つみかさね

【セキュリティ日報】FortiSandboxのOSコマンド注入(CVSS 9.8/悪用確認)ほかCritical 17件

2026-07-18データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
Fortinet FortiSandbox OSコマンドインジェクション脆弱性(悪用確認済み)
CVE-2026-25089
FG-IR-26-141に従い修正版へアップデート
high対応必須
Fortinet FortiSandbox OSコマンドインジェクション脆弱性(悪用確認済み)
CVE-2026-39808
FG-IR-26-100に従い修正版へアップデート
high対応必須
Windows VMSwitch 解放後利用による権限昇格脆弱性
CVE-2026-57092
Microsoftのセキュリティ更新プログラムを適用
high対応必須
Python cryptography バッファオーバーフロー脆弱性
CVE-2026-39892
cryptography 46.0.7以降へアップデート
high対応必須
SQL Server ODBC ドライバ ヒープオーバーフロー脆弱性
CVE-2026-42990
Microsoftのセキュリティ更新プログラムを適用
high対応必須
Go x/crypto SSHサーバーのソースアドレス検証回避脆弱性
CVE-2026-46595
golang.org/x/crypto 0.52.0以降へアップデート
high対応必須
Immutable.js プロトタイプ汚染脆弱性
CVE-2026-29063
immutable 3.8.3 / 4.3.7 / 5.1.5以降へアップデート
high対応必須
pgx/v5 メモリ安全性の不備脆弱性
CVE-2026-33815
各ディストリ提供のpgx/v5修正版へアップデート
high対応必須
MCP Server Kubernetes 引数インジェクション脆弱性
CVE-2026-61459
MCP Server Kubernetes 3.9.0以降へアップデート
high推奨
PostgreSQL 整数桁あふれによる境界外書き込み脆弱性
CVE-2026-6473
PostgreSQL 各系列の修正版へアップデート
high推奨
FreeRDP ヒープオーバーフロー脆弱性
CVE-2026-44421
FreeRDP 3.26.0以降へアップデート
high推奨
Dify SQLインジェクション脆弱性
CVE-2026-61461
Dify 1.16.0-rc1以降へアップデート
CVENVD脆弱性FortinetPostgreSQLWindowsnpmJVN

本日はNVDで公開・更新されたCVEが622件、そのうち主要な200件を深刻度別に分析したところ、Criticalが17件、Highが131件でした。中でも実際の悪用が確認されているのは、Fortinet FortiSandboxのOSコマンドインジェクション CVE-2026-25089CVE-2026-39808(いずれもCVSS 9.8)で、CISA KEV(悪用確認済み脆弱性)カタログに登録されています。加えて、Windows VMSwitchの権限昇格 CVE-2026-57092(CVSS 9.9)や、広く使われるPython向け cryptography のバッファオーバーフロー CVE-2026-39892(CVSS 9.8)にも注意が必要です。

本日の概要

指標数値
公開・更新CVE(NVD全体)622件
分析対象(主要)200件
Critical (9.0+)17件
High (7.0-8.9)131件
Medium (4.0-6.9)46件
Low (0.1-3.9)2件
未評価(CVSS未算出)4件
影響エコシステムnpm, PyPI

Critical/High 脆弱性の詳細解説

CVE-2026-25089 / CVE-2026-39808:Fortinet FortiSandbox のOSコマンドインジェクション(悪用確認済み)

  • CVSSスコア: 9.8(Critical)
  • 影響製品: FortiSandbox 5.0.0〜5.0.5 / 4.4.0〜4.4.8 / 4.2 全バージョン ほか(FortiSandbox Cloud・PaaS 5.0.4〜5.0.5 を含む)
  • 概要: 特別に細工されたHTTPリクエストを通じて、未認証の攻撃者が想定外のコマンドを実行できる不備です。両CVEともCISA KEV(悪用確認済み脆弱性)カタログに登録されており、実際の攻撃が確認されています。セキュリティ製品自体が侵害対象となるため、優先度の高い一件です。
  • 対応: Fortinetのアドバイザリ(FG-IR-26-141 / FG-IR-26-100)に従い、修正版へアップデートしてください。外部公開している管理インターフェースはアクセス制限の見直しもあわせて推奨します。

