つみかさね

【セキュリティ日報】MariaDB・PHPにCVSS 10.0の脆弱性ほか220件

2026-07-02データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
MariaDB Galera Cluster OSコマンドインジェクション
CVE-2026-49261
10.6.27、10.11.18、11.4.12、11.8.8、12.3.2以降へアップデート。即時困難な場合はwsrep_notify_cmdを無効化
high対応必須
PHP SOAP拡張 Use-After-Free リモートコード実行
CVE-2026-6722
PHP 8.2.31、8.3.31、8.4.21、8.5.6以降へアップデート
high対応必須
Axios NO_PROXYバイパス / SSRF
CVE-2025-62718
axios 1.15.0 または 0.31.0以降へアップデート
high対応必須
Authlib JWKヘッダーインジェクション 認証バイパス
CVE-2026-27962
authlib 1.6.9以降へアップデート。JWS関数にkey=Noneを渡している実装を確認
high対応必須
Authlib JWT alg:none バイパス
CVE-2026-28802
authlib 1.6.7以降へアップデート
high対応必須
Progress LoadMaster 認証不要RCE
CVE-2026-8037
ベンダーのセキュリティ情報を確認し最新版へアップデート
high対応必須
Adobe ColdFusion 認証不要 任意コード実行
CVE-2026-48276
Adobeのセキュリティアドバイザリを確認し最新パッチを適用
high推奨
Immutable.js Prototype Pollution
CVE-2026-29063
3.8.3、4.3.7、5.1.5以降へアップデート
high推奨
Rollup 任意ファイル書き込み(パストラバーサル)
CVE-2026-27606
2.80.0、3.30.0、4.59.0以降へアップデート
high推奨
RPGツクール MV/MZ OSコマンドインジェクション
CVE-2026-56137
開発者提供の修正版へアップデート。JVN#26566032を参照
CVEMariaDBPHPAdobe ColdFusionAxiosAuthlibLinux kernel

本日はNVDで220件のCVEが公開・更新されており、うちCriticalが36件と多めです。MariaDB Galera Cluster、PHP SOAP拡張、Adobe ColdFusionに最高スコア10.0の脆弱性が集中しており、早急な確認が推奨されます。Go、Axios、Authlibなど広く使われるエコシステムでも高スコアの問題が複数確認されています。

本日の概要

指標数値
新規CVE(NVD)220件
Critical (9.0+)36件
High (7.0-8.9)123件
Medium (4.0-6.9)48件
Low (0.1-3.9)6件
影響エコシステムnpm, PyPI, Maven

Critical / High 脆弱性 詳細解説

CVE-2026-49261 — MariaDB OS コマンドインジェクション(CVSS 10.0)

項目内容
CVSSスコア10.0(Critical)
CWECWE-78(OSコマンドインジェクション)
影響バージョンMariaDB 10.6.1〜10.6.26、10.11.1〜10.11.17、11.4.1〜11.4.11、11.8.1〜11.8.7、12.3.1
修正バージョン10.6.27、10.11.18、11.4.12、11.8.8、12.3.2

wsrep_notify_cmd を有効にしたMariaDB Galera Clusterにおいて、参加ノード名に含まれるシェルコマンドが実行される脆弱性です。ネットワーク経由で認証不要での悪用が可能であり、スコアは最高の10.0です。回避策として、即時アップデートが困難な場合は wsrep_notify_cmd を無効化することで影響を緩和できます。


CVE-2026-6722 — PHP SOAP 拡張 Use-After-Free RCE(CVSS 9.8)

項目内容
CVSSスコア9.8(Critical)
CWECWE-416(Use-After-Free)
影響バージョンPHP 8.2.* < 8.2.31、8.3.* < 8.3.31、8.4.* < 8.4.21、8.5.* < 8.5.6
修正バージョンPHP 8.2.31、8.3.31、8.4.21、8.5.6

