本日のNVDデータでは507件のCVEが確認されており、Critical(CVSS 9.0以上)だけで28件にのぼります。中でもCVE-2026-34078(Flatpak CVSS 10.0)とCVE-2026-46595(Go SSH CVSS 10.0)が最高深刻度で、早急な確認が推奨されます。OSV/GHSAでもnpmとPyPIエコシステムでの脆弱性が複数更新されています。MyJVN(JVN)は本日該当なしです。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD 対象CVE | 507件 |
| Critical (9.0+) | 28件 |
| High (7.0-8.9) | 109件 |
| Medium (4.0-6.9) | 61件 |
| OSV(npm) | 2件 |
| OSV(PyPI) | 6件 |
| JVN/MyJVN | 0件 |
| 影響エコシステム | Linux, Go, npm, PyPI, MariaDB, PostgreSQL, Firefox |
Critical / High 脆弱性 詳細解説
CVE-2026-34078 — Flatpak サンドボックス脱出
- CVSS: 10.0 / Critical(CWE-61, CWE-59)
- 影響バージョン: Flatpak 1.16.4未満
- 概要: Flatpakポータルが
sandbox-exposeオプションで指定されたパスとして、アプリが制御できるシンボリックリンクを受け入れてしまう脆弱性。flatpak runは解決後のホストパスをサンドボックス内にマウントするため、アプリがすべてのホストファイルへアクセスし、ホストコンテキストでのコード実行が可能となる。 - 修正バージョン: 1.16.4 以降
- 参考: GHSA-cc2q-qc34-jprg / NVD
CVE-2026-46595 — Go SSH パッケージ 認証バイパス
- CVSS: 10.0 / Critical(CWE-863, CWE-303)
- 影響バージョン: golang.org/x/crypto(修正コミット前)
- 概要: CVE-2024-45337の修正(SSHサーバー設定ミスによる認証バイパス)に漏れがあり、公開鍵以外のコールバックが渡された場合にsource-addressバリデーションがスキップされる問題。MITMや不正なSSH接続が成立する可能性がある。
- 修正バージョン: golang.org/x/crypto v0.38.0以降(go.dev/cl/781642参照)
- 参考: GO-2026-5023 / NVD
CVE-2026-44935 — SUSE Rancher Fleet クロステナント認証情報アクセス
- CVSS: 9.9 / Critical(CWE-1287)
- 影響バージョン: Rancher Fleet 0.15.x(0.15.2未満)、0.14.x(0.14.6未満)、0.13.x(0.13.11未満)、0.12.x(0.12.15未満)
- 概要: Helm DeployerにおいてvaluesFromの参照先検証が不十分。あるテナントのオーナーが他テナントのFleet認証情報にアクセスできる。マルチテナント環境でのクレデンシャル漏洩リスクがある。
- 修正バージョン: 0.15.2 / 0.14.6 / 0.13.11 / 0.12.15 以降
- 参考: GHSA-xr65-5cpm-g36x / NVD
CVE-2026-14241 — Firefox メモリ安全性バグ(RCEの可能性)
- CVSS: 9.8 / Critical(メモリ破壊)
- 影響バージョン: Firefox 152.0.3 以前
- 概要: Firefox 152.0.3に存在するメモリ安全性バグ群。一部はメモリ破壊の証拠があり、十分な努力により任意コード実行に悪用できた可能性がある。
- 修正バージョン: Firefox 152.0.4 以降
- 参考: mfsa2026-62 / NVD
CVE-2026-44172 — MariaDB SQLインジェクション(mysql_real_escape_string() バイパス)
- CVSS: 9.8 / Critical(CWE-89)
- 影響バージョン: MariaDB Connector/C 3.3.18以前 / 3.4.8以前
- 概要: big5文字セットとテキストプロトコルを使用する場合、
mysql_real_escape_string()でエスケープした入力値がSQLインジェクションを防げない脆弱性。エスケープ済みと信頼してSQL文を構築しているアプリが影響を受ける。 - 修正バージョン: 3.3.19 / 3.4.9 以降
- 参考: GHSA-pv9p-5w55-55jm / NVD
CVE-2026-45447 — OpenSSL PKCS#7署名検証 Use-After-Free
- CVSS: 8.8 / High(CWE-416, CWE-825)
- 影響バージョン: OpenSSL 4.x・3.6・3.5・3.4・3.0(FIPSモジュールは非対象)
- 概要: PKCS#7またはS/MIME署名メッセージの検証中、SignedDataのdigestAlgorithmsフィールドが空のASN.1 SETの場合、
PKCS7_verify()中に呼び出し元のBIOが誤って解放される。その後のBIO使用でuse-after-freeが発生し、クラッシュ・ヒープ破損・場合によってはRCEにつながる可能性がある。CMSのAPIを使用するアプリは非対象。 - 修正バージョン: OpenSSL 3.5.1 / 3.4.2 / 3.0.17 以降(各ブランチの修正コミット参照)
- 参考: OpenSSL commit / NVD
CVE-2026-6473 — PostgreSQL 整数オーバーフロー → 境界外書き込み
- CVSS: 8.8 / High(CWE-190)
- 影響バージョン: PostgreSQL 18.3以前 / 17.9以前 / 16.13以前 / 15.17以前 / 14.22以前
- 概要: PostgreSQLの複数機能で整数のラップアラウンドにより割り当てサイズが不足し、境界外書き込みが発生する可能性がある。非特権データベースユーザーがサーバーを悪用してOSユーザーとして任意コードを実行できる。
- 修正バージョン: 18.4 / 17.10 / 16.14 / 15.18 / 14.23 以降
- 参考: PostgreSQL Security Advisory / NVD
エコシステム別サマリー
npm(2件)
| パッケージ | CVE | 概要 |
|---|---|---|
| vite | CVE-2026-53571 | Windows代替パスによるserver.fs.denyバイパス(修正: 8.0.16/7.3.5/6.4.3) |
| launch-editor / vite | CVE-2026-53632 | Windows UNCパス経由のNTLMv2ハッシュ漏洩(修正: 2.14.1/8.0.16) |
PyPI(6件)
今回のOSVデータにはDjango 0.95(CVE-2007-0404, CVE-2007-0405)やjQuery/Django組み合わせの既知CVEが含まれています。いずれも影響バージョンは非常に古く(Django 0.95, Django 2.x系の旧版)、現在サポートされているバージョンを使用している場合は対応不要です。
JVN 日本語情報
本日(2026-07-07)のMyJVNデータには該当する脆弱性対策情報はありません。
まとめ
本日はCVSS 10.0の最高深刻度脆弱性がFlatpakとGoのSSHパッケージで確認されており、Critical全28件の中でも特に注意が必要です。Flatpakを利用しているLinuxデスクトップ・サーバー環境では1.16.4へのアップデートを、Go製アプリケーションでSSHを利用している場合はgolang.org/x/cryptoの最新版への更新をお勧めします。
また、OpenSSLのPKCS#7署名検証に関するUAFはメールクライアントや電子署名を処理するアプリへの影響があるため、OpenSSL 3.x系を使用している場合も確認を推奨します。PostgreSQLの2件(CVE-2026-6473, CVE-2026-6477)は未パッチ環境で非特権ユーザーからのRCEリスクがあるため、14.23/15.18/16.14/17.10/18.4への更新を優先してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
