本日の概況
2026年6月5日は、NVDで200件のCVEが公開・更新され、うちCriticalが29件と多めです。Progress SiteffinityとOracle REST Data ServicesにCVSS 10.0の脆弱性が報告されており、Apache Camel(CVE-2026-47323、CVSS 9.8)のメッセージヘッダーインジェクションによるRCEも注目されます。Mirasvit Full Page Cache Warmer(Magento 2用)のPHPオブジェクトインジェクション(CVE-2026-45247)はCISA KEVへの登録も確認されており、Magento 2環境の利用者は早急な確認が推奨されます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE(NVD) | 200件 |
| Critical(9.0+) | 29件 |
| High(7.0-8.9) | 84件 |
| Medium(4.0-6.9) | 76件 |
| Low(0-3.9) | 7件 |
| GHSA アドバイザリ | 362件 |
| 影響エコシステム | npm, PyPI, Maven, Go, Packagist, crates.io |
Critical / High 脆弱性 詳細
CVE-2026-46840 — Oracle REST Data Services 認証バイパスによるシステム乗っ取り
- CVSS スコア: 10.0(CRITICAL)
- CWE: CWE-284(不適切なアクセス制御)、CWE-287(認証不備)、CWE-306(重要機能への認証なし)
- 影響バージョン: Oracle REST Data Services 24.2.0〜26.1.0
- 概要: Oracle REST Data Services の Backend-as-a-Service コンポーネントに認証バイパスの脆弱性が存在します。未認証の攻撃者がHTTPS経由でネットワークから容易にシステムを完全に掌握できる可能性があります(機密性・完全性・可用性すべてに影響)。スコープ変更(隣接製品への影響)を含むCVSS 10.0は最高スコアです。
- 修正: Oracle Critical Patch Update(2026年5月)を適用してください。
- 参考: Oracle Security Alerts(2026年5月) / NVD
CVE-2026-7312 — Progress Sitefinity 認証情報の平文露出
- CVSS スコア: 10.0(CRITICAL)
- CWE: CWE-522(不十分に保護された認証情報)
- 影響バージョン: Sitefinity 14.0.7700〜14.4.8152、15.0.8200〜15.0.8234、15.1.8300〜15.1.8335、15.2.8400〜15.2.8441、15.3.8500〜15.3.8531、15.4.8600〜15.4.8630
- 概要: Progress Sitefinity のウェブサービスにおいて、Sitefinity Insight サービスへの接続に使用される認証情報が平文で取得できる脆弱性です。未認証の遠隔攻撃者がこれを悪用できます。Sitefinity Insight との連携が有効な場合、かつ非デフォルト設定の場合に成立します。
- 修正バージョン: 各系列の最新版(15.4.8630以降)へアップデート
- 参考: Progress コミュニティ アドバイザリ / NVD
CVE-2026-44477 — CloudNativePG Kubernetes上のPostgreSQL スーパーユーザー権限昇格
- CVSS スコア: 9.9(CRITICAL)
- CWE: CWE-250(不必要な権限での実行)、CWE-426(信頼できない検索パス)
- 影響バージョン: CloudNativePG 1.29.0 以前、1.28.2 以前
- 概要: CloudNativePG のメトリクスエクスポーターが、PostgreSQL スーパーユーザー権限でUnixソケット接続を行い、その後
SET ROLE pg_monitorで権限を降格する実装です。しかしSET ROLEはcurrent_userのみ変更し、session_user(postgres)が残ります。スクレイプセッション内でSQL式を評価できる攻撃者がRESET ROLEを呼び出してスーパーユーザー権限を復元し、COPY ... TO PROGRAM経由でOSレベルのサブプロセスを起動できます。READ ONLY トランザクションフラグではこの経路をブロックできません。 - 修正バージョン: 1.29.1 または 1.28.3 以降
- 参考: GHSA-423p-g724-fr39 / NVD
CVE-2026-47323 — Apache Camel メッセージヘッダーインジェクションによる RCE
- CVSS スコア: 9.8(CRITICAL)
- CWE: CWE-178(大文字小文字の不適切な区別)
- 影響バージョン: Apache Camel 3.18.0〜4.14.5、4.15.0〜4.18.1
- 概要: Apache Camel の