CVE-2026-57092:Windows VMSwitch の解放後利用による権限昇格

  • CVSSスコア: 9.9(Critical)
  • 影響製品: Microsoft Windows(Hyper-V の仮想スイッチ VMSwitch)
  • 概要: VMSwitchにおける解放後利用(Use-After-Free)により、権限を持つ攻撃者がネットワーク経由で権限昇格を行える可能性があります。Hyper-Vを有効化した仮想化基盤で影響が想定されます。
  • 対応: Microsoftのセキュリティ更新プログラム(MSRC掲載)を適用してください。

CVE-2026-39892:Python cryptography のバッファオーバーフロー

  • CVSSスコア: 9.8(Critical)
  • 影響製品: Python向け cryptography パッケージ 45.0.0〜46.0.7未満
  • 概要: 非連続バッファ(non-contiguous buffer)を Hash.update() などのAPIに渡した場合にバッファオーバーフローが発生し得ます。暗号処理の基盤として非常に広く使われるライブラリのため、依存関係の確認を推奨します。
  • 対応: cryptography 46.0.7 以降へアップデートしてください。ディストリビューション提供のerrata(RHSA等)経由での更新も可能です。

CVE-2026-42990:SQL Server ODBC ドライバのヒープオーバーフロー

  • CVSSスコア: 9.8(Critical)
  • 影響製品: Microsoft SQL Server ODBC ドライバ
  • 概要: ODBCドライバにおけるヒープベースのバッファオーバーフローにより、未認証の攻撃者がネットワーク経由でコードを実行できる可能性があります。SQL Serverへ接続するクライアント側のドライバが対象です。
  • 対応: Microsoftのセキュリティ更新プログラム(MSRC掲載)に従い、ODBCドライバを修正版へ更新してください。

CVE-2026-6473 / CVE-2026-6477:PostgreSQL の境界外書き込みほか

  • CVSSスコア: 8.8(High)
  • 影響製品: PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23 未満
  • 概要: 整数の桁あふれ(integer wraparound)により、権限の低いDBユーザーが確保領域を過小化させ境界外書き込みを引き起こせる不備です(CVE-2026-6473)。DBを実行するOSユーザー権限でのコード実行につながる可能性があります。あわせて libpqlo_export() / lo_read() などでクライアント側スタックを破壊し得る CVE-2026-6477 も報告されています。
  • 対応: PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23 以降へアップデートしてください。

CVE-2026-44421:FreeRDP のヒープオーバーフロー

  • CVSSスコア: 8.8(High)
  • 影響製品: FreeRDP 3.26.0未満(RDPGFX有効時)
  • 概要: 悪意あるRDPサーバーが細工したRDPGFX PDUを送信することで、FreeRDPクライアント側でヒープ境界外書き込みを引き起こせます。クライアントのクラッシュやコード実行につながる可能性があり、信頼できないRDPサーバーへの接続時に注意が必要です。
  • 対応: FreeRDP 3.26.0 以降へアップデートしてください。

CVE-2026-61461:Dify のSQLインジェクション

  • CVSSスコア: 8.8(High)
  • 影響製品: Dify 1.16.0-rc1未満(MyScaleベクトルストア利用時)
  • 概要: MyScaleバックエンドの全文検索処理で検索パラメータが適切にエスケープ/パラメータ化されず、背後のClickHouseに対する任意のSQL実行を許す可能性があります。LLMアプリ基盤として利用が広がっているため、該当構成の有無を確認してください。
  • 対応: Dify 1.16.0-rc1 以降へアップデートしてください。

