つみかさね

【セキュリティ日報】Flatpak CVSS 10.0サンドボックス脱出ほか Critical 28件

2026-07-07データソース: NVD, OSV, GHSA, JVN
Critical
28
High
109
Medium
61
Low
0

対応判断サマリー

high対応必須
Flatpak サンドボックス脱出(シンボリックリンク経由ホストファイルアクセス)
CVE-2026-34078
Flatpak 1.16.4以降へアップデート
high対応必須
Go SSH パッケージ 認証バイパス
CVE-2026-46595
golang.org/x/crypto を v0.38.0以降へ更新
high対応必須
SUSE Rancher Fleet クロステナント認証情報アクセス
CVE-2026-44935
0.15.2/0.14.6/0.13.11/0.12.15へ更新
high対応必須
Firefox メモリ安全性バグ(RCEの可能性)
CVE-2026-14241
Firefox 152.0.4以降へ更新
high対応必須
MariaDB SQLインジェクション(mysql_real_escape_string バイパス)
CVE-2026-44172
Connector/C 3.3.19/3.4.9以降へ更新
high推奨
OpenSSL PKCS#7署名検証 Use-After-Free
CVE-2026-45447
OpenSSL 最新パッチ版へ更新
high推奨
PostgreSQL 整数オーバーフロー → 境界外書き込み
CVE-2026-6473
18.4/17.10/16.14/15.18/14.23へ更新
CVENVD脆弱性FlatpakLinuxGoOpenSSLFirefoxPostgreSQL

本日のNVDデータでは507件のCVEが確認されており、Critical(CVSS 9.0以上)だけで28件にのぼります。中でもCVE-2026-34078(Flatpak CVSS 10.0)とCVE-2026-46595(Go SSH CVSS 10.0)が最高深刻度で、早急な確認が推奨されます。OSV/GHSAでもnpmとPyPIエコシステムでの脆弱性が複数更新されています。MyJVN(JVN)は本日該当なしです。

本日の概要

指標数値
NVD 対象CVE507件
Critical (9.0+)28件
High (7.0-8.9)109件
Medium (4.0-6.9)61件
OSV(npm)2件
OSV(PyPI)6件
JVN/MyJVN0件
影響エコシステムLinux, Go, npm, PyPI, MariaDB, PostgreSQL, Firefox

Critical / High 脆弱性 詳細解説

CVE-2026-34078 — Flatpak サンドボックス脱出

  • CVSS: 10.0 / Critical(CWE-61, CWE-59)
  • 影響バージョン: Flatpak 1.16.4未満
  • 概要: Flatpakポータルが sandbox-expose オプションで指定されたパスとして、アプリが制御できるシンボリックリンクを受け入れてしまう脆弱性。flatpak run は解決後のホストパスをサンドボックス内にマウントするため、アプリがすべてのホストファイルへアクセスし、ホストコンテキストでのコード実行が可能となる。
  • 修正バージョン: 1.16.4 以降
  • 参考: GHSA-cc2q-qc34-jprg / NVD

CVE-2026-46595 — Go SSH パッケージ 認証バイパス

  • CVSS: 10.0 / Critical(CWE-863, CWE-303)
  • 影響バージョン: golang.org/x/crypto(修正コミット前)
  • 概要: CVE-2024-45337の修正(SSHサーバー設定ミスによる認証バイパス)に漏れがあり、公開鍵以外のコールバックが渡された場合にsource-addressバリデーションがスキップされる問題。MITMや不正なSSH接続が成立する可能性がある。
  • 修正バージョン: golang.org/x/crypto v0.38.0以降(go.dev/cl/781642参照)
  • 参考: GO-2026-5023 / NVD

CVE-2026-44935 — SUSE Rancher Fleet クロステナント認証情報アクセス

  • CVSS: 9.9 / Critical(CWE-1287)
  • 影響バージョン: Rancher Fleet 0.15.x(0.15.2未満)、0.14.x(0.14.6未満)、0.13.x(0.13.11未満)、0.12.x(0.12.15未満)
  • 概要: Helm DeployerにおいてvaluesFromの参照先検証が不十分。あるテナントのオーナーが他テナントのFleet認証情報にアクセスできる。マルチテナント環境でのクレデンシャル漏洩リスクがある。
  • 修正バージョン: 0.15.2 / 0.14.6 / 0.13.11 / 0.12.15 以降
  • 参考: GHSA-xr65-5cpm-g36x / NVD

