本日は公開・更新されたCVEが200件、うちCriticalが19件、Highが92件でした。最も深刻なのはGoのSSHサーバー実装における認証バイパスCVE-2026-46595(CVSS 10.0)で、Metabase・PAN-OS・MariaDB・rclone・WordPressプラグインなど広く使われる製品にもCVSS 9.8のCriticalが集中しています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE | 200件 |
| Critical (9.0+) | 19件 |
| High (7.0-8.9) | 92件 |
| Medium (4.0-6.9) | 69件 |
| Low (0.1-3.9) | 6件 |
| 未評価(CVSS未算出) | 14件 |
| 影響エコシステム | npm, PyPI |
Critical/High 脆弱性の詳細解説
CVE-2026-46595:golang.org/x/crypto/ssh 認証バイパス
- CVSSスコア: 10.0(Critical)
- 影響製品:
golang.org/x/crypto/sshを使用したSSHサーバー実装 - 概要: 過去に修正されたCVE-2024-45337と同様の問題です。公開鍵以外の認証コールバックを使う構成では、接続元アドレスの検証が丸ごとスキップされてしまいます。
- 対応:
golang.org/x/cryptoを最新版へ更新してください。 - 参考: go.dev/issue/79570
CVE-2026-59827:Metabase H2デシリアライゼーションRCE
- CVSSスコア: 9.9(Critical)
- 影響製品: Metabase(H2データベース接続、サンプルDB含む)1.58.15/1.59.12/1.60.6.3/1.61.1.4 未満
- 概要: H2ネイティブクエリの結果列(OTHER型)を検証なしにデシリアライズしており、ネイティブH2クエリを実行できる認証済みユーザーがサーバー上でコードを実行できます。
- 対応: 1.58.15、1.59.12、1.60.6.3、1.61.1.4 以降へアップデートしてください。
CVE-2026-0284:Palo Alto PAN-OS LSVPN XMLインジェクション
- CVSSスコア: 9.9(Critical)
- 影響製品: Palo Alto Networks PAN-OS(Large Scale VPN機能)。Panorama、Cloud NGFW、Prisma Accessは対象外
- 概要: 未認証の攻撃者がネットワーク経由で悪意あるXMLコンテンツを注入でき、LSVPNサテライトデータの情報漏えいや破損につながる可能性があります。
- 対応: ベンダーの公式アドバイザリを確認し、該当バージョンの修正パッチを適用してください。
CVE-2026-45700:FreeRDP プラナービットマップデコーダのヒープ書き込み
- CVSSスコア: 9.8(Critical)
- 影響製品: FreeRDP 3.26.0 未満
- 概要: RLEプラナーデータのデコード時に内部一時バッファへの境界外書き込みが発生する可能性があります。
- 対応: FreeRDP 3.26.0 以降へアップデートしてください。
CVE-2026-9698:Perl DBI モジュールのバッファオーバーフロー
- CVSSスコア: 9.8(Critical)
- 影響製品: Perl DBI 1.648 未満
- 概要:
RaiseError/PrintError/HandleError設定時のエラーメッセージを200バイトの固定バッファに長さ制限なく書き込んでおり、エラーテキストに影響を与えられる攻撃者がバッファオーバーフローを引き起こせます。 - 対応: DBI 1.648 以降へアップデートしてください。
CVE-2026-44172:MariaDB SQLインジェクション(big5文字集合)
- CVSSスコア: 9.8(Critical)
- 影響製品: MariaDB server 3.3.18 / 3.4.8
- 概要:
mysql_real_escape_string()でエスケープした入力をbig5文字集合・テキストプロトコルで送信する構成において、エスケープ処理をすり抜けるSQLインジェクションが可能でした。 - 対応: 3.3.19、3.4.9 以降へアップデートしてください。
CVE-2026-49980:rclone rcd 未認証コマンド実行
- CVSSスコア: 9.8(Critical)
- 影響製品: rclone 1.46.0〜1.74.3未満(
rcd --rc-serve使用時) - 概要: 未認証のGET/HEADリクエストのパスからバックエンド設定を初期化でき、インラインのリモート設定を通じてプロセスユーザー権限でコマンドが実行される可能性があります。
- 対応: rclone 1.74.3 以降へアップデートしてください。
CVE-2026-61459:MCP Server Kubernetes 引数インジェクション
