つみかさね

【セキュリティ日報】CVSSスコア10.0のGo SSH脆弱性ほか200件

2026-07-14データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
golang.org/x/crypto/ssh 認証バイパス脆弱性
CVE-2026-46595
golang.org/x/cryptoを最新版へアップデート
high対応必須
Metabase H2デシリアライゼーションRCE脆弱性
CVE-2026-59827
v1.58.15/1.59.12/1.60.6.3/1.61.1.4以降へアップデート
high対応必須
Palo Alto PAN-OS LSVPN XMLインジェクション脆弱性
CVE-2026-0284
ベンダーアドバイザリに従い修正パッチを適用
high対応必須
FreeRDP プラナービットマップデコーダのヒープ書き込み脆弱性
CVE-2026-45700
v3.26.0以降へアップデート
high対応必須
Perl DBI モジュールのバッファオーバーフロー脆弱性
CVE-2026-9698
DBI 1.648以降へアップデート
high対応必須
MariaDB SQLインジェクション脆弱性(big5文字集合)
CVE-2026-44172
v3.3.19/3.4.9以降へアップデート
high対応必須
rclone rcd 未認証コマンド実行脆弱性
CVE-2026-49980
v1.74.3以降へアップデート
high対応必須
MCP Server Kubernetes 引数インジェクション脆弱性
CVE-2026-61459
v3.9.0以降へアップデート
high対応必須
WordPress miniOrange Social Login 認証バイパス脆弱性
CVE-2026-12761
プラグインを最新版へアップデート
high対応必須
WordPress miniOrange OAuth SSO 認証バイパス脆弱性
CVE-2026-57807
プラグインを最新版へアップデート
CVENVD脆弱性GoMariaDBWordPressFirefoxKubernetes

本日は公開・更新されたCVEが200件、うちCriticalが19件、Highが92件でした。最も深刻なのはGoのSSHサーバー実装における認証バイパスCVE-2026-46595(CVSS 10.0)で、Metabase・PAN-OS・MariaDB・rclone・WordPressプラグインなど広く使われる製品にもCVSS 9.8のCriticalが集中しています。

本日の概要

指標数値
新規CVE200件
Critical (9.0+)19件
High (7.0-8.9)92件
Medium (4.0-6.9)69件
Low (0.1-3.9)6件
未評価(CVSS未算出)14件
影響エコシステムnpm, PyPI

Critical/High 脆弱性の詳細解説

CVE-2026-46595:golang.org/x/crypto/ssh 認証バイパス

  • CVSSスコア: 10.0(Critical)
  • 影響製品: golang.org/x/crypto/ssh を使用したSSHサーバー実装
  • 概要: 過去に修正されたCVE-2024-45337と同様の問題です。公開鍵以外の認証コールバックを使う構成では、接続元アドレスの検証が丸ごとスキップされてしまいます。
  • 対応: golang.org/x/crypto を最新版へ更新してください。
  • 参考: go.dev/issue/79570

CVE-2026-59827:Metabase H2デシリアライゼーションRCE

  • CVSSスコア: 9.9(Critical)
  • 影響製品: Metabase(H2データベース接続、サンプルDB含む)1.58.15/1.59.12/1.60.6.3/1.61.1.4 未満
  • 概要: H2ネイティブクエリの結果列(OTHER型)を検証なしにデシリアライズしており、ネイティブH2クエリを実行できる認証済みユーザーがサーバー上でコードを実行できます。
  • 対応: 1.58.15、1.59.12、1.60.6.3、1.61.1.4 以降へアップデートしてください。

CVE-2026-0284:Palo Alto PAN-OS LSVPN XMLインジェクション

  • CVSSスコア: 9.9(Critical)
  • 影響製品: Palo Alto Networks PAN-OS(Large Scale VPN機能)。Panorama、Cloud NGFW、Prisma Accessは対象外
  • 概要: 未認証の攻撃者がネットワーク経由で悪意あるXMLコンテンツを注入でき、LSVPNサテライトデータの情報漏えいや破損につながる可能性があります。
  • 対応: ベンダーの公式アドバイザリを確認し、該当バージョンの修正パッチを適用してください。

CVE-2026-45700:FreeRDP プラナービットマップデコーダのヒープ書き込み

  • CVSSスコア: 9.8(Critical)
  • 影響製品: FreeRDP 3.26.0 未満
  • 概要: RLEプラナーデータのデコード時に内部一時バッファへの境界外書き込みが発生する可能性があります。
  • 対応: FreeRDP 3.26.0 以降へアップデートしてください。

CVE-2026-9698:Perl DBI モジュールのバッファオーバーフロー

  • CVSSスコア: 9.8(Critical)
  • 影響製品: Perl DBI 1.648 未満
  • 概要: RaiseError/PrintError/HandleError 設定時のエラーメッセージを200バイトの固定バッファに長さ制限なく書き込んでおり、エラーテキストに影響を与えられる攻撃者がバッファオーバーフローを引き起こせます。
  • 対応: DBI 1.648 以降へアップデートしてください。

CVE-2026-44172:MariaDB SQLインジェクション(big5文字集合)

