本日はNVDで更新・公開されたCVEが全体2,891件、深刻度上位200件のうちCriticalが39件、Highが110件と高ボリュームな一日でした。最も注目すべきは、2023〜2025年に実際に悪用が確認されているfastjsonのautoType経由RCE CVE-2025-70974(CVSS 10.0)です。加えてNode.jsの権限モデル回避(CVSS 9.1)、Firefox/Thunderbirdのサンドボックス脱出(CVSS 10.0)、FreeRDPのクライアント側ヒープオーバーフロー多数など、広く使われる基盤ソフトのCriticalが複数含まれています。
本日の概要
| 指標 | 数値 |
|---|---|
| NVD更新CVE(全体) | 2,891件 |
| 本レポート分析対象 | 200件 |
| Critical (9.0+) | 39件 |
| High (7.0-8.9) | 110件 |
| Medium (4.0-6.9) | 39件 |
| Low (0.1-3.9) | 2件 |
| 未評価(CVSS未算出) | 10件 |
| 影響エコシステム | npm, PyPI, Packagist |
Critical/High 脆弱性の詳細解説
CVE-2025-70974:fastjson autoType経由の未認証RCE
- CVSSスコア: 10.0(Critical)
- 影響製品: fastjson 1.2.48未満
- 概要: JSONドキュメント内の
@typeキーでJavaクラスを指定できてしまうautoTypeの不備により、条件次第で攻撃者が用意したペイロードを介したJNDIインジェクションが成立します。2023〜2025年にかけて実際に悪用が確認されており、CVE-2017-18349の不完全な修正に起因します。 - 対応: fastjson 1.2.48以降へアップデートし、autoTypeを無効化する運用を推奨します。後継のfastjson2への移行も検討してください。
CVE-2026-0881:Firefox/Thunderbird サンドボックス脱出
- CVSSスコア: 10.0(Critical)
- 影響製品: Firefox 147未満 / Thunderbird 147未満
- 概要: Messaging Systemコンポーネントにおけるサンドボックス脱出の脆弱性です。ブラウザ・メールクライアントの分離境界を越えられる可能性があるため、クライアント端末での早めの更新が重要です。同日にはGraphicsコンポーネント起因のサンドボックス脱出(CVE-2026-0879、CVSS 9.8、ESR 115.32 / 140.7でも修正)も報告されています。
- 対応: Firefox 147 / Thunderbird 147以降へアップデートしてください。
CVE-2025-55130:Node.js 権限モデルのファイルアクセス制限回避
- CVSSスコア: 9.1(Critical)
- 影響製品: Node.js v20 / v22 / v24 / v25(Permission Model利用時)
- 概要: 相対シンボリックリンクを組み合わせることで
--allow-fs-read/--allow-fs-writeの制限を回避でき、許可範囲外のファイル読み書きが可能になる不備です。権限モデルによる分離保証が崩れる点に注意が必要です。 - 対応: 各系列の修正版へアップデートしてください(2025年12月のNode.jsセキュリティリリース)。
CVE-2026-22853:FreeRDP RDPEAR ヒープバッファオーバーフロー
- CVSSスコア: 9.8(Critical)
- 影響製品: FreeRDP 3.20.1未満
- 概要: RDPEARのNDR配列リーダーがオンワイヤの要素数を検証せず、ヒープバッファ外への書き込みが発生します。悪意あるRDPサーバーに接続したクライアント側でヒープ破壊が起こり得ます。
- 対応: FreeRDP 3.20.1以降へアップデートしてください。なお本日はFreeRDPのクライアント側メモリ破壊系Criticalが多数(CVE-2026-23530〜23534、CVE-2026-23883/23884、CVE-2026-22855/22858/22859ほか)まとめて報告されており、3.21.0での修正も含まれます。
CVE-2025-61686:React Router / Remix セッションファイルのパストラバーサル
- CVSSスコア: 9.1(Critical)
- 影響製品: @react-router/node 7.0.0〜7.9.3 / @remix-run/node・@remix-run/deno 2.17.2未満
- 概要: 署名なしCookieで
createFileSessionStorage()を使用している場合、指定したセッションファイルディレクトリ外への読み書きを誘発できる可能性があります。読み取ったファイルが直接攻撃者に返るわけではありませんが、条件次第で情報漏えいにつながります。 - 対応: @react-router/node 7.9.4、@remix-run/node・@remix-run/deno 2.17.2以降へアップデートしてください。
CVE-2025-12543:Undertow Hostヘッダー検証不備
- CVSSスコア: 9.6(Critical)
- 影響製品: Undertow(WildFly / JBoss EAP などのJavaアプリで利用)
- 概要: 受信HTTPリクエストのHostヘッダーを適切に検証せず、不正なHostヘッダーを含むリクエストを処理してしまいます。キャッシュポイズニング、内部ネットワークスキャン、セッションハイジャックにつながる恐れがあります。
- 対応: Red Hat提供のerrata(RHSA)等、各ベンダーの修正版へアップデートしてください。
CVE-2026-22778:vLLM エラー応答経由のヒープアドレス漏えい
- CVSSスコア: 9.8(Critical)
- 影響製品: vLLM 0.8.3〜0.14.1未満
- 概要: マルチモーダルエンドポイントに不正な画像を送るとPILのエラーがそのままクライアントに返され、ヒープアドレスが漏えいします。これによりASLRが実質的に無効化され、他の脆弱性と連鎖してRCEに至る可能性が指摘されています。
- 対応: vLLM 0.14.1以降へアップデートしてください。
CVE-2025-34267:Flowise 認証済みRCE(nodevmサンドボックス脱出)