CVE-2026-14241 — Firefox メモリ安全性バグ(RCEの可能性)

  • CVSS: 9.8 / Critical(メモリ破壊)
  • 影響バージョン: Firefox 152.0.3 以前
  • 概要: Firefox 152.0.3に存在するメモリ安全性バグ群。一部はメモリ破壊の証拠があり、十分な努力により任意コード実行に悪用できた可能性がある。
  • 修正バージョン: Firefox 152.0.4 以降
  • 参考: mfsa2026-62 / NVD

CVE-2026-44172 — MariaDB SQLインジェクション(mysql_real_escape_string() バイパス)

  • CVSS: 9.8 / Critical(CWE-89)
  • 影響バージョン: MariaDB Connector/C 3.3.18以前 / 3.4.8以前
  • 概要: big5文字セットとテキストプロトコルを使用する場合、mysql_real_escape_string() でエスケープした入力値がSQLインジェクションを防げない脆弱性。エスケープ済みと信頼してSQL文を構築しているアプリが影響を受ける。
  • 修正バージョン: 3.3.19 / 3.4.9 以降
  • 参考: GHSA-pv9p-5w55-55jm / NVD

CVE-2026-45447 — OpenSSL PKCS#7署名検証 Use-After-Free

  • CVSS: 8.8 / High(CWE-416, CWE-825)
  • 影響バージョン: OpenSSL 4.x・3.6・3.5・3.4・3.0(FIPSモジュールは非対象)
  • 概要: PKCS#7またはS/MIME署名メッセージの検証中、SignedDataのdigestAlgorithmsフィールドが空のASN.1 SETの場合、PKCS7_verify() 中に呼び出し元のBIOが誤って解放される。その後のBIO使用でuse-after-freeが発生し、クラッシュ・ヒープ破損・場合によってはRCEにつながる可能性がある。CMSのAPIを使用するアプリは非対象。
  • 修正バージョン: OpenSSL 3.5.1 / 3.4.2 / 3.0.17 以降(各ブランチの修正コミット参照)
  • 参考: OpenSSL commit / NVD

CVE-2026-6473 — PostgreSQL 整数オーバーフロー → 境界外書き込み

  • CVSS: 8.8 / High(CWE-190)
  • 影響バージョン: PostgreSQL 18.3以前 / 17.9以前 / 16.13以前 / 15.17以前 / 14.22以前
  • 概要: PostgreSQLの複数機能で整数のラップアラウンドにより割り当てサイズが不足し、境界外書き込みが発生する可能性がある。非特権データベースユーザーがサーバーを悪用してOSユーザーとして任意コードを実行できる。
  • 修正バージョン: 18.4 / 17.10 / 16.14 / 15.18 / 14.23 以降
  • 参考: PostgreSQL Security Advisory / NVD

エコシステム別サマリー

npm(2件)

パッケージCVE概要
viteCVE-2026-53571Windows代替パスによるserver.fs.denyバイパス(修正: 8.0.16/7.3.5/6.4.3)
launch-editor / viteCVE-2026-53632Windows UNCパス経由のNTLMv2ハッシュ漏洩(修正: 2.14.1/8.0.16)

PyPI(6件)

今回のOSVデータにはDjango 0.95(CVE-2007-0404, CVE-2007-0405)やjQuery/Django組み合わせの既知CVEが含まれています。いずれも影響バージョンは非常に古く(Django 0.95, Django 2.x系の旧版)、現在サポートされているバージョンを使用している場合は対応不要です。


JVN 日本語情報

本日(2026-07-07)のMyJVNデータには該当する脆弱性対策情報はありません。


まとめ

本日はCVSS 10.0の最高深刻度脆弱性がFlatpakとGoのSSHパッケージで確認されており、Critical全28件の中でも特に注意が必要です。Flatpakを利用しているLinuxデスクトップ・サーバー環境では1.16.4へのアップデートを、Go製アプリケーションでSSHを利用している場合はgolang.org/x/cryptoの最新版への更新をお勧めします。

また、OpenSSLのPKCS#7署名検証に関するUAFはメールクライアントや電子署名を処理するアプリへの影響があるため、OpenSSL 3.x系を使用している場合も確認を推奨します。PostgreSQLの2件(CVE-2026-6473, CVE-2026-6477)は未パッチ環境で非特権ユーザーからのRCEリスクがあるため、14.23/15.18/16.14/17.10/18.4への更新を優先してください。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。