本日は NVD で 44件の CVE が更新・公開され、うち CVSS 9.8 の Critical が3件、CVSS 9.3 の Critical が1件の計4件が Critical 評価です。特に LiteSpeed cPanel プラグインでは 2026年5月に野生での悪用(Exploited in the Wild)が確認されており、共有ホスティング環境を運用している場合は早急な確認を推奨します。Linux カーネル関連の修正が大多数を占めており、High 以上の脆弱性が多数含まれます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新 CVE(NVD) | 44件 |
| Critical (CVSS 9.0+) | 4件 |
| High (CVSS 7.0–8.9) | 30件 |
| Medium (CVSS 4.0–6.9) | 6件 |
| 影響エコシステム(OSV) | npm, PyPI |
Critical / High 脆弱性の詳細解説
CVE-2026-12183 — BUK TS-G ガスステーション管理システム 認証バイパス
- CVSSスコア: 9.8(Critical)
- CWE: CWE-287(不正な認証)、CWE-306(クリティカルな機能の認証欠如)
- 影響ソフトウェア: Nefteprodukttekhnika BUK TS-G Gas Station Automation System 2.9.1〜2.10.2(Linux 版)
任意の認証情報を含む HTTP POST リクエストを /php/ajax-login.php に送信するだけで、管理者(userid=1)として認証されてしまう脆弱性です。後続の管理系エンドポイント(/php/ajax-main.php や /modules/*)もサーバーサイドのセッション検証を行わないため、未認証の攻撃者がリモートから燃料タンク計器・ディスペンサー・価格設定・顧客情報・精算処理など、すべての管理操作を実行できる状態になります。
PoC が公開されており、CWE-287/306 の組み合わせは実際の攻撃への悪用リスクが高いです。BUK TS-G をインターネット接続環境に設置している場合は、ネットワーク隔離またはバージョンアップを検討してください。
参考リンク:
CVE-2026-46289 — Linux kernel: lib/scatterlist 長さ計算の誤り
- CVSSスコア: 9.8(Critical)
- 影響ソフトウェア: Linux kernel v6.5 以降(元の問題は v6.3 の
fs/netfs/iterator.cに遡る)
kvec から scatterlist へのデータ抽出時に、ページ境界を越えた長さが設定される可能性があるバグです。また、ユーザーバッファ抽出時のスクラッチバッファが既存エントリと重複する問題もあります。kunit テストケースでバグが実証されており、カーネルのメモリ操作に関わるため深刻度が高く評価されています。
修正: Linux kernel 安定板(v6.5+)へのバックポートパッチが提供済み
参考リンク:
CVE-2026-46325 — Linux kernel: RDMA/rxe MR ページサイズ変換バグ
- CVSSスコア: 9.8(Critical)
- 影響ソフトウェア: Linux kernel(RDMA/rxe ドライバ使用環境)
RDMA 仮想化ドライバ rxe において、メモリリージョン(MR)のページサイズがシステムの PAGE_SIZE と異なる場合に、iova-to-va(仮想アドレス)変換が誤った結果を返す問題です。page_size < PAGE_SIZE のケースでも page_size > PAGE_SIZE のケースでも誤変換が発生し、誤ったメモリアクセスによるカーネルパニックが過去に報告されています。xarray からプリアロケーション済み配列への変更で修正されました。
修正: Linux kernel 安定板パッチ適用済み
参考リンク:
CVE-2026-46316 — Linux kernel: KVM arm64 vgic-its キャッシュ参照の二重解放
- CVSSスコア: 9.3(Critical)
- 影響ソフトウェア: Linux kernel(arm64 KVM 環境)
KVM/arm64 の仮想割り込みコントローラ(vgic-its)において、トランスレーションキャッシュを無効化する処理が並行して実行された場合、同一エントリへの参照が複数のコンテキストから vgic_put_irq() を呼び出すことで、解放済みメモリが ITE(Interrupt Translation Entry)から参照され続ける Use-After-Free(UAF)が発生します。arm64 上でネストした仮想化を使っている環境では影響を受ける可能性があります。xa_erase() の戻り値を使って修正されました。
修正: Linux kernel 安定板パッチ提供済み
参考リンク:
CVE-2026-54420 — LiteSpeed cPanel プラグイン シンボリックリンク悪用(野生で悪用確認済み)
- CVSSスコア: 8.5(High)
- CWE: CWE-61(シンボリックリンクの不適切なフォロー)
- 影響ソフトウェア: LiteSpeed cPanel plugin < 2.4.8(LiteSpeed WHM PlugIn < 5.3.2.0)
