【セキュリティ日報】Chrome 149でサンドボックス脱出15件ほか Critical 30件

本日は NVD で 200 件の CVE が公開・更新されました。うち Critical が 30 件、High が 68 件と多めです。最注目は Google Chrome の大規模セキュリティアップデート（149.0.7827.53）で、CVSS 9.6 のサンドボックス脱出が 15 件含まれます。Samba の OS コマンドインジェクション（CVSS 9.0）や Apache Fury のデシリアライズ RCE（CVSS 9.1）も早急な対応が推奨されます。

本日の概要

Critical / High 脆弱性の詳細

Google Chrome 149.0.7827.53 — 複数のサンドボックス脱出

Google Chrome が 2026年6月4日に大規模セキュリティアップデートを公開しました。CVSS 9.6 のサンドボックス脱出が 15 件を含む、計 50 件以上の CVE が修正されています。

主な Critical CVE（CVSS 9.6）:

いずれもレンダラープロセスが侵害された状態での sandbox escape が可能になる脆弱性です。細工された HTML ページを開かせることで、攻撃者がサンドボックス外のリソースへアクセスできる可能性があります。

対策: Chrome を 149.0.7827.53 以降へ更新してください。自動更新が有効な環境では再起動により適用されます。

• 参考: Chrome Releases Blog

CVE-2026-4408 — Samba OS コマンドインジェクション

CVSS スコア: 9.0 (Critical) | CWE: CWE-78

影響を受ける構成: check password script を %u オプション付きで設定している Samba ファイルサーバ / クラシックドメインコントローラ

Samba の check password script 機能において、%u（ユーザー名代替）を使用している場合、クライアントが制御するユーザー名のシェルメタキャラクターが適切にエスケープされず、スクリプトに渡されます。samba-dcerpcd がシステムサービスとして起動している環境で再現します。標準的な Samba 構成には影響しません。

対策:

• Red Hat 提供パッチ（RHSA-2026:22644、RHSA-2026:22963）を適用

• smb.conf の check password script 設定を見直し、%u の使用を排除する

• 参考: NVD

CVE-2026-50076 — Apache Fury デシリアライズ RCE

CVSS スコア: 9.1 (Critical) | CWE: CWE-502

影響を受けるバージョン: Apache Fury fory-core Java SDK 1.1.0 未満

Java/JVM プラットフォームの Apache Fury（旧称: Fory）における Java replace-resolve パスの脆弱性です。クラスの登録チェック、TypeChecker、DisallowedList の検証を回避し、クラスパス上の readResolve/readExternal フックを呼び出すことで任意コードを実行できます。リモートからの細工されたシリアライズデータを受け付けるサービスで影響を受けます。

対策: Apache Fury 1.1.0 以降へアップデートしてください。

• 参考: Apache Fury Security | NVD

CVE-2026-47429 — Vitest UI サーバ経由の任意ファイル読み取り・実行

CVSS: Critical（GHSA-5xrq-8626-4rwp）

影響を受けるバージョン: vitest 3.2.6 未満、vitest 4.1.0 未満

Vitest の UI サーバが起動している状態で、@vitest/browser パッケージのファイルシステムアクセスにパス制限が設けられていないため、ホスト上の任意のファイルを読み取り・実行できます。CI/CD パイプラインや開発環境で Vitest UI サーバを公開している場合に影響が及びます。

対策: vitest 3.2.6 または 4.1.0 以降へアップデートしてください。

• 参考: GHSA-5xrq-8626-4rwp

CVE-2026-26956 — vm2 WASM サンドボックス脱出

CVSS: Critical（GHSA-ffh4-j6h5-pg66）

影響を受けるバージョン: vm2 3.10.5 未満

Node.js のサンドボックスライブラリ vm2 において、WebAssembly を利用したサンドボックス脱出が可能な脆弱性です。vm2 は廃止予定（deprecated）ですが、依存パッケージ経由で引き続き利用されているケースが多くあります。

対策: vm2 3.10.5 以降へ更新するか、isolated-vm などの代替ライブラリへの移行を検討してください。

• 参考: GHSA-ffh4-j6h5-pg66

IoT デバイス群 — 複数の Critical 脆弱性（CVSS 9.8）

Acer Connect デバイス関連（いずれも CVSS 9.8）:

• CVE-2026-49197: HTTP Authorization ヘッダーの検証不備による認証バイパス
• CVE-2026-49200: ログファイル acer_cgi.log に平文の認証情報が含まれており、認証なしでアクセス可能
• CVE-2026-49201: バックアップ処理の AES キーがファームウェアにハードコードされており、バックアップの改ざんが可能

T3 Technology CPE（T625Pro v1.0.07, T6825G v1.0.03, T7281 v1.0.03）:

• CVE-2026-35904（CVSS 9.8）: CGI コンポーネント経由で Telnet サービスを未認証で有効化可能
• CVE-2026-35905（CVSS 9.8）: superadmin アカウントのハードコードパスワード

これらのデバイスを運用している場合は、ベンダーのセキュリティアドバイザリを確認してください。

エコシステム別サマリー

PyPI — Django 複数の脆弱性

OSV データには Django の脆弱性が 24 件含まれており、複数のリリース系列にわたる修正情報が更新されています。

Django 4.2 系・5.2 系・6.0 系を使用している場合は、それぞれ最新バージョンへの更新を推奨します。

npm

• CVE-2026-42039（axios）: toFormData における無制限再帰による DoS。axios 1.15.1 / 0.31.1 で修正済み。
• CVE-2024-52011（launch-editor）: Windows での細工されたファイル名による OS コマンドインジェクション。launch-editor 2.9.0 / vite 5.4.9 で修正済み。

Go

• CVE-2026-42154（Prometheus）: リモートリードエンドポイントへの細工された snappy ペイロードによる DoS（High）。Prometheus 0.305.2 / 0.311.3 で修正済み。
• GHSA-p7mv-53f2-4cwj（CometBFT）: 無効なデータを含む Pre-commit 受信時のパニックによる DoS。CometBFT 0.38.15 で修正済み。

JVN 日本語情報

本日の MyJVN データには該当する脆弱性対策情報はありませんでした。

まとめ

本日の最大のトピックは Google Chrome 149.0.7827.53 の大規模アップデートです。CVSS 9.6 のサンドボックス脱出が 15 件含まれており、企業環境でのブラウザ更新管理の重要性が改めて示されました。Chrome の自動更新が有効な環境では再起動により適用されますが、強制アップデートポリシーを持つ組織では展開状況の確認を推奨します。

Samba と Apache Fury は Critical（9.0 以上）の RCE 系脆弱性であり、特定の構成や旧バージョンを使用している場合は早急なパッチ適用を検討してください。Vitest と vm2 は開発環境・ビルドパイプラインで利用されることが多く、バージョン確認と更新を推奨します。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI 解説は Claude API により自動生成されています。正確性については原文をご確認ください。