本日の概況
2026年6月3日は200件のCVEがNVDに公開・更新されました。うちCriticalが22件、Highが77件と多めの日です。最も広く影響するのはLibXML2の連続2件(CVE-2025-49794・CVE-2025-49796、いずれもCVSS 9.1)で、Red Hat系ディストリビューションを中心に広範な影響が確認されています。Linuxカーネルでは nvmet-tcp のバッファ境界チェック不備(CVE-2026-23112、CVSS 9.8)も報告されており、早急なカーネル更新が推奨されます。また、バックアップ・同期ツールの RClone(CVE-2026-41179)と Kopia(CVE-2026-45695)にいずれも Critical のリモートコード実行脆弱性が公開されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE (NVD) | 200件 |
| Critical (9.0+) | 22件 |
| High (7.0-8.9) | 77件 |
| Medium (4.0-6.9) | 61件 |
| Low / None | 40件 |
| 影響エコシステム | npm, Go, PyPI, RubyGems, Linux kernel |
Critical / High 脆弱性 詳細
CVE-2026-23112 — Linux kernel nvmet-tcp 境界外アクセス
- CVSSスコア: 9.8 (Critical)
- CWE: CWE-787(境界外書き込み)
- 影響製品: Linux kernel(複数の stable ブランチ)
- 概要: nvmet-tcp の
nvmet_tcp_build_pdu_iovec()が PDU の長さやオフセットがsg_cntを超えた場合にcmd->req.sgの範囲外にアクセスし、_copy_to_iter()でカーネルパニック(GPF/KASAN)が発生します。細工された TCP PDU を送り込むことで nvmet ターゲットをクラッシュさせる、あるいは境界外書き込みを悪用される可能性があります。 - 修正バージョン: 各 stable ブランチのカーネルコミット適用済みバージョン(git.kernel.org 参照)
- 参考: NVD / kernel.org patch
CVE-2025-49794 / CVE-2025-49796 — libxml2 二重 Critical 脆弱性
これら2件はいずれも libxml2 の XML Schematron 処理に起因する CVSS 9.1 の Critical 脆弱性です。
CVE-2025-49794(use-after-free)
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-825(期限切れポインタ参照)
- 影響製品: libxml2(Red Hat Enterprise Linux 8/9 等に内包)
- 概要: XML Schematron 内の
<sch:name path="..."/>要素を含む XML 文書を解析する際、XPath 評価中に解放済みメモリにアクセスするユーズ・アフター・フリーが発生します。悪意ある XML ファイルを libxml2 で処理させることでプロセスのクラッシュや未定義動作が引き起こされます。 - 修正: Red Hat Errata RHSA-2025:10630 / RHSA-2025:10698 / RHSA-2025:10699 等
- 参考: NVD / Red Hat
CVE-2025-49796(メモリ破損)
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-125(境界外読み取り)
- 影響製品: libxml2(同上)
- 概要: XML Schematron の
<sch:name>要素処理中にメモリ破損が発生します。攻撃者が細工した XML 入力を処理させることで libxml2 を利用するアプリケーションのクラッシュや DoS を引き起こします。 - 修正: 上記 Red Hat Errata と同一パッチに含まれます
CVE-2026-43083 — Linux kernel net/ioam6 境界外アクセス
- CVSSスコア: 9.1 (Critical)
- CWE: CWE-125(境界外読み取り)
- 影響製品: Linux kernel(ioam6 モジュール利用環境)
- 概要:
trace->type.bit6がセットされているとき、is_inputが true の場合(受信パスにあるパケット)にskb->queue_mappingが受信側のキューインデックスを保持したまま送信デバイスのdev->_tx[]配列へのアクセスに使用され、配列外アクセスが発生します。IPv6 IOAM(In-situ OAM)のトレース機能を利用している環境が対象です。 - 修正バージョン: kernel commit 適用済みバージョン(git.kernel.org 参照)
- 参考: NVD / kernel.org patch
CVE-2026-33844 — Azure Managed Instance for Apache Cassandra リモートコード実行
