本日のNVDスナップショットには約230件のCVEが含まれており、うち2026年新規公開が約50件、Critical(CVSS 9.0以上)が27件です。最も深刻なのはExim MTAのuse-after-free(CVE-2026-45185、CVSS 9.8)で、未認証の攻撃者がリモートから任意コードを実行できる可能性があります。Joomlaにも複数のCriticalが確認されており、関係するシステムは早急な対応が推奨されます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新 CVE(NVD) | 約230件 |
| Critical(9.0+) | 27件 |
| High(7.0–8.9) | 約65件 |
| Medium(4.0–6.9) | 約53件 |
| 2026年新規公開 | 約50件 |
| 注目エコシステム | npm, PyPI, Go, Packagist, crates.io |
Critical / High 脆弱性の詳細
CVE-2026-45185 — Exim use-after-free によるリモートコード実行
| 項目 | 内容 |
|---|---|
| CVSS スコア | 9.8(CRITICAL) |
| CWE | CWE-416(Use After Free) |
| 影響製品 | Exim 4.99.2 以前(GnuTLS 設定時) |
| 修正バージョン | Exim 4.99.3 以降 |
Exim の BDAT ボディ解析パスに use-after-free 脆弱性が存在します。GnuTLS 設定環境において、クライアントが CHUNKING 転送中に TLS close_notify を送信した後、同一TCP接続上でクリアテキストバイトを送ると脆弱性がトリガーされ、ヒープ破壊が発生します。未認証のネットワーク攻撃者が任意のコードを実行できる可能性があります。
Exim はインターネット上で広く使われているMTAであり、影響範囲が非常に広い脆弱性です。GnuTLS を使用している構成であることが前提ですが、Debian/Ubuntu 系などの多くのディストリビューションのデフォルト設定が対象となる場合があります。パッチが提供済みですので、Exim 4.99.3 以降への更新を推奨します。
参考リンク:
CVE-2026-35223 / CVE-2026-48902 — Joomla 複数の Critical 脆弱性
Joomla に複数のCritical脆弱性が報告されています。
CVE-2026-35223(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| 種類 | 不適切なアクセスチェック(CWE-284) |
| 影響 | com_config Webサービスエンドポイントへの未認証アクセス |
| 修正 | Joomla セキュリティセンター参照 |
com_config のWebサービスエンドポイントでアクセスチェックが不十分であり、未認証の攻撃者がサイト設定を変更できる可能性があります。
CVE-2026-48902(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| 種類 | 暗号化ダウングレード |
| 影響 | HTTPS接続時のパスワード・ユーザー名リセットリンクがHTTPで生成される |
| 条件 | "Force SSL" フラグが未設定の場合 |
パスワードリセットメールのリンクが意図せず平文HTTP URLで生成されるため、攻撃者がリンクを傍受してアカウントを乗っ取れる可能性があります。
Joomlaの追加 High CVE(7.0–7.5):
- CVE-2026-40384(CVSS 7.5):
com_mediaAPIのパストラバーサル - CVE-2026-48896(CVSS 7.5): 2FA認証バイパス
- CVE-2026-48897(CVSS 7.5): 2FA認証バイパス(別ベクタ)
- CVE-2026-48901(CVSS 7.5): InputFilter キャッシュキー構築の誤り
Joomla を利用しているサイトは、これらの脆弱性に対処した最新バージョンへの更新を検討してください。
参考リンク:
CVE-2026-41589 — Charm Wish SSH サーバー SCPパストラバーサル
| 項目 | 内容 |
|---|---|
| CVSS スコア | 9.6(CRITICAL) |
| CWE | CWE-22(パストラバーサル) |
| 影響製品 | charm.land/wish/v2、バージョン 2.0.0 |
| 修正バージョン | 2.0.1 以降 |
Go製のSSHサーバーライブラリ wish のSCPミドルウェアにパストラバーサル脆弱性が存在します。細工されたファイル名(../ 含む)を含むSCPコマンドを送信することで、設定されたルートディレクトリ外のファイルを読み書きしたり、任意のディレクトリを作成したりできます。v2.0.1 でパッチが提供されています。