camel-cxf-rest、camel-cxf-transport、camel-knative-httpコンポーネントのヘッダーフィルター実装が、送信フィルターのみを設定し、受信フィルターを設定していません。未認証の攻撃者がHTTPリクエスト経由でCamel内部ヘッダー(CamelExecCommandExecutable等)を注入し、camel-execやcamel-fileなどのコンポーネントへの転送時に任意のコード実行やファイル書き込みが可能となります。過去の CVE-2025-27636、CVE-2025-29891 と同系列の問題です。 - 修正バージョン: 4.19.0(推奨)、または 4.18.2(4.18.x系)、4.14.6(4.14.x系)
- 参考: Apache Camel セキュリティアドバイザリ / NVD
CVE-2026-45247 — Mirasvit Full Page Cache Warmer(Magento 2)PHP オブジェクトインジェクション ※CISA KEV 登録
- CVSS スコア: 9.8(CRITICAL)
- CWE: CWE-502(信頼できないデータのデシリアライゼーション)
- 影響バージョン: Mirasvit Full Page Cache Warmer for Magento 2 < 1.11.12
- 概要:
CacheWarmerクッキーに格納されたシリアライズ済みPHPオブジェクトが検証なしにunserialize()に渡されます。Magento およびその依存ライブラリのガジェットチェーンを利用して、未認証の攻撃者がリモートからコードを実行できます。CISA KEV(既知の悪用された脆弱性カタログ)に登録済みであり、実際の悪用が確認されています。 - 修正バージョン: 1.11.12 以降
- 参考: Sansec リサーチ / CISA KEV / NVD
CVE-2026-4480 — Samba 印刷サブシステム OS コマンドインジェクション
- CVSS スコア: 9.0(CRITICAL)
- CWE: CWE-78(OSコマンドインジェクション)
- 影響バージョン: Samba(
print command設定で%J置換を使用している環境) - 概要: Samba の印刷サブシステムにおいて、クライアントが制御する印刷ジョブ説明文字列が
%J置換を介してprint command設定に渡される際、シェルメタ文字がエスケープされない問題です。細工された印刷ジョブ説明によってリモートからコードが実行できます。非標準のprint command設定(%J使用時)が主な対象です。 - 修正: ディストリビューション提供のパッチを適用してください(Red Hat: RHSA-2026:22644、RHSA-2026:22963)。
- 参考: Samba Bugzilla #16033 / NVD
CVE-2026-9311 / CVE-2026-9319 / CVE-2026-8644 — IBM WebSphere Application Server 複数の重大脆弱性
IBM WebSphere Application Server 9.0 および 8.5 に複数の Critical 脆弱性が公開されました。
| CVE | CVSS | 概要 |
|---|---|---|
| CVE-2026-9311 | 9.0 | セキュリティコントロールのバイパスによるリモートコード実行(CWE-94) |
| CVE-2026-9319 | 9.0 | JAX-WS / WS-Security エンドポイント経由のデシリアライゼーション RCE(CWE-502) |
| CVE-2026-8644 | 9.1 | アイデンティティスプーフィング(CWE-290) |
- 影響バージョン: WebSphere Application Server 9.0、8.5
- 修正: IBM サポートページのセキュリティ情報(7274733、7274738、7274740)を参照してください。
エコシステム別サマリー
npm
-
CVE-2024-52011 —
launch-editor/vite(High)
Windowsでのコマンドインジェクション(ファイル名に特殊文字を使用)。launch-editor2.9.0以降 /vite5.4.9以降へアップデート。 -
CVE-2026-47200 —
nuxt/@nuxt/nitro-server(CVSSスコア評価中)
experimental.componentIslands有効時、/__nuxt_island/page_*エンドポイント経由でルートミドルウェアが未適用となる問題。認証・認可ミドルウェアが回避される可能性があります。nuxt3.21.6 / 4.4.6以降へアップデート。 -
CVE-2026-42211 —
react-router(High)
turbo-stream v2のデシリアライゼーションによる任意コンストラクタ呼び出し → 未認証RCE。7.14.2以降へアップデート。 -
CVE-2026-33245 —
react-router(High)
RSCリダイレクト処理におけるjavascript:URL経由のXSS。7.13.2以降へアップデート。 -
CVE-2026-42342 —
react-router(High)
__manifestエンドポイントの無制限パス展開によるDoS。7.15.0以降へアップデート。 -
CVE-2026-44488 —
axios(High)
リソース割り当て制限なしによるDoS。axios1.16.0以降へアップデート。 -
CVE-2026-49143 —
browserstack-runner(High)
_logHTTPハンドラーのVMサンドボックスエスケープによるRCE。修正バージョン未公開のため利用状況を確認してください。