- CVSSスコア: 9.8(Critical)
- 影響製品: MCP Server Kubernetes 3.9.0 未満
- 概要:
kubectl_get等の構造化ツールで、先頭にハイフンを付けたパラメータにより危険フラグの検出をすり抜けられ、--serverフラグの注入でoperatorのbearerトークンが外部に送信される可能性があります。 - 対応: 3.9.0 以降へアップデートしてください。
CVE-2026-12761:WordPress miniOrange Social Login 認証バイパス
- CVSSスコア: 9.8(Critical)
- 影響製品: miniOrange Social Login and Register(Discord, Google, Twitter, LinkedIn)プラグイン 7.7.0以下
- 概要: プロフィール補完フローがOAuthプロバイダのIDと紐付かない任意のメールアドレスを受け付けてしまい、未認証の攻撃者が管理者権限を奪取できる可能性があります。
- 対応: プラグインを最新版へアップデートしてください。
CVE-2026-57807:WordPress miniOrange OAuth SSO 認証バイパス
- CVSSスコア: 9.8(Critical)
- 影響製品: miniOrange OAuth Single Sign On - SSO(OAuth Client)プラグイン 38.5.8以下
- 概要: パスワード再設定フローの不備により、代替パス経由での認証バイパスが可能になっています。
- 対応: プラグインを最新版へアップデートしてください。
このほか、Go言語のidnaパッケージのPunycode誤処理による権限昇格(CVE-2026-39821、CVSS 9.6)、Firefox/Thunderbirdの複数のサンドボックスエスケープ(CVE-2026-12294ほか3件、CVSS 9.6、Firefox 152/ESR 140.12・115.37/Thunderbird 152/140.12で修正)、OpenReplayのXSS(CVE-2026-55879、CVSS 9.3)、OpenEXRの境界外読み取り(CVE-2026-42216、CVSS 9.1)、Go SSHサーバーのリソースリーク(CVE-2026-39830、CVSS 9.1)、BOSH CLIのパストラバーサル(CVE-2026-47826、CVSS 9.1)もCriticalとして公開されています。
Highでは、NATS Serverのno_auth_user設定時における認証バイパス(CVE-2026-58253、CVSS 8.8)、JetBrains TeamCityの未認証エージェント登録経由のXSS(CVE-2026-59795)とパイプライン改ざん(CVE-2026-59796、いずれもCVSS 8.1)、NGINX Plus/OSSのHTTP/2処理でのヒープバッファオーバーフロー(CVE-2026-42055、CVSS 8.1)、LiteLLMのMCPエンドポイント認証バイパス(CVE-2026-59822、CVSS 8.2)など、広く使われるインフラ・開発基盤製品への影響が目立ちます。該当製品を利用している場合は各ベンダーのアドバイザリを確認してください。
エコシステム別サマリー
OSVデータではnpmが11件、PyPIが23件更新されています。
- npm: Nuxtでは、
/__nuxt_island経由でルートミドルウェアが適用されない不備、レスポンスのキャッシュポイズニング、navigateTo()の反射型XSS、開発サーバーのIPCソケットが外部接続可能になる問題など複数の修正が行われています。WebSocket実装wsにも、小さなフラグメントの大量送信によるメモリ枯渇DoS(CVE-2026-48779、CVSS 7.5)が報告されています。 - PyPI: Djangoでファイルシステムストレージ・キャッシュバックエンドのレースコンディション(CVE-2026-25674)や、リソース消費を制御しきれない不備(CVE-2026-25673)が6.0.3/5.2.12/4.2.29で修正されています。SQLインジェクションの修正も含まれており、Django利用者は更新版の適用を推奨します。
JVN 日本語情報
本日のMyJVNデータには該当する脆弱性対策情報はありませんでした。
まとめ
本日はCriticalが19件と多めで、Go言語のSSH実装・Metabase・PAN-OS・MariaDB・rclone・WordPressプラグインなど、インフラや開発基盤で広く使われている製品にCVSS 9.8以上の脆弱性が集中しました。特にGoのSSH認証バイパス(CVSS 10.0)は影響範囲が広いため、golang.org/x/crypto を利用したSSHサーバーを運用している場合は優先的な確認を推奨します。WordPressプラグインやFirefoxのサンドボックスエスケープも、利用者が多い分野だけに早めの棚卸しをおすすめします。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