参考リンク:
CVE-2026-39821 — Go idna パッケージの特権昇格(Punycode バイパス)
| 項目 | 内容 |
|---|---|
| CVSS スコア | 9.6(CRITICAL) |
| CWE | CWE-1289(権限チェックの不適切なバイパス) |
| 影響パッケージ | golang.org/x/net/idna |
| 修正 | go.dev/cl/767220(golang-announce に掲載) |
ToASCII / ToUnicode 関数が、ASCIIのみのラベルにデコードされるPunycode形式のラベルを誤って受け入れます。例えば ToUnicode("xn--example-.com") がエラーではなく "example.com" を返してしまいます。これにより、ASCIIホスト名でセキュリティチェックを実施するプログラムを迂回し、Unicodeホスト名で意図しないアクセスを許可させる特権昇格攻撃が可能になります。
Go の広範なエコシステムで使用される標準的なパッケージに影響するため、該当バージョンを使用している場合はアップデートを推奨します。なお、Symfony の PHP Punycode 実装(CVE-2026-46644)でも類似の問題が報告されています。
参考リンク:
CVE-2026-36044 — @pensar/apex npm パッケージの OSコマンドインジェクション
| 項目 | 内容 |
|---|---|
| CVSS スコア | 8.8(HIGH) |
| CWE | CWE-78(OSコマンドインジェクション) |
| 影響パッケージ | @pensar/apex ≤ 0.0.58(npm) |
| 修正 | npmjs.com にて最新版を確認 |
@pensar/apex パッケージの createSmartEnumerateTool() 関数が、extensions 配列と url パラメータの値をサニタイズせずにシェルコマンドへ文字列連結した上で child_process.exec() で実行します。シェルメタ文字を含む入力を渡すことで任意のOSコマンドが実行可能です。
CVE-2026-44843 — LangChain デシリアライゼーション脆弱性
| 項目 | 内容 |
|---|---|
| CVSS スコア | 8.2(HIGH) |
| CWE | CWE-502(信頼できないデータのデシリアライゼーション) |
| 影響バージョン | LangChain < 0.3.85 および < 1.3.3 |
| 修正バージョン | 0.3.85 / 1.3.3 以降 |
LangChain の古いランタイムコードパスが、allowed_objects="all" として load() を呼び出す場合があり、攻撃者が細工したLangChain直列化コンストラクタ辞書を介して任意のLangChainクラスを信頼されたコンテキストでインスタンス化できます。任意のPythonオブジェクト実行ではありませんが、LangChainシリアライズ対象クラス全体が攻撃対象となります。
AI/LLMアプリケーションのインフラで広く使用されているフレームワークであるため、影響範囲が広い点に注意が必要です。
参考リンク:
axios プロトタイプ汚染攻撃チェーン(npm)
npm の広く使われているHTTPクライアント axios に、複数のプロトタイプ汚染関連の脆弱性が同時公開されました。
- CVE-2026-44494(HIGH):
config.proxyのプロトタイプ汚染ガジェットを介したフルMitM攻撃。axios < 1.16.0 が対象。 - CVE-2026-44495(HIGH): Config マージのプロトタイプ汚染経由で認証情報を窃取。axios < 1.15.2 / < 0.31.1 が対象。
- CVE-2026-44489(LOW): 上記CVE-2026-44494の不完全な修正をバイパスする
Proxy-Authorizationヘッダインジェクション。
axios は週間ダウンロード数が数億件に上るライブラリです。影響バージョンを使用している場合は 1.16.0 以降への更新を推奨します。
参考リンク:
gitoxide / gix 系の脆弱性(Rust)
Rust製の Git 実装 gitoxide に2件の脆弱性が確認されました。
- CVE-2026-40034(CVSS 7.8):
gix-submodule0.29.0 未満。.gitmodulesのupdateフィールドが部分的な.git/config設定と組み合わさった場合にコマンドインジェクションガードが迂回され、任意シェルコマンドが実行される可能性。gix 0.84.0 / gitoxide 0.5.21 で修正済み。 - CVE-2026-44471(CVSS 7.8): gitoxide 0.21.1 未満。悪意のあるツリーで
