【セキュリティ日報】CVSS 10.0のGo SSH認証バイパスほか Critical 24件

項目	優先度	対応	影響対象	クイックアクション
Go golang.org/x/crypto SSH 認証バイパス CVE-2026-46595	high	対応必須	Go SSH実装利用者	golang.org/x/crypto v0.39.0 以降へアップデート
KubeVirt virt-handler ノード乗っ取り CVE-2026-7374	high	対応必須	OpenShift/KubeVirt利用者	RHSA-2026:20720〜20782 パッチを適用
DAEMON Tools Lite サプライチェーン攻撃 CVE-2026-8398	high	対応必須	DAEMON Tools Lite 12.5.0.2421〜2434利用者（Windows）	侵害調査後、最新版へ再インストール
phpMyFAQ 認証なし SQLインジェクション CVE-2026-46364	high	対応必須	phpMyFAQ 4.1.2未満利用者	phpMyFAQ 4.1.2 以降へアップデート
TanStack npm サプライチェーン攻撃 CVE-2026-45321	high	対応必須	@tanstack/* 利用者	最新版へ更新・依存関係の整合性確認
Microsoft Copilot コマンドインジェクション CVE-2026-41090	high	対応必須	Microsoft Copilot利用者	Microsoftセキュリティ更新プログラムを確認
Babel コンパイラ任意コード実行 CVE-2026-44728	high	推奨	Babel 7.12.0〜7.29.3利用者	Babel 7.29.4 以降へアップデート

本日はNVDで200件のCVEが公開・更新され、うちCriticalが24件と多い日です。golang.org/x/crypto のSSH実装にCVSS 10.0の認証バイパスが発見されたほか、KubeVirt（9.9）によるKubernetesクラスタ全体の乗っ取りが可能な脆弱性も公開されました。DAEMON ToolsとTanStackのサプライチェーン攻撃はCISAのKEVにも登録されており、早急な確認が推奨されます。

本日の概要

指標	数値
新規・更新CVE（NVD）	200件
Critical (9.0+)	24件
High (7.0–8.9)	74件
Medium (4.0–6.9)	74件
Low (0–3.9)	28件
GHSAアドバイザリ	386件
影響エコシステム（GHSA）	Packagist, PyPI, Go, npm, Maven

Critical / High 脆弱性詳細

CVE-2026-46595 — Go `golang.org/x/crypto` SSH 認証バイパス

CVSS: 10.0 Critical
影響: golang.org/x/crypto を使用するGoアプリケーション（SSHサーバ実装）
golang.org/x/crypto のSSHサーバ実装において、公開鍵コールバック以外（パスワード認証等）が設定されている場合にソースアドレス制限の検証がスキップされます。これはCVE-2024-45337の修正が不完全だったことに起因します。攻撃者はアドレス制限付きSSHキーを任意のホストから制限なしに利用できます。
修正バージョン: golang.org/x/crypto v0.39.0 以降
参照: NVD, Go Advisory

CVE-2026-7374 — KubeVirt `virt-handler` ノード乗っ取り

CVSS: 9.9 Critical
影響: KubeVirt（OpenShift環境）
virt-handler コンポーネントにおいて、単一ネームスペースの編集権限を持つ認証済みOpenShiftユーザが、VMコンソールソケットをホストのCRI-Oソケットへのシンボリックリンクに差し替えることで virt-handler の特権接続を乗っ取れます。ホスト上の任意のUnixソケットへのアクセスからクラスタ全体の制御奪取が可能です。
対策: Red Hat Security Advisory（RHSA-2026:20720〜20782）のパッチを適用
参照: NVD, RHSA-2026:20720

CVE-2026-8398 — DAEMON Tools Lite サプライチェーン攻撃（CISA KEV）

CVSS: 9.8 Critical ⚠️ CISA KEV掲載
影響: DAEMON Tools Lite 12.5.0.2421〜12.5.0.2434（2026年4月8日〜5月5日配布分）
ベンダーのビルド・配布インフラへの不正アクセスにより、DTHelper.exe、DiscSoftBusServiceLite.exe、DTShellHlp.exe の3ファイルが正規の署名証明書のまま改ざんされました。上記期間にインストールしたシステムは侵害の痕跡調査を推奨します。
対策: 侵害調査の後、最新版を再インストール
参照: NVD, ベンダーブログ

CVE-2026-42796 — Arelle 認証なしリモートコード実行

CVSS: 9.8 Critical
影響: Arelle 2.39.10 未満
REST APIの /rest/configure エンドポイントが認証なしで plugins パラメータを受け付け、外部URLからPythonファイルをダウンロード・実行します。
修正バージョン: Arelle 2.39.10 以降
参照: NVD, 修正PR

CVE-2026-46364 — phpMyFAQ 認証なし SQLインジェクション

CVSS: 9.8 Critical
影響: phpMyFAQ 4.1.2 未満
BuiltinCaptcha::garbageCollector() / saveCaptcha() がUser-AgentヘッダをDELETE/INSERTクエリに未サニタイズで組み込みます。認証不要の GET /api/captcha エンドポイント経由で時間ベースのブラインドSQLインジェクションが可能で、管理者トークンやSMTP認証情報を抽出できます。
修正バージョン: phpMyFAQ 4.1.2（または4.1.3）以降
参照: NVD, GHSA-289f-fq7w-6q2w