- 野生での悪用: 2026年5月に確認済み
CloudLinux/CageFS を使用する共有ホスティング環境において、FTP アクセスまたは Web シェルを持つユーザーが、シンボリックリンクを悪用してホスト外のファイルへアクセスできる脆弱性です。共有ホスティング環境では隣接テナントへの影響が及ぶ可能性があります。2026年5月に実際の攻撃への悪用が確認されており、早急なパッチ適用を推奨します。
修正バージョン: LiteSpeed cPanel plugin 2.4.8 以降 / LiteSpeed WHM PlugIn 5.3.2.0 以降
参考リンク:
CVE-2026-12174 — D-Link DCS-935L フォーマット文字列脆弱性
- CVSSスコア: 8.8(High)
- CWE: CWE-119、CWE-134(フォーマット文字列)
- 影響ソフトウェア: D-Link DCS-935L ファームウェア 1.10.01
HTTP ハンドラコンポーネント内の /web/cgi-bin/greece/rhea において、snprintf 関数の data 引数にフォーマット文字列を含めることで任意コード実行が可能となる脆弱性です。リモートから攻撃可能で、PoC が公開されています。D-Link DCS-935L は生産終了(EOL)機器であるため、公式パッチの提供は期待できません。当該機器を使用している場合はネットワーク隔離またはリプレースを検討してください。
参考リンク:
CVE-2026-46319 — Linux kernel: net/sched act_ct フロー処理 UAF → 権限昇格
- CVSSスコア: 7.8(High)
- 影響ソフトウェア: Linux kernel(net/sched + Netfilter Connection Tracking 使用環境)
tcf_ct_flow_table_get() 内で rhashtable_lookup_fast() が RCU クリティカルセクションを終了した後、返却されたポインタへ refcount_inc_not_zero() を呼び出すまでの間に、別スレッドがオブジェクトを解放してしまう競合状態(Use-After-Free)です。この UAF を利用することで権限昇格が可能となると分析されています。
修正: RCU read lock の解放タイミングを修正するパッチが提供済み
参考リンク:
その他の注目 High 脆弱性(Linux カーネル)
本日の更新では Linux カーネル関連の High 脆弱性が多数含まれています。主要なものを以下に列挙します。
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2026-46317 | 8.8 | KVM arm64: nested_mmus 配列を mmu_lock 外で再割り当て → UAF |
| CVE-2026-46288 | 8.4 | of/unittest: of_node_put 後のポインタ再利用 UAF |
| CVE-2026-46326 | 8.4 | iio pressure mprls0025pa: spi_transfer 構造体の初期化漏れ |
| CVE-2026-46307 | 8.3 | wifi ath5k: 配列境界外アクセス(UBSAN 検出) |
| CVE-2026-46303 | 8.2 | isofs: Rock Ridge CE ブロック番号の未検証 |
| CVE-2026-46332 | 8.0 | greybus gb-beagleplay: ブートローダ受信バッファオーバーフロー |
| CVE-2026-46275 | 7.8 | Bluetooth hci_uart: UAF・競合状態(複数箇所) |
| CVE-2026-46319 | 7.8 | net/sched act_ct: RCU ロック解放後の UAF → 権限昇格 |
| CVE-2026-46323 | 7.8 | net/gro: zerocopy skb のフラグ参照カウント UAF |
| CVE-2026-46324 | 7.8 | netfilter nf_tables: list_del_rcu の未使用 |
| CVE-2026-46330 | 7.8 | net/smc: TCP ULP サポートの設計欠陥によるリバート |
| CVE-2026-46311 | 7.8 | drm/amdgpu userq: stale wptr マッピングへのアクセス |
| CVE-2026-46321 | 7.1 | tun: 短フレーム拒否時のページリーク → OOM |
| CVE-2026-46322 | 7.1 | tun: build_skb 失敗時のページリーク |
エコシステム別サマリー(OSV)
npm(7件)— Nuxt.js に集中
本日の npm 関連は Nuxt.js フレームワークへの複数の脆弱性が中心です。いずれも /__nuxt_island/ エンドポイント周辺のサーバーサイドレンダリング機能に関係します。
| CVE ID | パッケージ | 概要 | 修正バージョン |
|---|---|---|---|
| CVE-2026-46342 | nuxt / @nuxt/nitro-server | /__nuxt_island/* での共有キャッシュポイズニング | 3.21.6 / 4.4.6 |