SOAP拡張のオブジェクト重複排除機構に起因するUse-After-Free脆弱性です。apache:Map ノードに重複キーが含まれる場合、開放済みのオブジェクトへのポインタを参照する状態が生じます。SOAP リクエストボディを制御できる攻撃者がリモートコード実行を達成できる可能性があります。


CVE-2025-62718 — Axios NO_PROXY バイパス / SSRF(CVSS 9.9)

項目内容
CVSSスコア9.9(Critical)
CWECWE-441、CWE-918(SSRF)
影響バージョンAxios < 1.15.0(npm)、< 0.31.0
修正バージョン1.15.0、0.31.0

localhost.(末尾ドット付き)や [::1](IPv6リテラル)形式のループバックアドレスに対してNO_PROXYのチェックが機能せず、設定した保護をすり抜けてプロキシ経由でリクエストが送出される問題です。内部サービスへのSSRF攻撃に悪用される可能性があります。既存ページあり


CVE-2026-27962 — Authlib JWK ヘッダーインジェクション(CVSS 9.1)

項目内容
CVSSスコア9.1(Critical)
CWECWE-347(不正な署名検証)
影響バージョンAuthlib < 1.6.9
修正バージョン1.6.9

JWS デシリアライズ関数に key=None を渡した場合、攻撃者が制御するJWTの jwk ヘッダーフィールドから公開鍵が抽出・使用される脆弱性です。攻撃者は自身の秘密鍵でトークンに署名し、対応する公開鍵をヘッダーに埋め込むことで、サーバーが署名を正当なものとして受理してしまいます。認証・認可バイパスにつながる深刻な問題です。


CVE-2026-28802 — Authlib JWT alg:none バイパス(CVSS 9.8)

項目内容
CVSSスコア9.8(Critical)
CWECWE-347
影響バージョンAuthlib 1.6.5 〜 < 1.6.7
修正バージョン1.6.7

alg: none と空の署名を含む悪意あるJWTが署名検証をパスしてしまう問題です。既存ページあり


CVE-2026-8037 — Progress LoadMaster 認証不要 RCE(CVSS 9.6)

項目内容
CVSSスコア9.6(Critical)
CWECWE-77(コマンドインジェクション)
影響製品Progress ADC / Kemp LoadMaster
修正ベンダーセキュリティ情報を参照

LoadMaster の複数コマンドエンドポイントにおいて、入力のサニタイズが不十分なためにOSコマンドインジェクションが可能な脆弱性です。認証不要でリモートから悪用できる点が深刻です。


CVE-2026-46595 — Go golang.org/x/crypto SSH 認可バイパス(CVSS 10.0)

Go の SSH サーバー実装において、パブリックキー以外のコールバックが設定されている場合にsource-address 検証がスキップされる問題です(CVE-2024-45337の修正不完全)。既存ページあり


CVE-2026-4408 — Samba コマンドインジェクション(CVSS 9.0)

check password script%u が設定されている非標準構成で、クライアント制御のユーザー名がシェルメタ文字をエスケープせずに渡される問題です。既存ページあり


CVE-2026-33186 — gRPC-Go 認可バイパス(CVSS 9.1)

HTTP/2 の :path 疑似ヘッダーの先頭スラッシュを省略したリクエストがルーティングされつつ認可インターセプタをバイパスできる問題(< 1.79.3)。既存ページあり


その他の注目 Critical 脆弱性

CVE ID製品CVSS概要
CVE-2026-29063Immutable.js9.8mergeDeep() 等を通じたPrototype Pollution。バージョン3.8.3/4.3.8/5.1.5で修正済み
CVE-2026-27606Rollup9.8出力ファイル名のパストラバーサルによる任意ファイル書き込み。v2.80.0/3.30.0/4.59.0で修正済み
CVE-2026-20160Cisco SSM On-Prem9.8認証不要でrootレベルコマンド実行が可能な内部サービス露出
CVE-2026-47065Apache(Java)9.8resolveProxyClass未オーバーライドによるデシリアライゼーションフィルターバイパス
CVE-2026-44172MariaDB C Connector9.8big5文字セット使用時のmysql_real_escape_string()によるSQLインジェクション
CVE-2026-12569PTC Windchill9.8非信頼データのデシリアライズによるRCE(CISAのKEVリストに掲載)

