本日はNVDで220件のCVEが公開・更新されており、うちCriticalが36件と多めです。MariaDB Galera Cluster、PHP SOAP拡張、Adobe ColdFusionに最高スコア10.0の脆弱性が集中しており、早急な確認が推奨されます。Go、Axios、Authlibなど広く使われるエコシステムでも高スコアの問題が複数確認されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE(NVD) | 220件 |
| Critical (9.0+) | 36件 |
| High (7.0-8.9) | 123件 |
| Medium (4.0-6.9) | 48件 |
| Low (0.1-3.9) | 6件 |
| 影響エコシステム | npm, PyPI, Maven |
Critical / High 脆弱性 詳細解説
CVE-2026-49261 — MariaDB OS コマンドインジェクション(CVSS 10.0)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 10.0(Critical) |
| CWE | CWE-78(OSコマンドインジェクション) |
| 影響バージョン | MariaDB 10.6.1〜10.6.26、10.11.1〜10.11.17、11.4.1〜11.4.11、11.8.1〜11.8.7、12.3.1 |
| 修正バージョン | 10.6.27、10.11.18、11.4.12、11.8.8、12.3.2 |
wsrep_notify_cmd を有効にしたMariaDB Galera Clusterにおいて、参加ノード名に含まれるシェルコマンドが実行される脆弱性です。ネットワーク経由で認証不要での悪用が可能であり、スコアは最高の10.0です。回避策として、即時アップデートが困難な場合は wsrep_notify_cmd を無効化することで影響を緩和できます。
- 参考: GitHub Advisory / NVD
CVE-2026-6722 — PHP SOAP 拡張 Use-After-Free RCE(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-416(Use-After-Free) |
| 影響バージョン | PHP 8.2.* < 8.2.31、8.3.* < 8.3.31、8.4.* < 8.4.21、8.5.* < 8.5.6 |
| 修正バージョン | PHP 8.2.31、8.3.31、8.4.21、8.5.6 |
SOAP拡張のオブジェクト重複排除機構に起因するUse-After-Free脆弱性です。apache:Map ノードに重複キーが含まれる場合、開放済みのオブジェクトへのポインタを参照する状態が生じます。SOAP リクエストボディを制御できる攻撃者がリモートコード実行を達成できる可能性があります。
- 参考: GitHub Advisory / NVD
CVE-2025-62718 — Axios NO_PROXY バイパス / SSRF(CVSS 9.9)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.9(Critical) |
| CWE | CWE-441、CWE-918(SSRF) |
| 影響バージョン | Axios < 1.15.0(npm)、< 0.31.0 |
| 修正バージョン | 1.15.0、0.31.0 |
localhost.(末尾ドット付き)や [::1](IPv6リテラル)形式のループバックアドレスに対してNO_PROXYのチェックが機能せず、設定した保護をすり抜けてプロキシ経由でリクエストが送出される問題です。内部サービスへのSSRF攻撃に悪用される可能性があります。既存ページあり。
- 参考: NVD
CVE-2026-27962 — Authlib JWK ヘッダーインジェクション(CVSS 9.1)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.1(Critical) |
| CWE | CWE-347(不正な署名検証) |
| 影響バージョン | Authlib < 1.6.9 |
| 修正バージョン | 1.6.9 |
JWS デシリアライズ関数に key=None を渡した場合、攻撃者が制御するJWTの jwk ヘッダーフィールドから公開鍵が抽出・使用される脆弱性です。攻撃者は自身の秘密鍵でトークンに署名し、対応する公開鍵をヘッダーに埋め込むことで、サーバーが署名を正当なものとして受理してしまいます。認証・認可バイパスにつながる深刻な問題です。
- 参考: GitHub Advisory / NVD
CVE-2026-28802 — Authlib JWT alg:none バイパス(CVSS 9.8)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.8(Critical) |
| CWE | CWE-347 |
| 影響バージョン | Authlib 1.6.5 〜 < 1.6.7 |
| 修正バージョン | 1.6.7 |
alg: none と空の署名を含む悪意あるJWTが署名検証をパスしてしまう問題です。既存ページあり。
- 参考: NVD
CVE-2026-8037 — Progress LoadMaster 認証不要 RCE(CVSS 9.6)
| 項目 | 内容 |
|---|---|
| CVSSスコア | 9.6(Critical) |
| CWE | CWE-77(コマンドインジェクション) |
| 影響製品 | Progress ADC / Kemp LoadMaster |
| 修正 | ベンダーセキュリティ情報を参照 |
LoadMaster の複数コマンドエンドポイントにおいて、入力のサニタイズが不十分なためにOSコマンドインジェクションが可能な脆弱性です。認証不要でリモートから悪用できる点が深刻です。
- 参考: WatchTowr Labs解析 / NVD
CVE-2026-46595 — Go golang.org/x/crypto SSH 認可バイパス(CVSS 10.0)
Go の SSH サーバー実装において、パブリックキー以外のコールバックが設定されている場合にsource-address 検証がスキップされる問題です(CVE-2024-45337の修正不完全)。既存ページあり。
- 参考: Go Issue #79570 / NVD
CVE-2026-4408 — Samba コマンドインジェクション(CVSS 9.0)
