本日はNVDで更新・公開されたCVEが220件、うちCriticalが41件、Highが113件と多めの一日でした。最も広く影響し得るのは、GoのSSH実装 CVE-2026-46595(CVSS 10.0)で、golang.org/x/crypto のSSHサーバーがソースアドレス検証をすり抜けられる不備です。加えて、Oracle E-Business SuiteのPayments乗っ取り CVE-2026-46817(CVSS 9.8)はCISA KEV(悪用確認済み)に掲載されており、優先度が高い一件です。
本日の概要
| 指標 | 数値 |
|---|---|
| 新規・更新CVE | 220件 |
| Critical (9.0+) | 41件 |
| High (7.0-8.9) | 113件 |
| Medium (4.0-6.9) | 41件 |
| Low (0.1-3.9) | 7件 |
| 未評価(CVSS未算出) | 18件 |
| 影響エコシステム | npm, PyPI, Go, Maven |
Critical/High 脆弱性の詳細解説
CVE-2026-46595:Go x/crypto SSHサーバーのソースアドレス検証回避
- CVSSスコア: 10.0(Critical)
- 影響製品:
golang.org/x/crypto(0.52.0未満)を用いたSSHサーバー - 概要: 公開鍵以外のコールバックが設定されている場合、ソースアドレス検証がスキップされてしまう不備です。CVE-2024-45337(認可バイパス)の修正が不完全だったことに起因します。Goで書かれたSSHサーバーは広く使われているため、影響範囲が大きい一件です。
- 対応:
golang.org/x/cryptoを0.52.0以降へアップデートしてください。同バージョンではSSH鍵転送時の制約付き拡張の欠落(CVE-2026-39832、CVSS 9.1)、失効した署名鍵の検証不備(CVE-2026-42508、CVSS 9.1)などもまとめて修正されています。
CVE-2026-46817:Oracle E-Business Suite Payments の乗っ取り(悪用確認済み)
- CVSSスコア: 9.8(Critical)
- 影響製品: Oracle E-Business Suite 12.2.3〜12.2.15(Oracle Payments / File Transmission)
- 概要: 未認証の攻撃者がHTTP経由でPaymentsコンポーネントを侵害できる脆弱性です。CISA KEV(Known Exploited Vulnerabilities)に掲載されており、実際の悪用が確認されています。
- 対応: Oracleの2026年5月Critical Patch Update(cspumay2026)を適用してください。EBSは基幹業務システムであるため、最優先での対応を推奨します。
CVE-2026-62422:JetBrains YouTrack の認証バイパス
- CVSSスコア: 10.0(Critical)
- 影響製品: JetBrains YouTrack(2026.1.13757 ほか各系列の修正版未満)
- 概要: 直接データベースアクセスを介した認証バイパスにより、管理者権限を取得できる可能性があります。
- 対応: YouTrackを2026.1.13757 / 2025.3.148033 などの修正版以降へアップデートしてください。
CVE-2026-29063:Immutable.js のプロトタイプ汚染
- CVSSスコア: 9.8(Critical)
- 影響製品: immutable 3.8.3未満 / 4.3.7未満 / 5.1.5未満(npm)
- 概要:
mergeDeep()/merge()/Map.toJS()などのAPIを通じてプロトタイプ汚染が発生します。依存ツリーに広く含まれるライブラリのため、間接依存も含めた確認が必要です。 - 対応: immutable 3.8.3 / 4.3.7 / 5.1.5 以降へアップデートしてください。
CVE-2026-33815:pgx/v5 のメモリ安全性の不備
- CVSSスコア: 9.8(Critical)
- 影響製品:
github.com/jackc/pgx/v5(Go向けPostgreSQLドライバ) - 概要: メモリ安全性に関する不備(CWE-787: 境界外書き込み)です。同系統で CVE-2026-33816(CVSS 9.8)も同時に報告されています。GoでPostgreSQLを扱う多くのアプリが該当します。
- 対応: Red Hat提供のerrata(RHSA)等、各ディストリビューション・モジュールの修正版へアップデートしてください。
CVE-2026-11807:Ansible EDA の認可不備による認証情報漏えい
- CVSSスコア: 9.6(Critical)
- 影響製品: Event-Driven Ansible(EDA)のWebSocket API
- 概要:
/api/eda/ws/ansible-rulebookエンドポイントがWorkerメッセージ処理時に権限を検証せず、任意の認証済みユーザーがOAuthトークン・Vaultパスワード・SSH鍵などの平文認証情報を取得できる可能性があります。 - 対応: Red Hat提供のRHSAに従い、修正版へアップデートしてください。
CVE-2026-25896:fast-xml-parser のエンティティ処理不備によるXSS
- CVSSスコア: 9.3(Critical)
- 影響製品: fast-xml-parser 4.1.3〜5.3.5未満(npm)
- 概要: DOCTYPEエンティティ名中のドット(
