本日は公開・更新されたCVEが200件、うちCriticalが13件、Highが49件でした。最も深刻なのはKemp LoadMasterの管理インターフェースにおける未認証コマンド実行CVE-2024-1212(CVSS 10.0)で、JVNでもGNU gawkの整数オーバーフロー2件やApache Gravitinoのパスインジェクションなど、CVSS 9.1のCritical案件が複数報告されています。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規CVE | 200件 |
| Critical (9.0+) | 13件 |
| High (7.0-8.9) | 49件 |
| Medium (4.0-6.9) | 106件 |
| Low (0.1-3.9) | 4件 |
| 未評価(CVSS未算出) | 28件 |
| 影響エコシステム | npm, PyPI |
Critical/High 脆弱性の詳細解説
CVE-2024-1212:Kemp LoadMaster 未認証コマンド実行
- CVSSスコア: 10.0(Critical)
- 影響製品: Kemp LoadMaster(管理インターフェース)
- 概要: 未認証のリモート攻撃者が管理インターフェース経由でシステムにアクセスし、任意のシステムコマンドを実行できる状態です。CVSS満点の脆弱性であり、管理画面がインターネットに露出している構成では特に注意が必要です。
- 対応: ベンダーのリリースノートを確認し、該当ブランチの修正版(LMOS 7.2.48.10 / 7.2.54.8 / 7.2.59.2 以降)へアップデートしてください。
CVE-2026-40468 / CVE-2026-40469:GNU gawk 整数オーバーフロー
- CVSSスコア: 9.1(Critical)
- 影響製品: GNU gawk 5.4.0以前
- 概要:
builtin.cのプログラムファイル、およびdo_sub()ルーチンにそれぞれ整数オーバーフローの不備が発見されました。メモリ枯渇を通じてgawkのヒープメタデータやオブジェクトを攻撃者が制御するバイトで上書きできる可能性があります。CVE-2026-40469は32ビットビルド版が対象です。 - 対応: ディストリビューションが提供する修正版のgawkへアップデートしてください。
- 参考: JVNDB-2026-023676、JVNDB-2026-023675
CVE-2026-41041:Apache Gravitino URLパスインジェクション
- CVSSスコア: 9.1(Critical)
- 影響製品: Apache Gravitino 1.0.0〜1.2.1未満
- 概要: エンコードされていないユーザー提供の識別子を介したURLパスインジェクションの脆弱性です。
- 対応: 修正済みのバージョン1.2.1以降へアップグレードしてください。
- 参考: JVNDB-2026-023664
CVE-2023-28531:OpenSSH ssh-add スマートカード鍵の制約回避
- CVSSスコア: 9.8(Critical)
- 影響製品: OpenSSH 9.3未満(8.9以降が対象)
- 概要:
ssh-addがスマートカード上の鍵をssh-agentに追加する際、意図された接続先制約が付与されないまま登録される不具合です。 - 対応: OpenSSH 9.3以降へアップデートしてください。
CVE-2022-37434:zlib inflate.c ヒープバッファオーバーフロー
- CVSSスコア: 9.8(Critical)
- 影響製品: zlib 1.2.12まで(
inflateGetHeaderを呼び出すアプリケーションが対象) - 概要: 大きなgzipヘッダーのextraフィールドを処理する際、inflate.c内でヒープベースのバッファオーバーリード/オーバーフローが発生する可能性があります。zlibは多数のソフトウェアに同梱されているため影響範囲の確認が重要です。
- 対応: zlib 1.2.12以降、またはディストリビューションが提供する修正版へアップデートしてください。
CVE-2024-23052:WukongCRM fastjsonコンポーネントRCE
- CVSSスコア: 9.8(Critical)
- 影響製品: WukongCRM v.72crm_9.0.1_20191202
- 概要: fastjsonコンポーネントの
parseObject()関数を介して、リモート攻撃者が任意のコードを実行できる不備です。 - 対応: ベンダーの修正情報を確認し、最新版へのアップデートを検討してください。
CVE-2026-2651:MLflow マルチパートアップロードの認可不備
- 深刻度: Critical(GitHub Advisory Database)
- 影響製品: MLflow 3.11.0rc1未満(
--serve-artifactsモード使用時) - 概要: アーティファクトのマルチパートアップロードエンドポイントに対する認可チェックが不十分で、意図しないアクセスや改ざんを許してしまう可能性があります。機械学習基盤としてMLflowを運用している場合は影響を確認してください。
- 対応: MLflow 3.11.0rc1以降へアップデートしてください。