checkoutを行うと、ユーザーが書き込み権限を持つ任意のディレクトリに攻撃者制御のシンボリックリンクが作成される可能性。
エコシステム別サマリー
npm(JavaScript)
- axios: プロトタイプ汚染系3件(CVE-2026-44494、CVE-2026-44495、CVE-2026-44489)→ 1.16.0へ更新を
- @pensar/apex: OSコマンドインジェクション(CVE-2026-36044)
- @fastify/accepts-serializer: Accept ヘッダキャッシュ無制限増加によるDoS(CVE-2026-7768)→ 6.0.4 で修正
- nitro: オープンリダイレクト(CVE-2026-44372)→ v3.0.260429-beta で修正
PyPI(Python)
- LangChain: デシリアライゼーション脆弱性(CVE-2026-44843)→ 0.3.85 / 1.3.3 で修正
- Banks: Jinja2 SSTI → RCE(CVE-2026-44209)→ 2.4.2 で修正
- compliance-trestle: Jinja パストラバーサル(CVE-2026-46345)→ 4.0.3 / 3.12.2 で修正
- Flask-HTTPAuth: 空トークンによる認証バイパス(CVE-2026-34531)→ 4.8.1 で修正
Go
- golang.org/x/net/idna: Punycode 特権昇格(CVE-2026-39821)→ 修正済みコミット適用を
- golang.org/x/net/html: HTML解析XSS(CVE-2026-25681、CVE-2026-27136)
- charm/wish: SCP パストラバーサル(CVE-2026-41589)→ v2.0.1 で修正
Packagist(PHP)
- Joomla: 複数Critical/High CVE(CVE-2026-35223、CVE-2026-48902 ほか5件)→ 最新版への更新を
- Symfony: Mailtrap / Mailjet Webhook HMAC 未検証(CVE-2026-45755、CVE-2026-45754)→ 7.4.12/8.0.12 で修正
crates.io(Rust)
- gitoxide/gix: コマンドインジェクション・シンボリックリンク攻撃(CVE-2026-40034、CVE-2026-44471)
Erlang
- hackney: WebSocket・URL クエリでのCRLFインジェクション(CVE-2026-47072、CVE-2026-47075)→ 4.0.1 で修正
JVN 日本語情報
JVNDB-2026-000080 — Jupyter Server におけるオープンリダイレクト(CVE-2025-61669)
| 項目 | 内容 |
|---|---|
| CVSS スコア | 7.4(HIGH) |
| 脆弱性種別 | オープンリダイレクト(CWE-601) |
| 報告者 | 株式会社サイバーディフェンス研究所 岩崎 徳明 氏(IPA経由) |
| 公開日 | 2026年5月28日 |
Jupyter Development Teamが提供するJupyter Serverにオープンリダイレクト脆弱性が存在します。攻撃者が悪意のあるURLにユーザーをリダイレクトさせ、フィッシングやセッション窃取に悪用できる可能性があります。日本国内の研究機関・データサイエンス環境でJupyter Serverを運用している場合は、アップデートを確認してください。
参考リンク: JVN
まとめ
本日の最大の注目点は Exim MTA(CVE-2026-45185) です。CVSS 9.8 のuse-after-free脆弱性で、GnuTLS設定環境において未認証リモートからの任意コード実行が可能です。Exim 4.99.3 でパッチが提供されていますので、メールサーバー管理者は速やかに対応してください。
次いで、Joomla で複数のCritical(CVE-2026-35223、CVE-2026-48902)を含む5件以上の脆弱性が同日公開されました。Joomla 利用サイトは、アクセス制御の迂回・2FAバイパス・パストラバーサルといった深刻な問題を含む全件への対応が推奨されます。
JavaScriptエコシステムでは axios のプロトタイプ汚染攻撃チェーン(MitM・認証情報窃取)が注目されます。axios を使用するプロジェクトは 1.16.0 以上への更新を検討してください。
AIフレームワークでは LangChain(CVE-2026-44843)と Banks(CVE-2026-44209)に深刻な脆弱性が確認されています。LLMアプリケーション基盤においても定期的な依存関係更新が重要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。