check password script に %u が設定されている非標準構成で、クライアント制御のユーザー名がシェルメタ文字をエスケープせずに渡される問題です。既存ページあり。
- 参考: NVD
CVE-2026-33186 — gRPC-Go 認可バイパス(CVSS 9.1)
HTTP/2 の :path 疑似ヘッダーの先頭スラッシュを省略したリクエストがルーティングされつつ認可インターセプタをバイパスできる問題(< 1.79.3)。既存ページあり。
- 参考: GitHub Advisory / NVD
その他の注目 Critical 脆弱性
| CVE ID | 製品 | CVSS | 概要 |
|---|---|---|---|
| CVE-2026-29063 | Immutable.js | 9.8 | mergeDeep() 等を通じたPrototype Pollution。バージョン3.8.3/4.3.8/5.1.5で修正済み |
| CVE-2026-27606 | Rollup | 9.8 | 出力ファイル名のパストラバーサルによる任意ファイル書き込み。v2.80.0/3.30.0/4.59.0で修正済み |
| CVE-2026-20160 | Cisco SSM On-Prem | 9.8 | 認証不要でrootレベルコマンド実行が可能な内部サービス露出 |
| CVE-2026-47065 | Apache(Java) | 9.8 | resolveProxyClass未オーバーライドによるデシリアライゼーションフィルターバイパス |
| CVE-2026-44172 | MariaDB C Connector | 9.8 | big5文字セット使用時のmysql_real_escape_string()によるSQLインジェクション |
| CVE-2026-12569 | PTC Windchill | 9.8 | 非信頼データのデシリアライズによるRCE(CISAのKEVリストに掲載) |
エコシステム別サマリー
npm(1件)
CVE-2026-54267 — Angular Client Hydration DOM Clobbering / レスポンスキャッシュポイズニング
AngularのSSR Hydration機能において、<script id="ng-state"> タグを使ったDOMクロビングによりキャッシュデータを汚染できる脆弱性です。修正バージョン: @angular/core 22.0.1、21.2.17、20.3.25。
PyPI(8件)
本日のOSVデータにはDjango 1.x系の旧来の脆弱性(CVE-2011-0696、CVE-2011-0697、CVE-2010-4534、CVE-2010-4535)が含まれていますが、いずれも10年以上前の既知の問題です。現在Django 1.x系を運用しているケースは極めてまれであり、対応優先度は低い判断で問題ありません。
Maven(複数件)
Apache TomcatのGHSAデータに複数のアドバイザリが確認されました:
- CVE-2025-55668: Apache Tomcat セッション固定化脆弱性(High)。修正: 11.0.8、10.1.42、9.0.106
- CVE-2025-52434: Apache Tomcat APR/Native コネクタ リソース枯渇(Moderate)。修正: 9.0.107
- CVE-2024-38286: Apache Tomcat リソース制限なし割り当て(High)。修正: 11.0.0-M21、10.1.25、9.0.90
JVN 日本語情報
Adobe ColdFusion — 大規模な脆弱性群(CVSS 10.0 × 5件)
Adobe ColdFusion 2025.9以前、2023.20以前に対して複数の深刻な脆弱性が報告されています。
| CVE ID | CVSS | 種別 |
|---|---|---|
| CVE-2026-48276 | 10.0 | 危険なファイルタイプの無制限アップロード、認証不要 |
| CVE-2026-48277 | 10.0 | 不適切な入力検証による任意コード実行、認証不要 |
| CVE-2026-48281 | 10.0 | 不適切な入力検証による任意コード実行、認証不要 |
| CVE-2026-48282 | 10.0 | パストラバーサルによる任意コード実行、認証不要 |
| CVE-2026-48283 | 10.0 | 危険なファイルタイプの無制限アップロード、認証不要 |
| CVE-2026-48313 | 9.3 | パストラバーサル(任意ファイル読み書き) |
| CVE-2026-48315 | 9.3 | 不適切な入力検証(ユーザー操作要) |
| CVE-2026-48307 | 8.8 | 反射型XSS |
| CVE-2026-48285 | 8.6 | SSRF(セキュリティ機能バイパス) |
ColdFusionサーバーを公開している組織は即時のパッチ適用を推奨します。
CVE-2026-56137 — RPGツクール MV/MZ OS コマンドインジェクション(CVSS 7.8)
RPGツクール MV/MZ のセーブデータ読み込み処理に、細工されたセーブデータを通じてOSコマンドを実行できる脆弱性が存在します(CWE-78)。Gotcha Gotcha Games製。ゲームを配布・運用している開発者は対応バージョンへの更新が推奨されます。
CVE-2026-50043 — セイコーソリューションズ SkyBridge OSコマンドインジェクション(CVSS 7.2)
セイコーソリューションズ製 SkyBridge MB-A100/MB-A110 にOSコマンドインジェクション脆弱性が存在します。IoT/産業系デバイス利用者は JVN情報を参照の上、対応バージョンへの更新を検討してください。
まとめ
本日はMariaDB Galera Cluster、PHP SOAP拡張、Adobe ColdFusionにCVSS 10.0の脆弱性が集中しており、これらを運用している組織は最優先での対応が求められます。Authlib(JWKインジェクション)、Progress LoadMaster(認証不要RCE)、Axios(SSRF)なども影響が広く、修正バージョンへの更新を推奨します。
Go(golang.org/x/crypto)やgRPC-Go、Rollup、Immutable.jsなどフロントエンド・バックエンドの開発ツール・ライブラリにも複数の高スコア脆弱性が公開されています。CI/CDパイプラインやビルドツールのバージョン管理も合わせて確認しておくと良いでしょう。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