このほか、zlibのinffast.c/MiniZipの不備(CVE-2016-9841、CVE-2023-45853、いずれもCVSS 9.8)、hostapd/wpa_supplicantのSAE・EAP-pwdサイドチャネル攻撃(CVE-2022-23303、CVE-2022-23304)、busyboxのash.cスタックオーバーフロー(CVE-2022-48174)、panda3d・RIOT-OSの組み込み向けツールにおけるスタックバッファオーバーフロー(CVE-2026-22189、CVE-2026-22213)もCriticalとして本日のデータに含まれています。これらは公開時期が古いものや対象がニッチなツールも含まれるため、該当ソフトウェアの利用有無を優先的に確認してください。
Highでは、Anthropic製MCP TypeScript SDKのUriTemplate処理における正規表現DoS(CVE-2026-0621、CVSS 7.5)、osTicketのPDFエクスポート機能を悪用した任意ファイル読み取り(CVE-2026-22200、CVSS 7.5)、npmパッケージvalidatorのisLength()におけるUnicode変換セレクタ未考慮のバグ(CVE-2025-12758、CVSS 7.5)、zlib付属untgzユーティリティのバッファオーバーフロー(CVE-2026-22184、CVSS 7.8)が目立ちます。JVNではApache AirflowのGitプロバイダーにおけるSSHホストキー未検証(CVE-2026-58065、CVSS 8.1)、apache-airflow-providers-fabの権限昇格(CVE-2026-59245、CVSS 8.1)、gawkのUse After Free・スタックバッファオーバーフロー(CVE-2026-40467、CVE-2026-40553、いずれもCVSS 7.5)も報告されています。該当製品を利用している場合は各ベンダーのアドバイザリを確認してください。
エコシステム別サマリー
OSVデータではnpmが11件、PyPIが22件更新されています。
- npm: Nuxtで複数の修正が行われています。サーバーアイランド(
/__nuxt_island)経由でルートミドルウェアが適用されない不備、レスポンスキャッシュポイズニング、navigateTo()の反射型XSS、<NoScript>スロットでのXSS、開発サーバーのvite-node IPCソケットがLinux上で外部接続可能になる問題、navigateTo/reloadNuxtAppのオープンリダイレクトなどが3.21.6/3.21.7、4.4.6/4.4.7で修正されています。Nuxtを利用している場合はまとめてのアップデートを推奨します。 - PyPI: Djangoで複数のセキュリティ修正がまとまっています。SMTPバックエンドのSTARTTLS失敗時における接続再利用(CVE-2026-7666)、
URLField.to_python()のUnicode正規化に起因するリソース消費(CVE-2026-25673)、ファイルシステムキャッシュのレースコンディション(CVE-2026-25674)、GDALRasterのバッファオーバーリード(CVE-2026-53877)、ドメイン名バリデータのヘッダーインジェクション(CVE-2026-53878)、キャッシュミドルウェアの情報漏えい(CVE-2026-48588)が6.0.6/6.0.7、5.2.15/5.2.16で修正されています。FlaskではセッションアクセスがVary: Cookieヘッダーを付与しない不備(CVE-2026-27205)が3.1.3で修正済みです。Django・Flaskの利用者は更新版の適用を推奨します。
JVN 日本語情報
- iOS版LINE: アプリ内ブラウザが任意のURLスキームを処理する際の保護が不十分で、サービス運用妨害(DoS)につながる脆弱性が報告されています(CVE-2026-3861、CWE-400)。LINEヤフー株式会社がJPCERT/CCと連携して公表したもので、利用者への周知目的の情報です。
- Mattermost Server: 認証・認可まわりの脆弱性がMedium〜High帯で複数件(CVE-2026-10106、CVE-2026-9571、CVE-2026-9597など)報告されています。プライベートチャンネルの権限チェック漏れやOAuthリフレッシュトークンの無効化不備が中心で、11.7.2 / 11.6.4 / 10.11.19以前が対象です。社内チャットにMattermostを利用している場合はまとめてのアップデートを推奨します。
- 上記のほか、GNU gawkの整数オーバーフロー2件とApache GravitinoのURLパスインジェクションもJVNよりCriticalとして報告されています(詳細は上記「Critical/High 脆弱性の詳細解説」参照)。
まとめ
本日はCriticalが13件、Highが49件と全体的にボリュームの多い一日でした。中でもKemp LoadMasterの未認証コマンド実行(CVSS 10.0)は管理インターフェースが対象のため、外部公開設定になっていないか優先的な確認を推奨します。gawkやzlibなど、多くのソフトウェアに組み込まれる基盤コンポーネントのCriticalも複数報告されており、直接使っていなくても依存関係経由で影響を受ける場合があります。NuxtやDjangoといったWebフレームワークにも複数の修正が入っているため、該当エコシステムの利用者はまとめての棚卸しをおすすめします。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
