちCritical(CVSS 9.0以上)が31件、High(7.0〜8.9)が104件と多い日です。特にLiteSpeed User-End cPanel Plugin(CVE-2026-48172)は2026年5月に野外での悪用が確認されており、CISAのKnown Exploited Vulnerabilities(KEV)カタログにも掲載されています。また、Microsoft Azure/M365製品群でCVSS 10.0の最高スコアが5件公開されており、Azureを利用する組織は影響範囲の確認が急務です。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE(NVD) | 220件 |
| Critical (9.0+) | 31件 |
| High (7.0-8.9) | 104件 |
| Medium (4.0-6.9) | 69件 |
| Low (0-3.9) | 11件 |
| 影響エコシステム(GHSA) | npm, Packagist, Maven, PyPI, RubyGems |
Critical / High 脆弱性 詳細
CVE-2026-23652 — Microsoft Power Pages コマンドインジェクション
- CVSS: 10.0 Critical
- 影響: Microsoft Power Pages
- Power Pagesにおいて特殊文字の無害化が不適切なため、未認証の攻撃者がネットワーク越しに任意コードを実行できます。認証不要・ユーザー操作不要の組み合わせにより影響範囲が広い脆弱性です。
- 対策: Microsoftセキュリティ更新プログラムを適用
- 参照: MSRC
CVE-2026-42901 — Microsoft Entra ID 権限昇格
- CVSS: 10.0 Critical
- 影響: Microsoft Entra ID(旧Azure AD)
- オリジン検証エラーにより、未認証の攻撃者がネットワーク越しに権限昇格を行える脆弱性です。クラウドID管理の中核サービスへの影響は大きく、早急な対応が推奨されます。
- 対策: Microsoftセキュリティ更新プログラムを適用
- 参照: MSRC
CVE-2026-47280 — Azure Resource Manager 認証不備
- CVSS: 10.0 Critical
- 影響: Azure Resource Manager(ARM)
- ARMにおける認証の不備により、未認証の攻撃者がネットワーク越しに権限昇格できます。Azureリソース管理の根幹に関わるサービスへの影響が懸念されます。
- 対策: Microsoftセキュリティ更新プログラムを適用
- 参照: MSRC
CVE-2026-40412 — Azure Orbital Spatio 危険なファイルアップロード
- CVSS: 10.0 Critical
- 影響: Azure Orbital Spatio
- 危険なファイルタイプの無制限アップロードにより、未認証の攻撃者がネットワーク越しにコードを実行できます(CWE-434)。
- 対策: Microsoftセキュリティ更新プログラムを適用
- 参照: MSRC
CVE-2026-48172 — LiteSpeed cPanel Plugin 権限昇格(野外悪用確認済み)
- CVSS: 9.8 Critical ⚠️ CISA KEV掲載・野外悪用確認済み
- 影響: LiteSpeed User-End cPanel Plugin 2.4.5未満(推奨最小バージョン: 2.4.7)
- Redisの有効化・無効化機能の不適切な処理により、root権限への昇格が可能です。2026年5月に野外での悪用が確認されています。侵害確認コマンド:
grep -rE "cpanel_jsonapi_func=redisAble" /var/cpanel/logs /usr/local/cpanel/logs/ 2>/dev/null - 修正バージョン: 2.4.7以降
- 参照: NVD, CISA KEV
CVE-2026-41315 — mdserver-web 未認証リモートコード実行
- CVSS: 9.8 Critical
- 影響: mdserver-web 0.18.0〜0.18.4(Linuxパネル)
/modify_crondおよび/start_taskエンドポイントに認証がなく、未認証の攻撃者がスケジュールタスクを改ざん・起動することでRCEが可能です。- 修正バージョン: 0.18.5以降
- 参照: NVD, GHSA-3h92-g9hr-xc25
CVE-2026-39821 — Go idna パッケージ 権限昇格バイパス
- CVSS: 9.6 Critical
- 影響: Go
golang.org/x/net/idnaパッケージを利用するGoアプリケーション ToASCII/ToUnicode関数がPunycode形式のラベルを誤って受け入れます。xn--example-.comがexample.comとして扱われるため、ホスト名によるアクセス制御を実装しているプログラムで権限昇格が発生します。- 修正:
golang.org/x/netを最新版へアップデート - 参照: pkg.go.dev, NVD
CVE-2026-6296 — Google Chrome ANGLE ヒープバッファオーバーフロー
- CVSS: 9.6 Critical
- 影響: Google Chrome 147.0.7727.101未満
- ANGLEコンポーネントのヒープバッファオーバーフローにより、リモート攻撃者が細工されたHTMLページを通じてサンドボックス脱出を行える可能性があります。
- 修正バージョン: Chrome 147.0.7727.101以降
- 参照: Chrome Releases, NVD