- CVSSスコア: 9.0 (Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響製品: Microsoft Azure Managed Instance for Apache Cassandra
- 概要: アクセス制御の不備により、認証済み攻撃者がネットワーク経由で任意のコードを実行できます。Azure Managed Cassandra を使用しているクラウド環境が対象で、Microsoft の修正が提供済みです。パッチは Azure 側で自動適用される場合がありますが、利用状況の確認を推奨します。
- 修正: Microsoft セキュリティ更新(MSRC CVE-2026-33844)
- 参考: MSRC
CVE-2026-41179 — RClone 未認証バックエンド制御によるRCE
- 深刻度: Critical(GHSA-jfwf-28xr-xw6q)
- 影響製品: github.com/rclone/rclone v1.73.4 以前
- 概要:
operations/fsinfoエンドポイントが認証なしに受け付けられ、攻撃者が制御するバックエンドをインスタンス化してローカルコマンドを実行できます。RClone のリモートコントロール機能(rclone rcd)を有効にしている環境が対象です。 - 修正バージョン: rclone v1.73.5 以降
- 参考: GitHub Advisory GHSA-jfwf-28xr-xw6q
CVE-2026-45695 — Kopia SSH ProxyCommand インジェクションによるRCE
- 深刻度: Critical(GHSA-2q4c-3mrw-63c3)
- 影響製品: github.com/kopia/kopia v0.22.x 以前
- 概要: Kopia の SSH バックエンドが SSH ProxyCommand の設定を適切に検証せず、攻撃者が制御するリポジトリ設定によって任意のコマンドがインジェクションされます。バックアップスクリプトやCI/CD環境でKopiaを利用しているケースでの影響に注意が必要です。
- 修正バージョン: kopia v0.23.0 以降
- 参考: GitHub Advisory GHSA-2q4c-3mrw-63c3
CVE-2026-5883 — Google Chrome Media use-after-free
- CVSSスコア: 8.8 (High)
- CWE: CWE-416(解放済みメモリの使用)
- 影響製品: Google Chrome 147.0.7727.55 未満
- 概要: Chrome の Media コンポーネントにユーズ・アフター・フリー脆弱性が存在します。リモートの攻撃者が細工した HTML ページを介してサンドボックス内で任意のコードを実行できます。Chromium security severity: Medium ですが NVD スコアは 8.8 High です。
- 修正バージョン: Chrome 147.0.7727.55 以降
- 参考: NVD / Chrome Releases
CVE-2026-22029 — React Router XSS (オープンリダイレクト経由)
- CVSSスコア: 8.0 (High)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響製品: react-router v7.0.0〜v7.11.0、@remix-run/router v1.23.1 以前
- 概要: Framework Mode・Data Mode・RSC モードのローダーやアクションから発生するリダイレクトが、信頼できないコンテンツやオープンリダイレクトを介した場合に
javascript:URI 等の unsafe な URL を生成し、クライアント側でスクリプトが実行されます。宣言型モード(<BrowserRouter>)は影響を受けません。 - 修正バージョン: react-router v7.12.0 / @remix-run/router v1.23.2 以降
- 参考: NVD / GitHub Advisory GHSA-2w69-qvjg-hvjx
CVE-2026-23111 — Linux kernel nf_tables use-after-free によるローカル権限昇格
- CVSSスコア: 7.8 (High)
- CWE: CWE-416(解放済みメモリの使用)
- 影響製品: Linux kernel(CONFIG_USER_NS と CONFIG_NF_TABLES が有効なディストリビューション)
- 概要: nf_tables の
nft_map_catchall_activate()でジェネレーションマスクの判定が反転しており、DELSET オペレーションがアボートされた際に NFT_GOTO verdict の catchall 要素に対してnft_data_hold()が呼ばれず、chain->useが永続的にデクリメントされます。chain->useがゼロになると DELCHAIN が成功してチェーンが解放され、catchall 要素から参照が残ったままになり use-after-free となります。user namespaces と nftables を使用できる非特権ユーザーからのローカル権限昇格として悪用可能です。 - 修正バージョン: kernel commit 適用済みバージョン