PyPI
-
CVE-2026-2611 —
mlflow(Critical)
MLflow Assistant の/ajax-apiエンドポイントにおけるオリジン検証不備によるブラウザ経由のローカルコマンド実行。mlflow3.10.0以降へアップデート。 -
CVE-2026-44182 / CVE-2026-44180 —
jupyter_enterprise_gateway(Critical × 2)
KubernetesマニフェストへのJinja2テンプレートインジェクション(CVE-2026-44182)およびContainerProcessProxy._enforce_prohibited_idsのバイパス(CVE-2026-44180)。3.3.0以降へアップデート。 -
CVE-2026-46517 —
lmdeploy(High)
trust_remote_code=Trueのハードコードによる暗黙的なリモートコード実行パス。修正バージョン未公開のため、信頼できないモデルの読み込みを避けてください。
Maven(Keycloak 複数アドバイザリ)
Keycloak 26.6.2以降へのアップデートで全件修正されます。
| CVE | 深刻度 | 概要 |
|---|---|---|
| CVE-2026-7507 | High | OIDCログインフローのセッション固定 → アカウント乗っ取り |
| CVE-2026-7571 | High | 偽装クライアントデータによるアクセストークン開示 |
| CVE-2026-7307 | High | 細工されたSAML入力によるDoS |
| CVE-2026-7504 | High | ワイルドカード設定時のオープンリダイレクト |
| CVE-2026-37979 | Moderate | OIDCトークンイントロスペクション エンドポイントのAudienceバイパス |
| CVE-2026-37978 | Moderate | evaluate-scopes Admin API経由の情報開示 |
| CVE-2026-37982 | Moderate | WebAuthnトークンのリプレイ攻撃 |
Packagist
- CVE-2026-41234 —
froxlor/froxlor(High)
TXTレコード内容を介したBINDゾーンファイルインジェクション。froxlor2.3.7以降へアップデート。
JVN 日本語情報
CVE-2026-8174 — WordPress プラグイン「Zoho Mail for WordPress」CSRF 脆弱性
- 深刻度: Medium(CVSS 4.3)
- 概要: Zohoが提供するWordPress用プラグイン「Zoho Mail for WordPress」にクロスサイトリクエストフォージェリ(CWE-352)の脆弱性が存在します。IPAへの報告とJPCERT/CCの調整により公開されました(報告者: 阿部 則夫 氏)。
- 参考: JVNDB-2026-000081
JVNDB-2026-017615 — Collibra Platform Agent 複数の脆弱性
- 深刻度: CVSS 未評価(CERT/CC VU#873170)
- 概要: Collibra Agent に不適切な認証(improper authentication)とパストラバーサルの脆弱性が存在すると、CERT/CCが報告しています。
- 参考: JVNDB-2026-017615
JVNDB-2026-017614 — Appsmith クロスサイトスクリプティングの脆弱性
- 深刻度: CVSS 未評価(CERT/CC VU#265691)
- 概要: AppsmithのSQLクエリオートコンプリートレンダラーにクロスサイトスクリプティングの脆弱性が存在すると、CERT/CCが報告しています。
- 参考: JVNDB-2026-017614
まとめ
本日の最重要事項は3点です。
-
CVSS 10.0の2件(Oracle REST Data Services: CVE-2026-46840、Progress Sitefinity: CVE-2026-7312)は、未認証のリモート攻撃者がシステムを完全掌握できる最高深刻度の脆弱性です。該当製品の利用者はベンダーアドバイザリを確認のうえ早急なパッチ適用を検討してください。
-
CVE-2026-45247(Mirasvit Magento 2 Cache Warmer、CVSS 9.8)はCISA KEVへの登録が確認されており、実際の悪用が報告されています。Magento 2環境の利用者は1.11.12以降への更新を優先してください。
-
Apache Camel CVE-2026-47323(CVSS 9.8) はCXF-RS・CXF-SOAPエンドポイントを利用している場合にRCEのリスクがあります。4.14.x系は4.14.6、4.18.x系は4.18.2、それ以外は4.19.0以降への更新を推奨します。
Keycloak を利用している環境では、High 4件・Moderate 3件を含む複数のアドバイザリが公開されています。26.6.2以降への更新で一括対応できます。IBM WebSphere Application Server 9.0/8.5 利用者も、RCEおよびアイデンティティスプーフィングの修正を早急に適用してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。