2026年6月8日は新規CVEが26件公開され、うちCriticalが2件(いずれもGoogle Chrome)、Highが9件でした。最も深刻なのはGoogle Chrome の Use-after-free(CWE-416)で、CVSSスコアは9.6。レンダラプロセスが侵害された状態でサンドボックス脱出が可能なリスクが指摘されています。Chrome 149.0.7827.53 への早急なアップデートが推奨されます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE | 26件 |
| Critical (9.0+) | 2件 |
| High (7.0-8.9) | 9件 |
| Medium (4.0-6.9) | 13件 |
| Low (0-3.9) | 1件 |
| 影響エコシステム | npm, PyPI |
Critical / High 脆弱性の詳細
CVE-2026-11002 — Google Chrome Autofill Use-after-free(CVSS 9.6)
- CVSS スコア: 9.6 (CRITICAL)
- CWE: CWE-416 (Use After Free)
- 影響を受けるソフトウェア: Google Chrome 149.0.7827.53 未満(全プラットフォーム)
- 概要: Autofill コンポーネントに解放済みメモリの使用(Use-after-free)の脆弱性があります。すでにレンダラプロセスが侵害されている状態の遠隔攻撃者が、細工された HTML ページを介してサンドボックスを脱出できる可能性があります。
- 修正バージョン: Google Chrome 149.0.7827.53 以降
- 参考リンク: NVD / Chrome リリースノート
CVE-2026-11009 — Google Chrome USB Use-after-free(CVSS 9.6)
- CVSS スコア: 9.6 (CRITICAL)
- CWE: CWE-416 (Use After Free)
- 影響を受けるソフトウェア: Google Chrome on Windows 149.0.7827.53 未満
- 概要: USB コンポーネントの Use-after-free 脆弱性です。遠隔の攻撃者が細工された HTML ページを介してサンドボックスを脱出できる可能性があります。Windows 上の Chrome が主な対象です。
- 修正バージョン: Google Chrome 149.0.7827.53 以降
- 参考リンク: NVD / Chrome リリースノート
CVE-2026-26422 — clash-verge-service-ipc ローカル権限昇格(CVSS 8.4)
- CVSS スコア: 8.4 (HIGH)
- CWE: CWE-732 (Incorrect Permission Assignment for Critical Resource)
- 影響を受けるソフトウェア: clash-verge-service-ipc 2.3.0 未満
- 概要: IPC エンドポイントが誰でもアクセス可能な状態になっており、ローカルの攻撃者がこれを悪用して権限昇格できる可能性があります。Clash Verge はプロキシツールとして広く利用されているため、デスクトップ環境での影響範囲が比較的広いと考えられます。
- 修正バージョン: clash-verge-service-ipc v2.3.0 以降
- 参考リンク: NVD / GitHub リリース
CVE-2026-11010 — Google Chrome WebShare Use-after-free(CVSS 8.3)
- CVSS スコア: 8.3 (HIGH)
- CWE: CWE-416 (Use After Free)
- 影響を受けるソフトウェア: Google Chrome on Android 149.0.7827.53 未満
- 概要: WebShare コンポーネントの Use-after-free 脆弱性です。レンダラプロセスが侵害された状態で、遠隔の攻撃者がサンドボックスを脱出できる可能性があります。Android 版 Chrome が対象です。
- 修正バージョン: Google Chrome 149.0.7827.53 以降
- 参考リンク: NVD / Chrome リリースノート
CVE-2026-11012 — Google Chrome Serial Use-after-free(CVSS 8.3)
- CVSS スコア: 8.3 (HIGH)
- CWE: CWE-416 (Use After Free)
- 影響を受けるソフトウェア: Google Chrome on Android 149.0.7827.53 未満
- 概要: Serial コンポーネントの Use-after-free 脆弱性です。レンダラプロセスが侵害された状態で、遠隔の攻撃者がサンドボックスを脱出できる可能性があります。Android 版 Chrome が対象です。
- 修正バージョン: Google Chrome 149.0.7827.53 以降
- 参考リンク: NVD / Chrome リリースノート
CVE-2026-49494 — Comodo Internet Security IPv6整数アンダーフロー(CVSS 7.5)
- CVSS スコア: 7.5 (HIGH)
- CWE: CWE-191 (Integer Underflow)
- 影響を受けるソフトウェア: Comodo Internet Security(Inspect.sys ドライバを含む全バージョン)
- 概要: Comodo のファイアウォールドライバ
