本日はOracle June 2026 Critical Patch UpdateとFirefox 152のセキュリティアップデートが重複し、Critical(CVSS 9.0以上)だけで18件以上が公開・更新されました。npmエコシステムでもNuxt・Vite・Angularに複数の脆弱性修正が一斉公開されており、インフラ担当はOracleパッチ適用計画を、フロントエンドチームはnpmパッケージのアップデートを優先的に確認してください。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 約300件以上 |
| Critical (9.0+) | 18件 |
| High (7.0-8.9) | 50件以上 |
| Medium (4.0-6.9) | 150件以上 |
| 影響エコシステム | npm, PyPI, Go, NuGet, Maven |
Critical / High 脆弱性の詳細解説
CVE-2026-35263 — Oracle WebLogic Server 認可バイパス(CVSS 9.9)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.9 |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-284(不適切なアクセス制御) |
| 影響バージョン | Oracle WebLogic Server 14.1.2.0.0、15.1.1.0.0 |
低権限ユーザーがHTTP経由でOracle WebLogic Serverにアクセスできる環境で、スコープ変更(S:C)を伴うサーバ完全侵害が可能な深刻な脆弱性です。Oracle Fusion MiddlewareのCoreコンポーネントが対象となります。
対策: Oracle June 2026 Critical Patch Updateの適用
参照: Oracle CPUアドバイザリ
CVE-2026-35268 — Oracle Identity Manager 認可バイパス(CVSS 9.9)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.9 |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H |
| CWE | CWE-284(不適切なアクセス制御) |
| 影響バージョン | Oracle Identity Manager 12.2.1.4.0、14.1.2.1.0 |
T3またはIIOPプロトコル経由でネットワークアクセス可能な低権限ユーザーが、Identity Managerを完全に侵害できる脆弱性です。スコープ変更(S:C)により、連鎖的な被害が想定されます。
対策: Oracle June 2026 Critical Patch Updateの適用
参照: Oracle CPUアドバイザリ
CVE-2026-12293 — Firefox / Thunderbird WebGPU Use-after-free(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8 |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-416(解放済みメモリの使用) |
| 影響バージョン | Firefox 151以前、Thunderbird 151以前 |
WebGPUコンポーネントにおけるuse-after-freeの脆弱性です。認証不要・ユーザー操作不要でリモートからの悪用が可能な構成であり、CVSSスコア9.8と非常に深刻度が高い評価になっています。
修正バージョン: Firefox 152、Thunderbird 152
参照: Mozilla Security Advisory mfsa2026-57
Firefox 152 追加セキュリティ修正(CVSS 9.6 × 4件以上)
Firefox 152では、CVE-2026-12293に加えて以下の深刻な脆弱性も修正されています。
| CVE ID | 内容 | CVSS |
|---|---|---|
| CVE-2026-12294 | DOM Workers コンポーネントのサンドボックス脱出 | 9.6 |
| CVE-2026-12295 | DOM Navigation コンポーネントのサンドボックス脱出 | 9.6 |
| CVE-2026-12296 | セキュリティプロセスサンドボックスの脱出 | 9.6 |
| CVE-2026-12297 | ネットワーク境界条件不正によるサンドボックス脱出 | 9.6 |
| CVE-2026-12291 | Networking: HTTP コンポーネントのuse-after-free | 8.8 |
CVE-2026-12294はFirefox ESR 140.12、ESR 115.37も対象です。社内でFirefox ESRをポリシー適用している組織はESRの更新も忘れずに実施してください。
CVE-2026-39813 — Fortinet FortiSandbox パストラバーサル権限昇格(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8 |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-24(パストラバーサル) |
| 影響バージョン | FortiSandbox 5.0.0〜5.0.5、4.4.0〜4.4.8 |
