本日は NVD で 200件の CVE が更新・公開され、Critical(CVSS 9.0以上)は 10件、High は 83件と件数の多い一日です。CVE-2026-49875(Apache CXF XXE、CVSS 9.8)と CVE-2026-27446(Apache ActiveMQ Artemis 認証バイパス、CVSS 9.8)は OSS インフラへの影響が広く、早急な確認を推奨します。GitHub Advisory では Angular フレームワークの複数コンポーネント(@angular/core・@angular/common・@angular/service-worker)に対してセキュリティ修正がバッチ公開されており、Angular を利用するプロジェクトは一括での対応が求められます。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新 CVE(NVD) | 200件 |
| Critical (CVSS 9.0+) | 10件 |
| High (CVSS 7.0–8.9) | 83件 |
| Medium (CVSS 4.0–6.9) | 76件 |
| Low (CVSS 0–3.9) | 31件 |
| 影響エコシステム(OSV) | npm, PyPI |
Critical / High 脆弱性の詳細解説
CVE-2026-49875 — Apache CXF XML外部エンティティ(XXE)インジェクション
- CVSSスコア: 9.8(Critical)
- CWE: CWE-611(外部エンティティ参照の不適切な制限)
- 影響ソフトウェア: Apache CXF 4.1.6 以前、4.2.1 以前
Apache CXF の EndpointReferenceUtils および W3CMultiSchemaFactory クラスが SAXParserFactory を生成する際に JAXP のセキュリティ設定(外部エンティティ解決の無効化等)を適用していないため、帯域外(OOB)の外部エンティティ解決が可能な状態になっています。サーバー側のファイル読み取りや SSRF につながる可能性があります。
修正バージョン: Apache CXF 4.2.2 または 4.1.7 以降へアップグレード
参考リンク:
CVE-2026-27446 — Apache ActiveMQ Artemis Federation 認証バイパス
- CVSSスコア: 9.8(Critical)
- CWE: CWE-306(クリティカルな機能の認証欠如)
- 影響ソフトウェア: Apache Artemis 2.50.0〜2.51.0、Apache ActiveMQ Artemis 2.11.0〜2.44.0
未認証のリモート攻撃者が Core プロトコル経由で、攻撃者が制御するブローカーへの送信フェデレーション接続を強制させることができます。これにより任意のキューへのメッセージ注入や、任意のキューからのメッセージ取得が可能になる可能性があります。信頼できないソースからの Core プロトコル接続と、信頼できないターゲットへの送信接続の両方が許可されている環境が対象です。
修正バージョン: Apache Artemis 2.52.0 以降へアップグレード
回避策: Core プロトコルサポートを信頼できないアクセプタから削除、または双方向 SSL(証明書認証)を設定
参考リンク:
CVE-2026-20253 — Splunk Enterprise 未認証ファイル操作
- CVSSスコア: 9.8(Critical)
- CWE: CWE-306(クリティカルな機能の認証欠如)
- 影響ソフトウェア: Splunk Enterprise 10.2.4 未満・10.0.7 未満、Splunk Cloud Platform 10.4.2604.3 未満・10.2.2510.14 未満
PostgreSQL サイドカーサービスのエンドポイントに認証が設定されていないため、ネットワーク到達可能な未認証ユーザーがサービスエンドポイントを通じて任意のファイルの作成または切り詰め(truncate)を実行できる状態です。同日公開の CVE-2026-20251(Splunk jsonpickle RCE、CVSS 8.8)とあわせて確認を推奨します。
修正バージョン: Splunk Enterprise 10.2.4 / 10.0.7 以降、Splunk Cloud Platform 10.4.2604.3 / 10.2.2510.14 以降
参考リンク:
CVE-2026-41157 — WebGPU GPU ドライバ Out-of-Bounds Write
- CVSSスコア: 9.8(Critical)
- CWE: CWE-787(境界外書き込み)
- 影響ソフトウェア: Imagination Technologies GPU ドライバ(WebGPU GLES レンダリング使用環境)
特殊な WebGPU コンテンツを含む Web ページが GPU GLES レンダリングプロセスに読み込まれた際、GPU ユーザースペースドライバで Out-of-Bounds Write が発生します。メモリサイズ計算時に整数オーバーフローが生じ、実際より小さな値が算出されることで書き込み操作がメモリ境界を超えて隣接領域を破壊し、プロセスのクラッシュやメモリ破壊を引き起こします。
参考リンク:
CVE-2026-47928 — Adobe ColdFusion 任意コード実行(APSB26-64)