| CVE-2026-47200 | nuxt / @nuxt/nitro-server | .server.vue ページレンダリング時のルートミドルウェア未実行 | 3.21.6 / 4.4.6 |
| CVE-2026-45669 | nuxt | navigateTo() 外部リダイレクトでの反射型 XSS | 3.21.6 / 4.4.6 |
Nuxt 3.x・4.x を使用している場合は 3.21.6 / 4.4.6 以降へのアップデートを推奨します。
PyPI(93件)— Django シリーズが多数
本日の PyPI データには Django 関連の脆弱性が多数含まれています。SQL インジェクション・キャッシュ関連・権限検証の不備が報告されています。
| CVE ID | パッケージ | 概要 | 修正バージョン |
|---|---|---|---|
| CVE-2026-6907 | django | Vary: * ヘッダ含むリクエストをキャッシュミドルウェアが誤ってキャッシュ | 5.2.14 / 6.0.5 |
| CVE-2026-5766 | django | ASGI で Content-Length 不足時に FILE_UPLOAD_MAX_MEMORY_SIZE 制限バイパス | 5.2.14 / 6.0.5 |
| CVE-2026-4277 | django | GenericInlineModelAdmin で追加権限が偽造 POST データで検証されない | 4.2.30 / 5.2.13 / 6.0.4 |
| CVE-2026-4292 | django | ModelAdmin.list_editable で forged POST による新規インスタンス作成 | 4.2.30 / 5.2.13 / 6.0.4 |
| CVE-2025-57833 | django | FilteredRelation の SQL インジェクション(**kwargs 展開) | 4.2.24 / 5.1.12 / 5.2.6 |
| CVE-2025-59681 | django | annotate() 等の列エイリアス SQL インジェクション(MySQL/MariaDB) | 4.2.25 / 5.1.13 / 5.2.7 |
Django を使用している場合は、使用バージョンに対応したセキュリティリリースへのアップデートを確認してください。
JVN(MyJVN)情報
本日の MyJVN データには該当する脆弱性情報はありませんでした。
その他の注目 CVE
GPAC MP4Box — 複数の DoS 脆弱性(CVE-2025-52292 ほか)
GPAC MP4Box v2.4 に対して複数の DoS 脆弱性が公開されています。クラフトされた MP4 ファイルによるサービス停止が可能です。
| CVE ID | CVSS | 概要 |
|---|---|---|
| CVE-2025-52292 | 7.5 | filein_process 関数のスタックバッファオーバーフロー |
| CVE-2025-52293 | 7.5 | gf_hevc_read_sps_bs_internal でのセグメンテーション違反 |
| CVE-2025-55657 | 7.5 | gf_odf_vvc_cfg_write_bs での NULL ポインタ参照 |
| CVE-2025-55659 | 6.5 | ctts_box_write での NULL ポインタ参照 |
| CVE-2025-55651 | 5.5 | gf_isom_get_user_data_count での NULL ポインタ参照 |
GPAC を使用している環境では更新を検討してください。
Perl GD / Config::IniFiles — OS コマンドインジェクション(CVE-2026-11526 / CVE-2026-11527)
Perl の GD ライブラリ(v2.86未満)と Config::IniFiles(v3.001000未満)において、Perl の 2引数 open() を利用したファイル名処理に OS コマンドインジェクション脆弱性が存在します(CWE-73, CWE-78)。信頼できないパスを引数として渡す場合に影響を受けます。CVSS スコアは未割り当てですが、コマンド実行につながる可能性があるため注意が必要です。
GD→ v2.86 以降へのアップデートConfig::IniFiles→ v3.001000 以降へのアップデート
まとめ
本日は Linux カーネル関連の修正が大量に公開されました。Critical 評価(CVSS 9.0+)は4件あり、うち BUK TS-G ガスステーション管理システム(CVE-2026-12183)は認証バイパスで遠隔から管理者操作が可能という深刻な内容です。インターネット接続環境に BUK TS-G を設置している場合は、即座のネットワーク隔離を検討してください。
LiteSpeed WHM プラグインの CVE-2026-54420 は実際の攻撃への悪用が2026年5月に確認されており、共有ホスティング事業者は特に注意が必要です。また、Nuxt.js と Django にも複数の脆弱性が含まれており、各フレームワークの最新セキュリティリリースへのアップデートを合わせて確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。