このほかCriticalには、GoのSSH実装 golang.org/x/crypto のソースアドレス検証回避 CVE-2026-46595(CVSS 10.0、0.52.0未満、CVE-2024-45337の修正漏れ)、npmで広く使われる Immutable.js のプロトタイプ汚染 CVE-2026-29063(CVSS 9.8、3.8.3 / 4.3.7 / 5.1.5 で修正)、Go向けPostgreSQLドライバ pgx/v5 のメモリ安全性の不備 CVE-2026-33815 / CVE-2026-33816(いずれもCVSS 9.8)、MCP Server Kubernetes の引数インジェクション CVE-2026-61459(CVSS 9.8、3.9.0で修正、Bearerトークン外部送出のおそれ)などが含まれます。公開日が古いものや更新(再評価)による再掲も混在するため、該当ソフトの利用有無を優先的に確認してください。

Highでは、Windows Media Foundation のヒープオーバーフロー(CVE-2026-57087 / CVE-2026-57090、CVSS 8.8)、Linuxカーネル iommu/vt-d のNULLポインタ参照(CVE-2026-53281、CVSS 8.8)、Dell Unisphere for PowerMax の安全でないデシリアライズ(CVE-2026-54469、CVSS 8.8、10.3.0.5以前)などが目立ちます。

エコシステム別サマリー

OSVデータではnpmが8件、PyPIが11件更新されています。

  • npm: サプライチェーンの観点では、astro パッケージの特定バージョン(7.1.0)に悪意あるコードが混入したとする報告(MAL-2026-10726)が上がっています。該当バージョンを利用していないか確認してください。また、Angularでは引き続きXSS系の修正が集中しており、クライアントハイドレーションのDOM Clobbering/レスポンスキャッシュ汚染(CVE-2026-54267、@angular/core 20.3.25 / 21.2.17 / 22.0.1 で修正)などが報告されています。ビルドツールViteでもWindows上での server.fs.deny 回避が修正されました。
  • PyPI: Djangoにセキュリティ修正がまとまっています。STARTTLS 失敗後の接続再利用、URLField によるリソース消費DoS、ファイルストレージのレースコンディションなどが各系列の修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も修正済みです。GitHub Advisoryでは、LLM推論サーバー vLLM に対するRCE/DoS/SSRF系のアドバイザリ(CVE-2026-22778 ほか多数)や、MCP Python SDK のDoS・DNSリバインディング系が多くまとめて公開されており、AI/LLM基盤を運用している場合は依存関係の棚卸しを推奨します。

JVN 日本語情報

  • node-forge(JavaScript暗号ライブラリ): RSA-PKCS および ED25519 実装における署名偽造の脆弱性が報告されています(JVNDB-2026-024106、CERT/CC VU#725167)。署名検証を node-forge に依存している場合、偽造署名を受理してしまうおそれがあるため、最新版への更新を推奨します。
  • Apache Tomcat: 複数の脆弱性(CVE-2026-59083 / CVE-2026-59084)に対するアドバイザリが公開されました(JVNDB-2026-024105)。Tomcat 11.0.24 / 10.1.57 / 9.0.120 で修正されています。国内でも利用が多いアプリケーションサーバーのため、該当系列の修正版への更新を推奨します。

まとめ

本日はCriticalが17件、Highが131件でした。最優先で確認したいのは、CISA KEVに掲載され悪用が確認されているFortinet FortiSandboxのOSコマンドインジェクション(CVSS 9.8)です。セキュリティ製品自体が標的となるため、修正版適用とアクセス制限の見直しを推奨します。あわせて、Python cryptography(CVSS 9.8)やPostgreSQL(CVSS 8.8)といった広く使われる基盤ライブラリ・ミドルウェアにも修正が出ているため、依存関係の棚卸しとまとめての適用が効率的です。npm/PyPIではAngular・Djangoの修正が継続しているほか、vLLMやMCP関連のアドバイザリも増えており、AI基盤の依存も含めた確認をおすすめします。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。