つみかさね

【セキュリティ日報】AWS Redshift RCEほか Critical2件、計11件の注目アドバイザリ

2026-06-04データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Amazon Redshift Python ドライバ eval() インジェクション RCE
CVE-2026-8838
redshift-connector 2.1.14 以降へアップデート
high対応必須
Azure Key Vault Keys ライブラリ セキュリティ機能バイパス
CVE-2026-33117
azure-security-keyvault-keys 4.10.6 以降へアップデート
high推奨
Docker(Moby)AuthZ プラグインバイパス
CVE-2026-34040
Docker Engine 29.3.1 以降へアップデート
high推奨
JupyterLab 悪意ある拡張機能インストール許可
CVE-2026-42266
jupyterlab 4.5.7 以降へアップデート
high推奨
ruby-jwt 空キー HMAC バイパス
CVE-2026-45363
jwt gem 2.10.3(2.x 系)または 3.2.0(3.x 系)以降へアップデート
high推奨
Apache Thrift 証明書ホスト名検証不備
CVE-2026-43869
libthrift 0.23.0 以降へアップデート
high推奨
Apache Camel Infinispan 信頼できないデータのデシリアライズ
CVE-2026-6857
camel-infinispan 4.20.0 以降へアップデート
CVEAWSDockerAzureApacheJupyterLabICS/SCADA

本日の概況

2026年6月4日は、GitHub Advisory Database(GHSA)を中心に Critical 2件・High 5件を含む11件の注目アドバイザリが確認されました。Amazon Redshift Python ドライバの RCE 脆弱性(CVE-2026-8838)が特に深刻で、データパイプラインを扱うチームは早急な確認が推奨されます。また、NVD では産業制御システム(ICS/SCADA)系を中心に既存 CVE 610 件のメタデータが一括更新されました。

本日の概要

指標数値
新規・注目アドバイザリ(GHSA/OSV/MyJVN)11件
Critical(GHSA)2件
High(GHSA)5件
Medium / Moderate4件
NVD 一括更新(ICS/SCADA 系)610件(Critical 54件、High 85件)
影響エコシステムnpm, PyPI, Go, Maven, RubyGems

Critical / High 脆弱性 詳細

CVE-2026-8838 — Amazon Redshift Python ドライバ RCE(eval() インジェクション)

  • 深刻度: Critical(GHSA 分類、CVSS スコア評価中)
  • 影響パッケージ: redshift-connector(PyPI)< 2.1.14
  • 概要: amazon-redshift-python-driver において eval() を用いたコードインジェクションが可能な脆弱性。攻撃者が細工されたデータを送り込むことで、サーバー上で任意コードを実行できる可能性があります。AWS セキュリティ情報(2026-033-aws)としても公開されています。
  • 修正バージョン: redshift-connector 2.1.14 以降
  • 参考: GHSA-29h4-r29x-hchv / NVD

CVE-2026-33117 — Azure Key Vault Keys ライブラリ セキュリティ機能バイパス

  • 深刻度: Critical(GHSA 分類、CVSS スコア評価中)
  • 影響パッケージ: com.azure:azure-security-keyvault-keys(Maven)< 4.10.6
  • 概要: Azure SDK for Java の Key Vault キー管理ライブラリに、セキュリティ機能をバイパスできる脆弱性。Microsoft MSRC からも CVE として認定されています。クラウド上のキー管理・暗号化処理に影響する可能性があります。
  • 修正バージョン: azure-security-keyvault-keys 4.10.6 以降
  • 参考: GHSA-97jf-46m3-8953 / Microsoft MSRC / NVD

CVE-2026-34040 — Docker(Moby)AuthZ プラグインバイパス

  • 深刻度: High(GHSA 分類)
  • 影響パッケージ: github.com/moby/moby(Go)< 29.3.1、github.com/moby/moby/v2 < 2.0.0-beta.8
  • 概要: Docker の認証プラグイン(AuthZ)が、過大なリクエストボディを受け取った場合にバイパスされる脆弱性。過去に修正された CVE-2024-41110 のリグレッションとされています。認可プラグインを使用している Docker 環境は影響範囲を確認してください。
  • 修正バージョン: Docker Engine 29.3.1 以降
  • 参考: GHSA-x744-4wpc-v9h2 / NVD

CVE-2026-42266 — JupyterLab 悪意ある拡張機能のインストール許可

  • 深刻度: High(GHSA 分類)
  • 影響パッケージ: jupyterlab(PyPI)< 4.5.7
  • 概要: JupyterLab の Extension Manager において、GUI 側ポリシーと API 側ポリシーに乖離があり、POST リクエスト経由でサードパーティ製(悪意ある)拡張機能のインストールが可能になる脆弱性。データサイエンス環境での多人数利用時に注意が必要です。
  • 修正バージョン: jupyterlab 4.5.7 以降
  • 参考: GHSA-37w4-hwhx-4rc4 / NVD