CVE-2026-33843 — Microsoft Azure AD B2C 認証バイパス
- CVSS: 9.1 Critical
- 影響: Microsoft Azure Active Directory B2C
- 代替パスまたはチャネルを使用した認証バイパスにより、未認証の攻撃者がネットワーク越しに権限昇格を行えます。
- 対策: Microsoftセキュリティ更新プログラムを適用
- 参照: MSRC
CVE-2026-8973/8974/8975 — Firefox / Thunderbird メモリ安全性バグ
- CVSS: 8.8 High
- 影響:
- Firefox 151未満 / Firefox ESR 115.36未満 / Firefox ESR 140.11未満
- Thunderbird 151未満 / Thunderbird 140.11未満
- 複数のメモリ安全性バグが確認されており、一部はメモリ破壊の証拠があります。十分な努力があれば任意コード実行に悪用できる可能性が指摘されています。
- 修正バージョン: Firefox 151、Firefox ESR 115.36/140.11、Thunderbird 151/140.11
- 参照: Mozilla MFSA 2026-46
エコシステム別サマリー(GHSA)
GHSAデータより、OSS/パッケージエコシステム別の注目アドバイザリをまとめます。
Packagist (PHP)
- Kirby CMS(CVE-2026-44177)— 認証不要のパストラバーサルおよびPHPファイルインクルード(HIGH)。v5.4.1で修正済み。
- Pimcore(CVE-2026-44739)— カスタムレポートのカラム設定でSQLインジェクション(HIGH)。v12.3.6で修正済み。
- Symfony(CVE-2026-45063)— X509AuthenticatorでのアンカーなしDN正規表現によるアイデンティティなりすまし(HIGH)。v5.4.52/6.4.40/7.4.12/8.0.12で修正済み。
npm
- @hapi/content(CVE-2026-44974)— ヘッダーパーサーのパラメータスマグリングによるアップロードフィルターバイパス(HIGH)。v6.0.2で修正済み。
- FUXA(CVE-2026-43945)— 認証なしRCEを行えるパス操作・設定インジェクション脆弱性(HIGH)。v1.3.1で修正済み。
Maven
- Yamcs(CVE-2026-44632)— Janinoエクスプレッションエンジンによるサーバーサイドコードインジェクション(CRITICAL)。v5.12.7で修正済み。
PyPI
- Django(CVE-2020-9402)— Oracle使用時のGIS関数でのSQLインジェクション。Django 1.11/2.2/3.0系に影響(OSVより再スコアリング: CVSS 8.8)。
JVN 日本語情報
JVNDB-2026-016979 — dnsmasq 複数の脆弱性(CVE-2026-5172 他)
dnsmasqに複数の脆弱性が報告されています。extract_name() のヒープバッファオーバーフロー(CVE-2026-2291)、DNSSEC検証時の無限ループ(CVE-2026-4890)、DHCPv6処理時のヒープ境界外書き込み(CVE-2026-4892)、パケット送信元検証のバイパス(CVE-2026-4893)などが含まれます。ネットワーク機器や組み込みLinux環境でdnsmasqを利用している場合、最新版への更新を確認してください。JVN詳細
JVNDB-2026-016980 — SGLang 複数の脆弱性(CVE-2026-7304 他)
LLM推論サーバフレームワーク「SGLang」に複数の脆弱性が確認されています。Jinja2テンプレートのサンドボックスなし実行によるRCE(CVE-2026-5760)、ZeroMQソケットのPickleデシリアライズによるRCE(CVE-2026-7301)、パストラバーサルによる任意ファイル書き込み(CVE-2026-7304)が含まれます。AIサービスにSGLangを利用している組織は影響バージョンの確認を推奨します。JVN詳細
JVNDB-2026-016981 — Hitachi Ops Center Analyzer 脆弱性(CVE-2026-3314)
Hitachi Infrastructure Analytics Advisor、Hitachi Ops Center AnalyzerおよびOps Center Analyzer viewpointに脆弱性が存在します(CVSSスコア4.6, Medium)。JVN詳細
まとめ
本日はCVSS 10.0のMicrosoft Azure/M365関連脆弱性が5件と、例年にない規模の重大リリースが集中しました。中でも**LiteSpeed cPanel Plugin(CVE-2026-48172)**は既に野外での悪用が確認されCISA KEVにも掲載されており、cPanelサーバを運用している組織は侵害の痕跡確認と2.4.7以降へのアップデートを最優先で実施してください。
また**Go idna パッケージ(CVE-2026-39821)**のPunycode検証バイパスは、ホスト名ベースのアクセス制御を実装しているGoアプリケーション全般に影響する可能性があります。golang.org/x/net を利用しているプロジェクトは最新版への更新を検討してください。Google Chrome・Firefox/Thunderbirdにも複数のRCE・サンドボックス脱出脆弱性が修正されており、ブラウザの最新化も合わせて推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。