- CVSSスコア: 9.6(Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響ソフトウェア: Adobe ColdFusion 2023.19 以前、2025.8 以前
不適切な入力検証により、リモートからユーザー操作なしに現在のユーザーコンテキストで任意のコード実行が可能です(Scope Changed)。Adobe は APSB26-64 で ColdFusion の複数脆弱性をまとめて公開しており、パストラバーサル(CVE-2026-47932、CVSS 8.8)や認可不備(CVE-2026-47929、CVSS 8.4)も含まれています。
修正: Adobe APSB26-64 で提供されるパッチを適用
参考リンク:
CVE-2026-47281 — Visual Studio Code 権限昇格
- CVSSスコア: 9.6(Critical)
- CWE: CWE-306(認証欠如)、CWE-798(ハードコードされた認証情報)、CWE-862(認可欠如)
- 影響ソフトウェア: Visual Studio Code(特定バージョン)
不適切な入力検証により、未認証の攻撃者がネットワーク越しに権限昇格を行える可能性があります。Microsoft セキュリティ更新ガイドで公開されており、VS Code を最新バージョンへアップデートすることを推奨します。
参考リンク:
CVE-2026-44990 — sanitize-html XSS バイパス
- CVSSスコア: 9.3(Critical)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響ソフトウェア: sanitize-html 2.17.4 未満
デフォルト設定の disallowedTagsMode: 'discard' において、許可されていない <xmp> 要素内に配置された攻撃者制御コンテンツが生きた HTML または JavaScript として展開されるサニタイザバイパスです。サニタイズ済み出力をユーザーへ表示するアプリケーションで格納型 XSS が成立します。ApostropheCMS を利用している環境は影響を受ける可能性があります。
修正バージョン: sanitize-html 2.17.4 以降
参考リンク:
CVE-2026-48188 — OTRS SQL インジェクション(認証バイパス)
- CVSSスコア: 9.1(Critical)
- CWE: CWE-20(不適切な入力検証)
- 影響ソフトウェア: OTRS 7.0.X〜2025.X(2026.4.X 未満)、((OTRS)) Community Edition 6.0.x
MySQL/MariaDB サーバーが NO_BACKSLASH_ESCAPES SQL モードで動作している場合に、データベースレイヤーモジュールで未認証の SQL インジェクションが可能となり、認証バイパスにつながります。NO_BACKSLASH_ESCAPES が無効な環境は影響を受けません。
修正バージョン: OTRS 2026.4.X 以降
参考リンク:
CVE-2026-20251 — Splunk Enterprise 低権限ユーザー RCE(jsonpickle)
- CVSSスコア: 8.8(High)
- CWE: CWE-502(信頼できないデータのデシリアライズ)
- 影響ソフトウェア: Splunk Enterprise 10.2.4 未満・10.0.7 未満・9.4.12 未満・9.3.13 未満、Splunk Cloud Platform 複数バージョン、Splunk Secure Gateway 3.10.6 未満
admin / power ロールを持たない低権限ユーザーが、Splunk Secure Gateway アプリを通じてリモートコード実行を行える脆弱性です。App Key Value Store(KV Store)のデータが Python の jsonpickle ライブラリで安全でない方法でデシリアライズされ、細工した JSON データで任意の Python オブジェクトが再構築されます。
修正バージョン: Splunk Enterprise 10.2.4 / 10.0.7 / 9.4.12 / 9.3.13 以降
参考リンク:
CVE-2026-10087 — GitLab EE Analytics Dashboard XSS
- CVSSスコア: 8.7(High)
- CWE: CWE-79(クロスサイトスクリプティング)
- 影響ソフトウェア: GitLab EE 17.1〜18.10.7、18.11〜18.11.4、19.0〜19.0.1
Analytics Dashboard での入力サニタイズ不備により、Developer ロール以上の認証済みユーザーが、特定の条件下でターゲットユーザーの代わりに任意のクライアントサイドコードを実行できる可能性があります。GitLab.com はすでに修正済みです。
修正バージョン: GitLab EE 18.10.8 / 18.11.5 / 19.0.2 以降
参考リンク:
エコシステム別サマリー
npm(9件)
本日は Angular フレームワークの複数コンポーネントと Nuxt・Svelte のセキュリティ修正がまとめて公開されました。
| パッケージ | CVE | 概要 | 修正バージョン |
|---|---|---|---|
| @angular/core | CVE-2026-52725 | <script> 要素への動的コンポーネント生成 XSS | 19.2.23 / 20.3.22 / 21.2.15 / 22.0.0-rc.2 |