エコシステム別サマリー

npm(1件)

CVE-2026-54267 — Angular Client Hydration DOM Clobbering / レスポンスキャッシュポイズニング

AngularのSSR Hydration機能において、<script id="ng-state"> タグを使ったDOMクロビングによりキャッシュデータを汚染できる脆弱性です。修正バージョン: @angular/core 22.0.1、21.2.17、20.3.25。

PyPI(8件)

本日のOSVデータにはDjango 1.x系の旧来の脆弱性(CVE-2011-0696、CVE-2011-0697、CVE-2010-4534、CVE-2010-4535)が含まれていますが、いずれも10年以上前の既知の問題です。現在Django 1.x系を運用しているケースは極めてまれであり、対応優先度は低い判断で問題ありません。

Maven(複数件)

Apache TomcatのGHSAデータに複数のアドバイザリが確認されました:

  • CVE-2025-55668: Apache Tomcat セッション固定化脆弱性(High)。修正: 11.0.8、10.1.42、9.0.106
  • CVE-2025-52434: Apache Tomcat APR/Native コネクタ リソース枯渇(Moderate)。修正: 9.0.107
  • CVE-2024-38286: Apache Tomcat リソース制限なし割り当て(High)。修正: 11.0.0-M21、10.1.25、9.0.90

JVN 日本語情報

Adobe ColdFusion — 大規模な脆弱性群(CVSS 10.0 × 5件)

Adobe ColdFusion 2025.9以前、2023.20以前に対して複数の深刻な脆弱性が報告されています。

CVE IDCVSS種別
CVE-2026-4827610.0危険なファイルタイプの無制限アップロード、認証不要
CVE-2026-4827710.0不適切な入力検証による任意コード実行、認証不要
CVE-2026-4828110.0不適切な入力検証による任意コード実行、認証不要
CVE-2026-4828210.0パストラバーサルによる任意コード実行、認証不要
CVE-2026-4828310.0危険なファイルタイプの無制限アップロード、認証不要
CVE-2026-483139.3パストラバーサル(任意ファイル読み書き)
CVE-2026-483159.3不適切な入力検証(ユーザー操作要)
CVE-2026-483078.8反射型XSS
CVE-2026-482858.6SSRF(セキュリティ機能バイパス)

ColdFusionサーバーを公開している組織は即時のパッチ適用を推奨します。

CVE-2026-56137 — RPGツクール MV/MZ OS コマンドインジェクション(CVSS 7.8)

RPGツクール MV/MZ のセーブデータ読み込み処理に、細工されたセーブデータを通じてOSコマンドを実行できる脆弱性が存在します(CWE-78)。Gotcha Gotcha Games製。ゲームを配布・運用している開発者は対応バージョンへの更新が推奨されます。

CVE-2026-50043 — セイコーソリューションズ SkyBridge OSコマンドインジェクション(CVSS 7.2)

セイコーソリューションズ製 SkyBridge MB-A100/MB-A110 にOSコマンドインジェクション脆弱性が存在します。IoT/産業系デバイス利用者は JVN情報を参照の上、対応バージョンへの更新を検討してください。


まとめ

本日はMariaDB Galera Cluster、PHP SOAP拡張、Adobe ColdFusionにCVSS 10.0の脆弱性が集中しており、これらを運用している組織は最優先での対応が求められます。Authlib(JWKインジェクション)、Progress LoadMaster(認証不要RCE)、Axios(SSRF)なども影響が広く、修正バージョンへの更新を推奨します。

Go(golang.org/x/crypto)やgRPC-Go、Rollup、Immutable.jsなどフロントエンド・バックエンドの開発ツール・ライブラリにも複数の高スコア脆弱性が公開されています。CI/CDパイプラインやビルドツールのバージョン管理も合わせて確認しておくと良いでしょう。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。