  • CVSSスコア: 9.8(Critical)
  • 影響製品: MariaDB server 3.3.18 / 3.4.8
  • 概要: mysql_real_escape_string() でエスケープした入力をbig5文字集合・テキストプロトコルで送信する構成において、エスケープ処理をすり抜けるSQLインジェクションが可能でした。
  • 対応: 3.3.19、3.4.9 以降へアップデートしてください。

CVE-2026-49980:rclone rcd 未認証コマンド実行

  • CVSSスコア: 9.8(Critical)
  • 影響製品: rclone 1.46.0〜1.74.3未満(rcd --rc-serve 使用時)
  • 概要: 未認証のGET/HEADリクエストのパスからバックエンド設定を初期化でき、インラインのリモート設定を通じてプロセスユーザー権限でコマンドが実行される可能性があります。
  • 対応: rclone 1.74.3 以降へアップデートしてください。

CVE-2026-61459:MCP Server Kubernetes 引数インジェクション

  • CVSSスコア: 9.8(Critical)
  • 影響製品: MCP Server Kubernetes 3.9.0 未満
  • 概要: kubectl_get 等の構造化ツールで、先頭にハイフンを付けたパラメータにより危険フラグの検出をすり抜けられ、--server フラグの注入でoperatorのbearerトークンが外部に送信される可能性があります。
  • 対応: 3.9.0 以降へアップデートしてください。

CVE-2026-12761:WordPress miniOrange Social Login 認証バイパス

  • CVSSスコア: 9.8(Critical)
  • 影響製品: miniOrange Social Login and Register(Discord, Google, Twitter, LinkedIn)プラグイン 7.7.0以下
  • 概要: プロフィール補完フローがOAuthプロバイダのIDと紐付かない任意のメールアドレスを受け付けてしまい、未認証の攻撃者が管理者権限を奪取できる可能性があります。
  • 対応: プラグインを最新版へアップデートしてください。

CVE-2026-57807:WordPress miniOrange OAuth SSO 認証バイパス

  • CVSSスコア: 9.8(Critical)
  • 影響製品: miniOrange OAuth Single Sign On - SSO(OAuth Client)プラグイン 38.5.8以下
  • 概要: パスワード再設定フローの不備により、代替パス経由での認証バイパスが可能になっています。
  • 対応: プラグインを最新版へアップデートしてください。

このほか、Go言語のidnaパッケージのPunycode誤処理による権限昇格(CVE-2026-39821、CVSS 9.6)、Firefox/Thunderbirdの複数のサンドボックスエスケープ(CVE-2026-12294ほか3件、CVSS 9.6、Firefox 152/ESR 140.12・115.37/Thunderbird 152/140.12で修正)、OpenReplayのXSS(CVE-2026-55879、CVSS 9.3)、OpenEXRの境界外読み取り(CVE-2026-42216、CVSS 9.1)、Go SSHサーバーのリソースリーク(CVE-2026-39830、CVSS 9.1)、BOSH CLIのパストラバーサル(CVE-2026-47826、CVSS 9.1)もCriticalとして公開されています。

Highでは、NATS Serverのno_auth_user設定時における認証バイパス(CVE-2026-58253、CVSS 8.8)、JetBrains TeamCityの未認証エージェント登録経由のXSS(CVE-2026-59795)とパイプライン改ざん(CVE-2026-59796、いずれもCVSS 8.1)、NGINX Plus/OSSのHTTP/2処理でのヒープバッファオーバーフロー(CVE-2026-42055、CVSS 8.1)、LiteLLMのMCPエンドポイント認証バイパス(CVE-2026-59822、CVSS 8.2)など、広く使われるインフラ・開発基盤製品への影響が目立ちます。該当製品を利用している場合は各ベンダーのアドバイザリを確認してください。

エコシステム別サマリー

OSVデータではnpmが11件、PyPIが23件更新されています。

  • npm: Nuxtでは、/__nuxt_island 経由でルートミドルウェアが適用されない不備、レスポンスのキャッシュポイズニング、navigateTo() の反射型XSS、開発サーバーのIPCソケットが外部接続可能になる問題など複数の修正が行われています。WebSocket実装wsにも、小さなフラグメントの大量送信によるメモリ枯渇DoS(CVE-2026-48779、CVSS 7.5)が報告されています。
  • PyPI: Djangoでファイルシステムストレージ・キャッシュバックエンドのレースコンディション(CVE-2026-25674)や、リソース消費を制御しきれない不備(CVE-2026-25673)が6.0.3/5.2.12/4.2.29で修正されています。SQLインジェクションの修正も含まれており、Django利用者は更新版の適用を推奨します。

JVN 日本語情報

本日のMyJVNデータには該当する脆弱性対策情報はありませんでした。

まとめ

本日はCriticalが19件と多めで、Go言語のSSH実装・Metabase・PAN-OS・MariaDB・rclone・WordPressプラグインなど、インフラや開発基盤で広く使われている製品にCVSS 9.8以上の脆弱性が集中しました。特にGoのSSH認証バイパス(CVSS 10.0)は影響範囲が広いため、golang.org/x/crypto を利用したSSHサーバーを運用している場合は優先的な確認を推奨します。WordPressプラグインやFirefoxのサンドボックスエスケープも、利用者が多い分野だけに早めの棚卸しをおすすめします。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。