CVE-2026-8376 — Perl 正規表現コンパイル時ヒープバッファオーバーフロー

CVSS: 9.8 Critical
影響: Perl 5.43.10 以前（32ビットビルド）
正規表現のコンパイル時に、繰り返し固定文字列のバッファサイズをバイトではなく文字数で比較する実装ミスにより整数オーバーフローが発生し、ヒープバッファオーバーフローを引き起こします。攻撃者制御の正規表現を32ビットPerlでコンパイルする場合に影響があります。
対策: 修正済みバージョン（OSベンダーパッチ）へアップデート
参照: NVD, oss-security

CVE-2026-45321 — TanStack npm サプライチェーン攻撃（CISA KEV）

CVSS: 9.6 Critical ⚠️ CISA KEV掲載
影響: @tanstack/* 42パッケージ 84バージョン（2026年5月11日19:20〜19:26 UTC公開分）
pull_request_target 設定ミス・GitHub Actionsキャッシュポイズニング・OIDCトークン実行時メモリ抽出の3つを連鎖させ、正規のCI/CDパイプラインを経由してクレデンシャル窃取マルウェアを配布しました。
対策: 最新版へ更新し依存関係の整合性を確認
参照: NVD, GHSA-g7cv-rxg3-hmpx

CVE-2026-41090 — Microsoft Copilot コマンドインジェクション

CVSS: 9.3 Critical
影響: Microsoft Copilot
ネットワーク越しのコマンドインジェクションにより、未認証の攻撃者が任意コマンドを実行できます（CWE-77）。
対策: Microsoftセキュリティ更新プログラムを確認・適用
参照: NVD, MSRC

CVE-2026-44728 — Babel コンパイラ任意コード実行

CVSS: 8.2 High
影響: Babel 7.12.0〜7.29.3、8.0.0-alpha.12 以前
攻撃者が意図的に作成したコードをBabelでコンパイルした場合、任意コードを含む出力が生成されます。外部入力をコンパイル対象とするビルドパイプラインに影響があります。
修正バージョン: Babel 7.29.4、8.0.0-alpha.13
参照: NVD, GHSA-fv7c-fp4j-7gwp

CVE-2026-45659 — Microsoft SharePoint デシリアライズRCE

CVSS: 8.8 High
影響: Microsoft Office SharePoint
信頼されないデータのデシリアライズにより、認証済み攻撃者がネットワーク越しにコードを実行できます。
対策: Microsoftセキュリティ更新プログラムを適用
参照: NVD, MSRC

エコシステム別サマリー

GHSAアドバイザリ386件のエコシステム別内訳は以下の通りです。

エコシステム	件数	主な注目脆弱性
Packagist (PHP)	127件	Symfony 大規模パッチ（YAML/HTTP/Cache等）、phpMyFAQ複数、Pimcore
PyPI (Python)	14件	AI/MLパッケージ多数（imgaug/Horovod/Ludwig/mamba/llm）
Go	9件	golang.org/x/crypto、kata-containers、opentelemetry-go
npm (Node.js)	4件	LiquidJS RCE/DoS
Maven (Java)	2件	Yamcs RCE（宇宙機データシステム）
crates.io (Rust)	1件	Deno TLSリトライ問題

Symfony 大規模パッチ（Packagist）: Symfony 5.4.52 / 6.4.40 / 7.4.12 / 8.0.12 で、YAMLパーサのReDoS・Billion Laughs・SQLインジェクション、HtmlSanitizerのXSS/URL偽装、OIDCトークン不検証など多数のセキュリティ修正が含まれます。Symfony利用者は早急なアップデートが推奨されます。

AI/MLパッケージへの集中報告（PyPI）: imgaug、Horovod、Ludwig（複数）、mamba（言語モデルフレームワーク）、llm CLI、Guardrails AI などでCritical評価の脆弱性が報告されました。HuggingFace Hub等からモデルをロードする際の安全でないデシリアライズや、コードインジェクションが多数含まれます。

LiquidJS RCE（npm）: テンプレートエンジン liquidjs でCVE-2026-45618 によるRCEが確認されました。10.26.0で修正済みです。

JVN 日本語情報

CVE-2025-61669 — Jupyter Server オープンリダイレクト（JVNDB-2026-000080）

項目	値
CVSSスコア	7.4 (High)
CWE	CWE-601（オープンリダイレクト）
報告者	株式会社サイバーディフェンス研究所岩崎徳明氏

Jupyter ServerにおけるオープンリダイレクトがIPAとJPCERT/CCによる情報セキュリティ早期警戒パートナーシップを通じて公開されました。データサイエンス・機械学習環境でJupyter Serverを利用している組織は最新版への更新を確認してください。

JVN iPedia

まとめ

本日は golang.org/x/crypto のCVSS 10.0を筆頭に、KubeVirtのクラスタ乗っ取り（9.9）、DAEMON Tools・TanStackのサプライチェーン攻撃（CISA KEV）と深刻な脆弱性が集中した日でした。Goエコシステムへの影響は特に広く、SSHを扱うすべてのGoアプリケーションで golang.org/x/crypto の更新を最優先で検討してください。

Symfony（PHP）の大規模パッチ、LiquidJS（npm）のRCE、AI/MLパッケージへの集中報告など影響は多岐にわたります。各プロジェクトの依存パッケージのバージョンを確認し、影響範囲に応じた対応を進めることを推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。