- CVSSスコア: 9.9(Critical)
- 影響製品: Flowise 3.0.1〜3.0.8未満(
ALLOW_BUILTIN_DEP有効時) - 概要: 統合されたPuppeteer/Playwrightをnodevm実行環境内で不安全に扱っているため、認証済み攻撃者が攻撃者制御のブラウザバイナリパスを指定することでホスト上での任意コード実行が可能になります。
- 対応: Flowise 3.0.8以降へアップデートし、不要であれば
ALLOW_BUILTIN_DEPを無効にしてください。
このほか、OpenStack keystonemiddlewareの認証ヘッダーサニタイズ不備による権限昇格(CVE-2026-22797、CVSS 9.9)、バグトラッカーMantisBTのSOAP API認証バイパスによる管理者権限昇格(CVE-2026-47156、GHSA、2.28.4で修正)、Gitベースのプロジェクト管理Gitea 1.25.4での所有権検証不備3件(CVE-2026-20750 / 20897 / 20912、いずれもCVSS 9.1)、npmパッケージjsonpathのプロトタイプ汚染・コードインジェクション(CVE-2025-61140 / CVE-2026-1615、いずれもCVSS 9.8)、ProjectSendの認証不備によるRCE(CVE-2024-11680、CVSS 9.8)、LangflowのコードインジェクションRCE(CVE-2025-3248、CVSS 9.8、CISA KEV掲載)もCriticalに含まれています。古い公開日のものやニッチな製品も混在するため、該当ソフトの利用有無を優先的に確認してください。
Highでは、Apple Safari/WebKitのメモリ破壊(CVE-2025-31277、CVSS 8.8、Safari 18.6等で修正)、ClickHouse JDBCクライアントの例外ログ経由の証明書パスワード漏えい(CVE-2024-23689、CVSS 8.8)、Pandora FMSのping機能を悪用した認証済みコマンド実行(CVE-2025-34088、CVSS 8.8)などが目立ちます。該当製品の利用者は各ベンダーのアドバイザリを確認してください。
エコシステム別サマリー
OSVデータではnpmが9件、PyPIが13件更新されています。加えてGHSA(Packagist/PHP)ではMantisBTとKoelの脆弱性がまとまって報告されています。
- npm: Angularに複数のXSS系修正が集中しています。SVG
<script>属性のサニタイズ不備(CVE-2026-22610)、テンプレート/動的コンポーネントの名前空間バイパス(CVE-2026-52725 / CVE-2026-50557)、クライアントハイドレーションのDOM Clobbering・キャッシュポイズニング(CVE-2026-54267)、i18n経由のXSS(CVE-2026-27970)が、19.2系・20.3系・21系・22系の各ブランチ(例: 21.0.7 / 21.2.15 / 20.3.22 / 19.2.22 ほか)で修正されています。またNuxtでサーバーアイランド(/__nuxt_island)関連の不備3件(ルートミドルウェア未適用のCVE-2026-47200、キャッシュポイズニングのCVE-2026-46342、navigateTo()外部リダイレクトの反射型XSSであるCVE-2026-45669、いずれも3.21.6 / 4.4.6で修正)、Next.js 12.2.4未満のサーバークラッシュ(CVE-2022-36046)も含まれます。 - PyPI: Djangoで多数のセキュリティ修正がまとまっています。STARTTLS失敗時の接続再利用(CVE-2026-7666)、リソース消費によるDoS(CVE-2026-25673)、レースコンディション(CVE-2026-25674)、
GDALRasterのバッファオーバーリード(CVE-2026-53877)、ドメイン名バリデータのヘッダーインジェクション(CVE-2026-53878)、キャッシュミドルウェアの情報漏えい(CVE-2026-48588)が、4.2.29 / 5.2系 / 6.0系(6.0.6・6.0.7ほか)の各修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も3.1.3で修正済みです。Django・Flask利用者は更新版の適用を推奨します。 - Packagist(GHSA): MantisBTでSOAP API認証バイパスによる管理者昇格(CVE-2026-47156、Critical)、
eval()経由のRCE(CVE-2026-49273)、history_order設定値のSQLインジェクション(CVE-2026-47142)が2.28.4で修正されています。音楽ストリーミングのKoelでもSubsonic経由のSSRF(CVE-2026-54493 / CVE-2026-54492)が9.7.0で修正されました。
JVN 日本語情報
- HYPER SBI 2(SBI証券): インストーラのDLL読み込みにおける検索パス制御の不備(CVE-2026-42936、CWE-427、CVSS 7.8)が報告されています。同一ディレクトリに置かれた特定のDLLを読み込んでしまうもので、GMOサイバーセキュリティ byイエラエがIPAに報告し、JPCERT/CCが調整を行いました。株取引ツールとして利用者が多いため、修正済みインストーラの利用を推奨します(詳細はJVNDB-2026-000098)。
まとめ
本日は分析対象200件のうちCriticalが39件、Highが110件と、ボリュームの多い一日でした。中でもfastjsonのautoType経由RCE(CVSS 10.0)は実際に悪用が確認されている点で優先度が高く、Javaアプリケーションの依存関係にfastjsonが含まれていないか棚卸しを推奨します。Node.jsの権限モデル回避、Firefox/Thunderbirdのサンドボックス脱出、FreeRDPのクライアント側メモリ破壊多数など、広く使われる基盤ソフトのCriticalが集中しているため、該当環境では計画的なアップデートを検討してください。WebフレームワークではAngular・Nuxt・Djangoに複数の修正が入っており、まとめての適用が効率的です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