- 参考: NVD / kernel.org patch
CVE-2024-8950 ほか — トルコ製業務ソフトウェアSQLインジェクション一括更新(CVSS 9.8〜9.9)
本日のNVD更新でも前日に続き、トルコ国家サイバーセキュリティ機関(siberguvenlik.gov.tr / USOM)から報告された業務系ソフトウェアのSQLインジェクション群が多数登録されています。
- CVE-2024-8950 (CVSS 9.9): Arne Informatics Piramit Automation — ブラインドSQLi
- CVE-2024-8607 / CVE-2024-8643 (CVSS 9.8): Oceanic Software ValeApp — SQLi / セッション固定
- CVE-2024-10035 (CVSS 9.8): BG-TEK CoslatV3 — コマンドインジェクション(ベンダーサポート終了)
- CVE-2024-8972 (CVSS 9.8): Mobil365 Saha365 App — SQLi
- CVE-2024-11739 (CVSS 9.8): Case Informatics Case ERP — SQLi
いずれも日本国内での直接利用は限定的ですが、パターン把握として参照ください。
エコシステム別サマリー
npm
OSV データで Nuxt(CVE-2026-47200)のルートミドルウェア未適用バグが報告されています。experimental.componentIslands 有効時(Nuxt 4 はデフォルト)、/__nuxt_island/page_* エンドポイントでページコンポーネントを SSR レンダリングする際に Vue Router が初期化されず、definePageMeta({ middleware }) で定義したミドルウェアがスキップされます。nuxt v3.21.6 / v4.4.6 で修正済みです。
また pm2 に ReDoS(GHSA-x5gf-qvw8-r2rm)が報告されています。深刻度は Low ですが pm2 v7.0.0 へのアップデートで修正されます。
Go
RClone(CVE-2026-41179)と Kopia(CVE-2026-45695)の双方で Critical の RCE が公開されています。バックアップ・クラウド同期用途で広く利用されているツールであり、リモートコントロール機能を有効にしている環境は早急な確認が必要です。
PyPI
Open WebUI(CVE-2026-45315、High)に POST /api/v1/audio/transcriptions 経由の Stored XSS が報告されています。攻撃者が制御するファイル拡張子を悪用するもので、v0.9.3 で修正済みです。LLM フロントエンドとして Open WebUI を利用している環境は確認を推奨します。
RubyGems
Katello(GHSA-fwj4-6wgp-mpxm)に SQL インジェクションと情報漏えいの可能性がある Moderate 脆弱性が報告されました(CVE-2026-4324)。katello v4.19.1 で修正済みです。Red Hat Satellite を利用している場合は RHSA-2026:22326 等を確認ください。
JVN 日本語情報
JVNDB-2026-000077 — ServerView Agents for Windows 複数の脆弱性
- CVE: CVE-2026-32325(権限昇格)/ CVE-2026-27788(不適切なアクセス権割り当て)
- CVSSスコア: 7.8 (High)
- 影響製品: エフサステクノロジーズ製 ServerView Agents for Windows
- 概要: 重要なリソースへの不適切なアクセス権割り当て(CWE-732)と権限昇格(CWE-268)の複数脆弱性です。ローカルユーザーが管理者権限を取得できる可能性があります。情報セキュリティ早期警戒パートナーシップを通じ、株式会社ラック・飯田雅裕氏が IPA に報告し JPCERT/CC が調整を実施しました。
- 参考: JVN
まとめ
本日はインフラ系ソフトウェアへの影響が広い脆弱性が複数重なっています。最優先は libxml2 の 2件(CVE-2025-49794、CVE-2025-49796) で、Red Hat 系ディストリビューション利用者は Errata の適用状況を確認してください。Linuxカーネル の CVE-2026-23112(nvmet-tcp)と CVE-2026-23111(nf_tables LPE)も影響範囲が広く、nf_tables の LPE はユーザー名前空間を有効にしている環境では非特権ユーザーからの権限昇格に悪用されます。
バックアップ・同期ツールの RClone(v1.73.5) と Kopia(v0.23.0) はいずれも Critical 修正を含むアップデートが出ています。リモートコントロール機能を有効にしていない環境でも、バージョンアップの計画を立てることを推奨します。React Router v7 系(v7.0.0〜v7.11.0)を使用している Web アプリは v7.12.0 へのアップデートも確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。