.)が正規表現ワイルドカードとして扱われ、組み込みXMLエンティティを上書きできてしまいます。結果としてエンティティエンコーディングを回避され、描画時にXSSにつながります。 - 対応: fast-xml-parser 5.3.5以降へアップデートしてください。
CVE-2026-33186:gRPC-Go の認可バイパス
- CVSSスコア: 9.1(Critical)
- 影響製品: gRPC-Go 1.79.3未満(
google.golang.org/grpc/authz等でパスベース認可を利用時) - 概要: HTTP/2の
:path疑似ヘッダの検証が緩く、先頭スラッシュを欠いた非正規パスがルーティングされる一方、認可インターセプタの「deny」ルールをすり抜ける可能性があります。 - 対応: gRPC-Go 1.79.3以降へアップデートしてください。暫定対応として、パスを正規化するバリデーティングインターセプタの導入も有効です。
このほかCriticalには、Dell PowerFlex ManagerのOSコマンドインジェクション(CVE-2026-56688、CVSS 9.1、5.1.0.1未満)、Tenable Agentのパストラバーサル(CVE-2026-15265、CVSS 9.1、11.2.0以下)、ApostropheCMS/sanitize-htmlのxmp要素経由のXSS(CVE-2026-44990、CVSS 9.3、sanitize-html 2.17.4で修正)、Goのidnaパッケージの権限昇格(CVE-2026-39821、CVSS 9.6)、Perl DBIのバッファオーバーフロー(CVE-2026-9698、CVSS 9.8、DBI 1.648で修正)などが含まれます。産業用途のOpENer(CIP/EtherNet-IP)にもメモリ破壊系のCriticalが多数(CVE-2026-51536〜51541)報告されています。公開日が古いものやニッチな製品も混在するため、該当ソフトの利用有無を優先的に確認してください。
Highでは、Next.jsのWebSocketアップグレード経由のSSRF(CVE-2026-44578、CVSS 8.6、15.5.16 / 16.2.5で修正、Vercelホスティングは非該当)、axiosのプロトタイプ汚染ガジェットによるMITM(CVE-2026-44494、CVSS 8.7、1.16.0で修正)、Redisの解放後利用(CVE-2026-23479、CVSS 8.8、8.6.3で修正)、FreeRDPのヒープオーバーフロー(CVE-2026-40033、CVSS 8.8、3.26.0で修正)などが目立ちます。
エコシステム別サマリー
OSVデータではnpmが7件、PyPIが11件更新されています。
- npm: Angularに引き続きXSS系の修正が集中しています。クライアントハイドレーションのDOM Clobbering/レスポンスキャッシュ汚染(CVE-2026-54267)、テンプレート・属性の名前空間サニタイズバイパス(CVE-2026-50557 / CVE-2026-52725)が、20.3系・21.2系・22系などの各修正版で対応されました。ビルドツールViteではWindows上での
server.fs.deny回避(CVE-2026-53571、8.0.16 / 7.3.5 / 6.4.3で修正)も報告されています。 - PyPI: Djangoで多数のセキュリティ修正がまとまっています。STARTTLS失敗時の接続再利用(CVE-2026-7666)、
URLFieldのリソース消費DoS(CVE-2026-25673)、ファイルストレージのレースコンディション(CVE-2026-25674)、GDALRasterのバッファオーバーリード(CVE-2026-53877)が、4.2系 / 5.2系 / 6.0系の各修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も3.1.3で修正済みです。
JVN 日本語情報
- HYPER SBI 2(SBI証券): インストーラのDLL読み込みにおける検索パス制御の不備(CVE-2026-42936、CWE-427、CVSS 7.8)が報告されています。同一ディレクトリに置かれた特定のDLLを読み込んでしまうもので、GMOサイバーセキュリティ byイエラエがIPAに報告し、JPCERT/CCが調整を行いました。株取引ツールとして利用者が多いため、修正済みインストーラの利用を推奨します(詳細はJVNDB-2026-000098)。
- Tera Term(TTSSH2プラグイン): 符号無し/符号付き整数変換エラー(CVE-2026-58317)と長さパラメータの不適切な処理(CVE-2026-60060、CVSS 6.3)の複数の脆弱性が報告されています。国内のインフラ運用で広く使われるSSH/シリアルクライアントのため、最新版への更新を推奨します(詳細はJVNDB-2026-000099)。
まとめ
本日はCriticalが41件、Highが113件とボリュームの多い一日でした。中でもGoの x/crypto のSSHソースアドレス検証回避(CVSS 10.0)は、Goで実装されたSSHサーバーを運用している環境で影響が大きく、0.52.0以降への更新を推奨します。あわせて、CISA KEV掲載で悪用が確認されているOracle E-Business SuiteのPayments乗っ取り(CVSS 9.8)は最優先で対応すべき一件です。npm/PyPIではAngular・Djangoに複数の修正がまとまっているため、依存関係の棚卸しとあわせてまとめての適用が効率的です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