Inspect.sysの IPv6 パケットパーサに整数アンダーフローがあります。細工した IPv6 パケット1つを送るだけで、ファイアウォールルール適用前の段階でカーネルレベルの境界外読み取りが発生し、システムがクラッシュ(BSOD)する可能性があります。全ポートブロック状態の環境であっても攻撃が成立するとの報告があります。 - 修正バージョン: ベンダーの公式情報を参照してください。パッチが提供されるまでの間は製品の利用状況を確認し、ベンダー情報を継続的にモニタリングしてください。
- 参考リンク: NVD / MalwareTech 解説
CVE-2026-11450 / CVE-2026-11451 / CVE-2026-11452 — GL.iNet GL-MT3000 コマンドインジェクション(CVSS 7.3 ×3件)
- CVSS スコア: 7.3 (HIGH)
- CWE: CWE-74 / CWE-77 (Command Injection)
- 影響を受けるソフトウェア: GL.iNet GL-MT3000 ファームウェア 4.4.5 以前
- 概要: NAS ディスクイジェクト・FTP プロトコルハンドラ・パスワード設定の各エンドポイントでコマンドインジェクションが可能な状態です。いずれもリモートから攻撃可能で、ファームウェア 4.7 または 4.8.1 で修正されています。
- 修正バージョン: GL.iNet GL-MT3000 ファームウェア 4.7 以降(CVE-2026-11450)、4.8.1 以降(CVE-2026-11451, CVE-2026-11452)
CVE-2026-11456 — Chanjet CRM SQLインジェクション(CVSS 7.3)
- CVSS スコア: 7.3 (HIGH)
- CWE: CWE-89 (SQL Injection)
- 影響を受けるソフトウェア: Chanjet CRM 1.0
- 概要: HTTP GET リクエストの
gblOrgIDパラメータを介して SQL インジェクションが可能です。エクスプロイトがすでに公開されており、現時点でベンダーからの応答およびパッチは確認されていません。 - 参考リンク: NVD
CVE-2026-11457 — JeeWMS JimuReport インジェクション(CVSS 7.3)
- CVSS スコア: 7.3 (HIGH)
- CWE: CWE-74 / CWE-707 (Injection)
- 影響を受けるソフトウェア: erzhongxmu JeeWMS(ローリングリリース)
- 概要: JimuReport の test-connection エンドポイント(
/jmreport/testConnection)に対してインジェクションが可能です。エクスプロイトが公開されており、現時点でベンダーからの応答は確認されていません。 - 参考リンク: NVD
エコシステム別サマリー
npm
launch-editor / Vite — コマンドインジェクション(CVE-2024-52011)
launch-editor パッケージの launchEditor() メソッドで、file 引数のサニタイズが不十分なため、Windows 環境で特殊文字を含むファイル名を通じてコマンドインジェクションが可能です。vite も影響を受けます。修正バージョンは launch-editor@2.9.0 / vite@5.4.9 以降です。
PyPI
Django に関連する複数の脆弱性が OSV に登録されています。今期確認された主な問題:
| CVE ID | 概要 | 修正バージョン |
|---|---|---|
| CVE-2026-8404 | Cache-Control 大文字小文字不一致によるキャッシュ誤判定(情報漏洩) | 5.2.15 / 6.0.6 |
| CVE-2026-35193 | Authorization ヘッダーが Vary に追加されず、未認証リクエストがキャッシュを参照可能 | 5.2.15 / 6.0.6 |
| CVE-2026-6873 | 署名付きクッキーの非単射的な塩導出による文脈外使用 | 5.2.15 / 6.0.6 |
| CVE-2026-7666 | STARTTLS 失敗後に平文接続が再利用される(メール内容漏洩リスク) | 5.2.15 / 6.0.6 |
| CVE-2026-48587 | Vary ヘッダー前後の空白によるキャッシュ誤判定 | 5.2.15 / 6.0.6 |
Django 5.2.x 系を利用している場合は 5.2.15 以降への更新を推奨します。キャッシュ関連の問題が多く、認証情報の漏洩リスクを含むケースがあります。
JVN 日本語情報
本日の MyJVN データには該当する脆弱性対策情報はありませんでした。
まとめ
本日の最重要トピックは Google Chrome の CVSS 9.6 脆弱性群です。Use-after-free によるサンドボックス脱出は攻撃にレンダラプロセスへの事前アクセスが必要ですが、深刻度の高い脆弱性クラスです。Chrome はデスクトップ・モバイル問わず早めの更新を推奨します。
Comodo Internet Security の IPv6 整数アンダーフロー(CVE-2026-49494)は、ファイアウォールで全ポートをブロックしている環境でも外部から BSOD を引き起こせる可能性があるという点で注目度が高く、パッチが提供されるまでの間は状況を継続的にモニタリングしてください。
Django の PyPI 脆弱性はキャッシュ挙動の問題が中心ですが、認証情報の漏洩につながるケースも含まれます。5.2.15 / 6.0.6 への更新を検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。