【セキュリティ日報】CVSS 9.9のFlowise RCEほかCritical 13件

項目	優先度	対応	影響対象	クイックアクション
Ivanti Sentry OSコマンドインジェクション（認証なしRCE） CVE-2026-10520	high	対応必須	Ivanti Sentry利用者	R10.5.2 / R10.6.2 / R10.7.1以降へアップグレード
Flowise リモートコード実行（NodeVMサンドボックス脱出） CVE-2026-46442	high	対応必須	Flowise 3.1.2未満利用者	Flowise 3.1.2以降へアップデート
Apache HTTP Server バッファアンダーライト CVE-2026-44631	high	対応必須	Apache HTTP Server 2.4.0〜2.4.67利用者	Apache HTTP Server 2.4.68以降へアップグレード
Linux カーネル SMB DACL 検証バイパス CVE-2026-46195	high	対応必須	Linux カーネルSMBクライアント利用者	提供済みのカーネルパッチを適用
Python xml.parsers ハッシュフラッディング CVE-2026-7210	high	対応必須	Python xml.parsers.expat / xml.etree.ElementTree 利用者	libexpat 2.8.0以降へ更新、CPythonパッチ適用
IBM HTTP Server DoS/RCE CVE-2026-9170	high	対応必須	IBM HTTP Server 8.5/9.0利用者	IBMアドバイザリに従いパッチ適用
OpenXDMoD リモートコード実行 CVE-2026-45777	high	対応必須	OpenXDMoD 9.5.0〜11.0.2利用者	OpenXDMoD 11.0.3以降へアップグレード
OpenXDMoD SQLインジェクション CVE-2026-45779	high	対応必須	OpenXDMoD 9.5.0〜11.0.2利用者	OpenXDMoD 11.0.3以降へアップグレード
Flowise マスアサインメント CVE-2026-42861	high	対応必須	Flowise 3.1.2未満利用者	Flowise 3.1.2以降へアップデート
Flowise Assistant マスアサインメント CVE-2026-46441	high	対応必須	Flowise 3.1.2未満利用者	Flowise 3.1.2以降へアップデート
IBM Aspera HSTS 認証バイパス CVE-2026-7876	high	対応必須	IBM Aspera HSTS利用者	IBMアドバイザリを確認しパッチ適用
Linux カーネル SMB 境界外読み取り CVE-2026-46185	high	対応必須	Linux カーネルSMBクライアント利用者	提供済みのカーネルパッチを適用
Flowise 認証情報平文保存 CVE-2026-46440	high	対応必須	Flowise 3.1.2未満利用者	Flowise 3.1.2以降へアップデート
Google Chrome V8 サンドボックス脱出 CVE-2026-4447	high	推奨	Google Chrome 146.0.7680.153未満利用者	Chrome 146.0.7680.153以降へアップデート

本日はNVDに更新・新規CVEが200件収録され、うちCriticalが13件、Highが81件。FlowiseにCVSS 9.9のリモートコード実行を含む複数のCritical脆弱性が集中しており、LLMアプリを運用している場合は特に確認が必要です。Apache HTTP Server（CVSS 9.8）やPython標準ライブラリ（CVSS 9.8）、IBM HTTP Server（CVSS 9.8）にも深刻な問題が報告されています。

本日の概要

指標	数値
新規・更新CVE（NVD）	200件
Critical (9.0+)	13件
High (7.0-8.9)	81件
Medium (4.0-6.9)	84件
Low (0-3.9)	10件
OSV収録（PyPI / npm）	118件 / 5件

Critical / High 脆弱性の詳細解説

CVE-2026-46442 — Flowise リモートコード実行（NodeVMサンドボックス脱出）

CVSSスコア: 9.9 (CRITICAL)
影響製品: FlowiseAI Flowise 3.1.2 未満
概要: POST /api/v1/node-custom-function エンドポイントにルートレベルの認可チェックが存在しないため、認証済みユーザーまたはAPIキーを持つ攻撃者が任意のJavaScriptをサーバー上で実行可能です。E2B_APIKEY が設定されていない一般的な構成ではNodeVMサンドボックスから脱出でき、ホストプロセスへのアクセスによりシステムコマンド実行が可能になります。
修正バージョン: 3.1.2 以降へアップデート
参考: GHSA-9rvc-vf7m-pgm2 / GitHub Release

CVE-2026-44631 — Apache HTTP Server バッファアンダーライト

CVSSスコア: 9.8 (CRITICAL)
影響製品: Apache HTTP Server 2.4.0〜2.4.67
概要: 設定ファイル内の細工された正規表現によってバッファアンダーライト（CWE-124）が引き起こされる脆弱性です。Apache HTTP Serverは広く使われているWebサーバーであるため、影響範囲が大きい可能性があります。
修正バージョン: 2.4.68 以降へアップグレード
参考: Apache セキュリティページ

CVE-2026-46195 — Linux カーネル SMB クライアント DACL 検証バイパス

CVSSスコア: 9.8 (CRITICAL)
影響製品: Linux カーネル（SMBクライアントモジュール）
概要: 悪意あるSMBサーバーから受信した dacloffset の不正な値により、DACLポインタが下位アドレスに折り返し（ラップアラウンド）され、境界チェックを回避できる問題（CWE-476）。32ビットビルドでchmod/chownのコードパスにおいてDACLフィールドの不正デリファレンスが発生する可能性があります。
修正: カーネルの各stableブランチ向けパッチが提供済み
参考: kernel.org stable