細工されたHTTPリクエストによってパストラバーサルが成立し、権限昇格が可能な脆弱性です。認証不要・ネットワーク経由で悪用できる点が深刻です。セキュリティサンドボックス製品自体の脆弱性であるため、優先度を高めた対応を推奨します。
対策: FortiSandbox 5.0.6以降または4.4.9以降へアップデート
参照: FortiGuard PSIRT FG-IR-26-112
CVE-2026-47643 — Azure Stack Edge ネットワーク経由コード実行(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8 |
| ベクトル | CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-73、CWE-610(外部制御によるファイルパス) |
Azure Stack EdgeにおけるファイルパスへのExternal Control脆弱性で、未認証のままネットワーク経由でコード実行が可能です。Azure Stack Edgeを利用している環境では速やかにパッチ適用を検討してください。
対策: Microsoft Update Guideに従いパッチを適用
参照: Microsoft MSRC
CVE-2026-48714 — i18next-http-middleware プロトタイプ汚染(CVSS 9.1)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.1 |
| CWE | CWE-1321(プロトタイプ汚染) |
| 影響バージョン | i18next-http-middleware 3.9.6以前 |
missingKeyHandlerに__proto__.pollutedのようなドット区切りのキーを渡すことで、Object.prototypeへの書き込みが可能な脆弱性です。v3.9.3でリテラルのブロックは追加されていましたが、ドット区切りバリアントが未対策でした。i18next-fs-backend ≤ 2.6.5と組み合わせて使用している場合に直接悪用の可能性があり、設定値の改ざんやセキュリティチェックのバイパスなどの影響が想定されます。
修正バージョン: i18next-http-middleware 3.9.7
暫定対策: missingKeyHandlerを認証なしで外部公開しない、またはsaveMissing: falseに設定
参照: GHSA-f49m-vf83-692w
Oracle June 2026 CPU 追加のHigh〜Critical脆弱性
Oracle June 2026 Critical Patch Updateには上記以外にも多数の深刻な脆弱性が含まれています。
| CVE ID | 製品 | CVSS | 概要 |
|---|---|---|---|
| CVE-2026-35278 | Oracle PeopleSoft PT | 9.8 | 未認証HTTPアクセスでシステム乗っ取り |
| CVE-2026-35286 | Oracle WebCenter Content | 9.8 | 未認証HTTPアクセスでシステム乗っ取り |
| CVE-2026-35270 | Oracle WebCenter Content | 9.1 | 高権限ユーザーによるスコープ変更を伴う侵害 |
| CVE-2026-35259 | Oracle WebLogic Server | 8.8 | 未認証HTTPSアクセスでシステム乗っ取り |
| CVE-2026-35265 | Oracle Identity Manager | 8.8 | 低権限ユーザーによるシステム乗っ取り |
| CVE-2026-35267 | Oracle Identity Manager | 8.8 | 低権限ユーザーによるシステム乗っ取り |
Oracle Fusion Middlewareを運用している組織は、June 2026 CPU全体の適用計画を早急に立てることを推奨します。
その他のHigh脆弱性(抜粋)
| CVE ID | 製品 | CVSS | 概要 |
|---|---|---|---|
| CVE-2026-0147〜0164 | Android (Google Pixel) | 8.8 | 複数のメモリ破壊によるリモートコード実行(ユーザー操作不要) |
| CVE-2026-44932 | openSUSE wicked (DHCP) | 8.8 | 悪意あるDHCPサーバからのコマンドインジェクション |
| CVE-2026-9211 | Netgear CAX30/RAX30等 | 8.8 | ローカルネットワークの未認証攻撃者がルーターを制御可能 |
| CVE-2026-7273 | Zyxel GS1900-48HPv2 | 8.8 | LANからのスタックバッファオーバーフローでOSコマンド実行 |
| CVE-2026-7387 | Mattermost | 8.8 | グループリンク権限を持つユーザーによるadmin権限昇格 |
| CVE-2026-32193 | Azure Kubernetes Service | 8.8 | パストラバーサルによるローカルコード実行 |
| CVE-2025-13590 | WSO2 (管理者向けREST API) | 9.1 | 任意ファイルアップロードによるリモートコード実行 |
Android Pixel向けのセキュリティアップデート(2026-06-01パッチレベル)はメモリ破壊系の脆弱性が複数含まれており、モバイルVPN等の管理対象デバイスポリシーの適用状況を確認してください。
エコシステム別サマリー