CVE-2026-45363 — ruby-jwt 空キーによる HMAC バイパス

  • 深刻度: High(GHSA 分類)
  • 影響パッケージ: jwt(RubyGems)< 2.10.3(2.x 系)または < 3.2.0(3.x 系)
  • 概要: ruby-jwt において、空(empty)の HMAC 秘密鍵を使用した場合に署名検証がバイパスされる脆弱性。CVE-2026-44351 の言語横断的な問題のひとつとされています。JWT 認証に依存する Ruby アプリケーションは影響範囲の確認が推奨されます。
  • 修正バージョン: jwt 2.10.3 以降(2.x 系)または 3.2.0 以降(3.x 系)
  • 参考: GHSA-c32j-vqhx-rx3x

CVE-2026-43869 — Apache Thrift 証明書ホスト名検証不備

  • 深刻度: High(GHSA 分類)
  • 影響パッケージ: org.apache.thrift:libthrift(Maven)< 0.23.0
  • 概要: Apache Thrift の TLS 実装において、証明書のホスト名と接続先ホストの検証が適切に行われない脆弱性(CWE-297)。中間者攻撃のリスクがあります。
  • 修正バージョン: libthrift 0.23.0 以降
  • 参考: GHSA-7pwc-h2j2-rjgj / NVD

CVE-2026-6857 — Apache Camel Infinispan 信頼できないデータのデシリアライズ

  • 深刻度: High(GHSA 分類)
  • 影響パッケージ: org.apache.camel:camel-infinispan(Maven)< 4.20.0
  • 概要: Apache Camel の camel-infinispan コンポーネントで、信頼できないデータのデシリアライズが可能な脆弱性。Red Hat から複数のセキュリティ Errata も公開されています。
  • 修正バージョン: camel-infinispan 4.20.0 以降
  • 参考: GHSA-xfxp-ppx7-cqrp / NVD

エコシステム別サマリー

npm

  • CVE-2026-47200 — Nuxt のルートミドルウェア未適用
    • nuxt / @nuxt/nitro-server(npm)< 3.21.6 または < 4.4.6
    • experimental.componentIslands 有効時、/__nuxt_island/page_* エンドポイント経由でページを描画する際にルートミドルウェアが実行されない問題。認証・認可ミドルウェアが回避される可能性があります。
    • 修正: 3.21.6 / 4.4.6 以降

PyPI

  • CVE-2026-8838(redshift-connector): Critical — RCE
  • CVE-2026-42266(jupyterlab): High — 悪意ある拡張機能インストール

Go

  • CVE-2026-34040(github.com/moby/moby): High — AuthZ プラグインバイパス

Maven

  • CVE-2026-33117(azure-security-keyvault-keys): Critical — セキュリティ機能バイパス
  • CVE-2026-6857(camel-infinispan): High — 信頼できないデシリアライズ
  • CVE-2026-43869(libthrift): High — 証明書ホスト名検証不備
  • CVE-2026-6860(vertx-core): Moderate — SNI キャッシュ肥大化による DoS(修正: 4.5.27 以降)

RubyGems

  • CVE-2026-45363(jwt): High — 空キー HMAC バイパス

JVN 日本語情報

  • 深刻度: Medium(CVSS 6.8)
  • 概要: TP-Link 製無線 LAN ルーター Archer BE450 および BE7200 に OS コマンドインジェクション(CWE-78)の脆弱性。報告者: 株式会社ゼロゼロワン 早川 宙也 氏。
  • 参考: JVNDB-2026-017436

CVE-2026-8174 — WordPress プラグイン「Zoho Mail for WordPress」CSRF 脆弱性

  • 深刻度: Medium(CVSS 4.3)
  • 概要: WordPress 用プラグイン「Zoho Mail for WordPress」にクロスサイトリクエストフォージェリ(CSRF/CWE-352)の脆弱性。報告者: 阿部 則夫 氏(情報セキュリティ早期警戒パートナーシップ)。
  • 参考: JVNDB-2026-000081

JVNDB-2026-017438 — Windowsカーネルドライバ「PCTCore64.sys」不適切なアクセス制御

  • 深刻度: CVSS 未評価
  • 概要: Windows カーネルドライバ PCTCore64.sys において不適切なアクセス制御の脆弱性が指摘されています(CERT/CC VU#158530)。
  • 参考: JVNDB-2026-017438

NVD ICS/SCADA 系一括更新について

本日の NVD フィードには、2026年6月2〜3日にメタデータが更新された産業制御システム(ICS/SCADA)関連の既存 CVE が610件含まれています。内訳は Critical 54件・High 85件・Medium 48件・Low 1件・None 12件です。主な対象製品は Siemens SIMATIC/SINAMICS シリーズ、Rockwell Automation Allen-Bradley MicroLogix/ControlLogix、Moxa NPort シリーズ、Echelon SmartServer などです。これらは新規発見ではなく既知の脆弱性のデータ更新ですが、ICS 環境を運用している方は最新の評価情報を確認することをお勧めします。

まとめ

本日の最重要事項は、Amazon Redshift Python ドライバの RCE(CVE-2026-8838)と Azure Key Vault の Critical 脆弱性(CVE-2026-33117)です。データ基盤や Azure SDK を利用しているチームは、影響バージョンの確認とアップデートを検討してください。Docker(Moby)の AuthZ バイパス(CVE-2026-34040)は広く利用されているソフトウェアへの影響のため注意が必要です。ruby-jwt の空キーバイパス(CVE-2026-45363)は JWT 認証を利用する Ruby アプリケーションに影響するため、合わせて確認を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。