CVE-2026-7210 — Python xml.parsers ハッシュフラッディング保護バイパス

CVSSスコア: 9.8 (CRITICAL)
影響製品: Python（xml.parsers.expat、xml.etree.ElementTree）
概要: Pythonの標準ライブラリのXML処理モジュールにおいて、Expatのハッシュフラッディング保護に使用されるエントロピーが不十分（CWE-331）。細工されたXMLドキュメントによってDoS（ハッシュフラッディング）を引き起こせます。
修正: libexpat 2.8.0 以降へのアップデートとCPythonパッチの両方が必要
参考: CPython Issue #149018

CVE-2026-9170 — IBM HTTP Server DoS / リモートコード実行

CVSSスコア: 9.8 (CRITICAL)
影響製品: IBM HTTP Server 8.5、9.0
概要: 不適切な入力検証により、サービス拒否またはリモートコード実行が可能な脆弱性（CWE-94）。IBM HTTP Serverを使用している場合はIBMアドバイザリを確認してください。
参考: IBM サポートページ

CVE-2026-45777 / CVE-2026-45779 — OpenXDMoD RCE / SQL インジェクション

CVSSスコア: 各 9.8 (CRITICAL)
影響製品: OpenXDMoD 9.5.0〜11.0.2
概要: HPCメトリクス収集フレームワークに2件の脆弱性。CVE-2026-45777はOSコマンドインジェクション（CWE-78）でリモートからのシステムコマンド実行、CVE-2026-45779はSQLインジェクション（CWE-89）。2026年4月6日に内部報告済みで、現時点では悪用事例なし。
修正バージョン: 11.0.3 以降へアップグレード
参考: GitHub Release v11.0.3-2

Flowise 複数の Critical 脆弱性（CVE-2026-46440 / CVE-2026-42861 / CVE-2026-46441）

CVSS: 9.1 / 9.6 / 9.6 (CRITICAL)
CVE-2026-46440: checkBasicAuth での認証情報平文保存（CWE-522）
CVE-2026-42861: マスアサインメントによるアクセス制御不備（CWE-284/639/915）
CVE-2026-46441: アシスタントリソースのマスアサインメント
いずれも Flowise 3.1.2 で修正済み。CVE-2026-46442 とあわせてFlowise全体のセキュリティリスクが高い状態です。

CVE-2026-4447 — Google Chrome V8 サンドボックス脱出

CVSSスコア: 8.8 (HIGH)
影響製品: Google Chrome 146.0.7680.153 未満
概要: V8 JavaScript エンジンの不適切な実装（CWE-693）により、細工されたHTMLページを通じてリモートの攻撃者がサンドボックス内で任意のコードを実行できる可能性があります。
修正バージョン: Chrome 146.0.7680.153 以降
参考: Chrome Releases

CVE-2026-10520 — Ivanti Sentry OSコマンドインジェクション（CVSS 10.0）

昨日の日報でも詳報しましたが、本日も引き続きNVDに収録されています。Ivanti Sentry R10.5.2/R10.6.2/R10.7.1 未満が対象で、認証なしのリモートRCE（CVSS 10.0）です。未対応の場合は早急なアップグレードを推奨します。

エコシステム別サマリー

PyPI（118件）

本日のOSVデータではPyPIが118件と大多数を占めています。Djangoに関する複数の脆弱性が集中しており、Django 5.2.x および 6.0.x系に多数の修正バージョンが提供されています。

主なDjangoの修正バージョン:

Django 6.0.5（CVE-2026-6907、CVE-2026-5766、CVE-2026-35192）
Django 6.0.4（CVE-2026-4292、CVE-2026-4277、CVE-2026-33034、CVE-2026-3902）
Django 6.0.2（CVE-2026-1312、CVE-2026-1287、CVE-2026-1285、CVE-2026-1207）

Django を使用している場合は、使用バージョンを確認のうえ最新のセキュリティリリースへの更新を検討してください。

npm（5件）

npmエコシステムでは5件が収録されています。@libp2p/kad-dht（CVE-2026-45783）のPUT_VALUE未検証問題（High）などが含まれます。

GitHub Advisory（GHSA）注目項目

CVE-2026-46614 (CRITICAL, Go): Fission サーバーレスフレームワークのルーター機能でリモートコード実行の可能性
CVE-2026-28367/28368/28369 (HIGH, Maven): Undertow（JBoss/WildFly）でHTTPリクエスト/レスポンス・スマグリング
CVE-2026-40981 (HIGH, Maven): Spring Cloud Config サーバーの認可バイパス

JVN 日本語情報

MyJVN（JVNDB-2026-019139）によると、2026年6月9日（現地時間）にCISAがICS Advisory / ICS Medical Advisoryを公表しました。産業制御システム（ICS）に影響する新規アドバイザリは以下の3件です:

ICSA-26-160-01: Schneider Electric Modicon Network Managed Switches
ICSA-26-160-02: Siemens KACO Blueplanet Inverters（太陽光発電インバーター）
ICSA-26-160-03: ICS Medical Advisory（詳細はCISA公式サイトを参照）

OT/ICS機器を運用している場合は、各アドバイザリの詳細をCISA公式サイトで確認してください。

まとめ

本日の最優先対応は Flowise 3.1.2 へのアップデートです。CVSS 9.9のRCEを含む4件のCritical脆弱性が一度に報告されており、LLMアプリのバックエンドとして動作しているFlowiseは攻撃対象として特に注意が必要です。

Apache HTTP Server はバージョン2.4.68へのアップグレードで対応できます。Python標準ライブラリ（xml.parsers系）の問題はlibexpatとCPythonの両方のパッチが必要であり、対応には注意が必要です。

Ivanti Sentry（CVE-2026-10520、CVSS 10.0） は昨日の日報から引き続き最高スコアの脆弱性として残っています。未対応の場合は最優先での対処をお勧めします。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。