npm — フロントエンドフレームワーク一斉セキュリティリリース
今週はnpmの主要フレームワークで一斉にセキュリティリリースが実施されました。
| パッケージ | CVE | 内容 | 修正バージョン |
|---|---|---|---|
| Vite | CVE-2026-53571 | Windowsでserver.fs.denyをAlternate Pathで迂回可能 | 8.0.16 / 7.3.5 / 6.4.3 |
| Nuxt | CVE-2026-53722 | <NuxtLink>のjavascript:URLによるXSS | 4.4.7 / 3.21.7 |
| Angular | CVE-2026-54267 | クライアントハイドレーション時のDOM操作とレスポンスキャッシュ汚染 | 22.0.1 / 21.2.17 / 20.3.25 |
| Angular | CVE-2026-50557 | テンプレートの名前空間サニタイズバイパスによるXSS | 21.2.15 / 20.3.22 / 19.2.22 |
| Angular | CVE-2026-52725 | 動的コンポーネント生成時の名前空間バイパスXSS | 21.2.15 / 20.3.22 / 19.2.23 |
| Astro | CVE-2026-54298 | Spread Propsでの属性名エスケープ漏れによるXSS | 6.4.6 |
| Astro | CVE-2026-54299 | SSRエラーページ取得時のHostヘッダーSSRF | 6.4.6 |
Nuxtについては、このほか以下の脆弱性も Nuxt 3.21.7 / 4.4.7 に含まれます:
- CVE-2026-53721:
routeRulesのケースセンシティビティ不一致によるミドルウェアバイパス - GHSA-c9cv-mq2m-ppp3:
navigateToのSSRオープンリダイレクトおよびクライアントスクリプト実行 - GHSA-m3q2-p4fw-w38m:
<NoScript>スロット内のXSS - GHSA-534h-c3cw-v3h9: Linuxのdev serverにおけるIPCソケット公開(同一ホストの別プロセスからアクセス可能)
- CVE-2026-46342:
/__nuxt_island/*エンドポイントのキャッシュポイズニング
NuxtまたはViteを利用している場合は、速やかに最新バージョンへの更新を検討してください。
PyPI — picklescan の複数バイパス修正
機械学習モデルのセキュリティスキャナーpicklescanに、ブロックリストを迂回して任意コードを実行可能なバイパス脆弱性が複数公開されました(CRITICAL: GHSA-7wx9-6375-f5wh、GHSA-vvpj-8cmc-gx39など)。
MLOpsパイプラインでpicklescanを利用している場合は、最新版(1.0.4以降)へのアップデートを推奨します。
Go
| パッケージ | CVE | 内容 | 修正バージョン |
|---|---|---|---|
| go-chi/chi | CVE-2025-69725 | RedirectSlashesミドルウェアのオープンリダイレクト | v5.2.4 |
| mongo-go-driver | CVE-2026-2303 | GSSAPIエラー処理のヒープ境界外読み取り | v1.17.7 / v2.4.2 |
JVN 日本語情報
CVE-2026-53876 — MSI RadiX AX6600 OSコマンドインジェクション(CVSS 7.2)
MSI(Micro-Star International)が提供するゲーミングルーター「RadiX AX6600 WiFi 6 Tri-Band Gaming Router」にOSコマンドインジェクション脆弱性(CWE-78)が確認されました。三井物産セキュアディレクション株式会社の渋田和宏氏がIPAに報告し、JPCERT/CCが開発者との調整を実施しています。
ゲーミング向けルーターを法人環境やSOHOで使用しているケースでは、ファームウェアの更新状況を確認することを推奨します。
CISA ICS Advisory(2026年6月16日公開)
CISAが制御システム向けアドバイザリ5件を公開しました。Rockwell Automation(FactoryTalk Analytics PavilionX、RSLinx)などのICS製品に影響する脆弱性情報が含まれています。産業用制御システムを管理している場合はCISA公式サイトで詳細を確認してください。
まとめ
本日はOracle June 2026 Critical Patch UpdateとFirefox 152のセキュリティアップデートが重複し、Critical(CVSS 9.0以上)だけで18件という規模の大きな日になりました。特にOracle WebLogicとIdentity ManagerのCVSS 9.9は、低権限ユーザーによるスコープ変更を伴う完全侵害が可能なため、Oracle Fusion Middlewareを運用している環境では最優先で適用計画を立てることを推奨します。
npmエコシステムでもNuxt・Vite・Angular・Astroに複数のセキュリティ修正が入りました。AngularのクライアントハイドレーションCVE(CVE-2026-54267)は機密性・完全性の両方にHigh影響があります。フロントエンドチームはパッケージのバージョンを確認し、必要に応じてアップデートを検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。