| @angular/core | CVE-2026-54267 | Hydration DOM Clobbering & レスポンスキャッシュポイズニング | 20.3.25 / 21.2.17 / 22.0.1 |
| @angular/common | CVE-2026-50171 | digitsInfo 数値フォーマットによる OOM DoS | 19.2.23 / 20.3.22 / 21.2.15 / 22.0.0-rc.2 |
| @angular/common | CVE-2026-50170 | HttpTransferCache が認証情報付きリクエストを既定でキャッシュ→情報漏洩 | 19.2.23 / 20.3.22 / 21.2.15 / 22.0.0-rc.2 |
| @angular/service-worker | CVE-2026-50184 | リクエスト認証情報・キャッシュポリシーの剥奪 | 19.2.23 / 20.3.22 / 21.2.15 / 22.0.0-rc.2 |
| @angular/platform-server | CVE-2026-50168 | URL パーサー差異経由のリダイレクト | 最新版参照 |
| nuxt | CVE-2026-45669 | navigateTo() 外部リダイレクトの反射型 XSS | 3.21.6 / 4.4.6 |
| nuxt | CVE-2026-46342 | __nuxt_island エンドポイントのキャッシュポイズニング | 3.21.6 / 4.4.6 |
| nuxt | CVE-2026-47200 | .server.vue ページのルートミドルウェア未適用 | 3.21.6 / 4.4.6 |
Svelte でも XSS(CVE-2026-42573、CVE-2026-42599)と ReDoS(CVE-2026-42567)が確認されています。
また GHSA では以下の npm パッケージにも注意が必要です。
| パッケージ | CVE | 概要 | 修正バージョン |
|---|---|---|---|
| ws | CVE-2026-48779 | 細片データによるメモリ枯渇 DoS | 5.2.5 / 6.2.4 / 7.5.11 / 8.21.0 |
| vite | CVE-2026-53571 | Windows 代替パスによる server.fs.deny バイパス | 6.4.3 / 7.3.5 / 8.0.16 |
| tmp | CVE-2026-49982 | 型混乱による _assertPath バイパスでパストラバーサル | 0.2.7 |
| js-yaml | CVE-2026-53550 | マージキー繰り返しエイリアスによる二次計算量 DoS | 4.2.0 |
| @babel/core | CVE-2026-49356 | sourceMappingURL コメント経由の任意ファイル読み取り | 7.29.6 / 8.0.0-rc.6 |
PyPI(93件)
Django 関連が多数含まれています。主なものは以下の通りです。
| パッケージ | CVE | 概要 | 修正バージョン |
|---|---|---|---|
| django | CVE-2026-6907 | UpdateCacheMiddleware が Vary: * リクエストをキャッシュ→情報漏洩 | 5.2.14 / 6.0.5 |
| django | CVE-2026-5766 | ASGI リクエストの Content-Length 不足でメモリ上限バイパス | 5.2.14 / 6.0.5 |
| django | CVE-2026-4292 | list_editable 管理画面フォームで不正 POST によるオブジェクト作成 | 4.2.30 / 5.2.13 / 6.0.4 |
JVN 日本語情報
CVE-2026-50100 — リコー・コニカミノルタジャパン製プリンタドライバ 権限昇格
- CVSSスコア: 7.8(High)
- JVN ID: JVNDB-2026-000085
- 影響ソフトウェア: リコーおよびコニカミノルタジャパン製の複数プリンタドライバ
DLL 読み込み順序のハイジャック(CWE-427)により、ローカルの攻撃者が権限昇格を行える可能性があります。製品利用者への周知を目的に、開発者が IPA に報告し、JPCERT/CC が開発者との調整を行いました。
参考リンク:
まとめ
本日は NVD で 200件・OSV で 102件(npm 9件、PyPI 93件)の脆弱性が更新されました。最も注意が必要なのは Apache CXF の XXE(CVE-2026-49875、CVSS 9.8)と Splunk Enterprise の未認証ファイル操作(CVE-2026-20253、CVSS 9.8)です。どちらも認証不要でリモートから攻撃可能なため、インターネット公開環境での対応を優先してください。
Angular は @angular/core・@angular/common・@angular/service-worker の複数コンポーネントに対するパッチを同日公開しています。Angular を利用するプロジェクトは対象バージョンに応じて一括でのアップデートを検討してください。また Adobe ColdFusion(APSB26-64)には複数の RCE・認証バイパスが含まれており、ColdFusion 環境のパッチ適用も推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。