本日はNVDで公開・更新されたCVEが622件、そのうち主要な200件を深刻度別に分析したところ、Criticalが17件、Highが131件でした。中でも実際の悪用が確認されているのは、Fortinet FortiSandboxのOSコマンドインジェクション CVE-2026-25089・CVE-2026-39808(いずれもCVSS 9.8)で、CISA KEV(悪用確認済み脆弱性)カタログに登録されています。加えて、Windows VMSwitchの権限昇格 CVE-2026-57092(CVSS 9.9)や、広く使われるPython向け cryptography のバッファオーバーフロー CVE-2026-39892(CVSS 9.8)にも注意が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| 公開・更新CVE(NVD全体) | 622件 |
| 分析対象(主要) | 200件 |
| Critical (9.0+) | 17件 |
| High (7.0-8.9) | 131件 |
| Medium (4.0-6.9) | 46件 |
| Low (0.1-3.9) | 2件 |
| 未評価(CVSS未算出) | 4件 |
| 影響エコシステム | npm, PyPI |
Critical/High 脆弱性の詳細解説
CVE-2026-25089 / CVE-2026-39808:Fortinet FortiSandbox のOSコマンドインジェクション(悪用確認済み)
- CVSSスコア: 9.8(Critical)
- 影響製品: FortiSandbox 5.0.0〜5.0.5 / 4.4.0〜4.4.8 / 4.2 全バージョン ほか(FortiSandbox Cloud・PaaS 5.0.4〜5.0.5 を含む)
- 概要: 特別に細工されたHTTPリクエストを通じて、未認証の攻撃者が想定外のコマンドを実行できる不備です。両CVEともCISA KEV(悪用確認済み脆弱性)カタログに登録されており、実際の攻撃が確認されています。セキュリティ製品自体が侵害対象となるため、優先度の高い一件です。
- 対応: Fortinetのアドバイザリ(FG-IR-26-141 / FG-IR-26-100)に従い、修正版へアップデートしてください。外部公開している管理インターフェースはアクセス制限の見直しもあわせて推奨します。
CVE-2026-57092:Windows VMSwitch の解放後利用による権限昇格
- CVSSスコア: 9.9(Critical)
- 影響製品: Microsoft Windows(Hyper-V の仮想スイッチ VMSwitch)
- 概要: VMSwitchにおける解放後利用(Use-After-Free)により、権限を持つ攻撃者がネットワーク経由で権限昇格を行える可能性があります。Hyper-Vを有効化した仮想化基盤で影響が想定されます。
- 対応: Microsoftのセキュリティ更新プログラム(MSRC掲載)を適用してください。
CVE-2026-39892:Python cryptography のバッファオーバーフロー
- CVSSスコア: 9.8(Critical)
- 影響製品: Python向け
cryptographyパッケージ 45.0.0〜46.0.7未満 - 概要: 非連続バッファ(non-contiguous buffer)を
Hash.update()などのAPIに渡した場合にバッファオーバーフローが発生し得ます。暗号処理の基盤として非常に広く使われるライブラリのため、依存関係の確認を推奨します。 - 対応:
cryptography46.0.7 以降へアップデートしてください。ディストリビューション提供のerrata(RHSA等)経由での更新も可能です。
CVE-2026-42990:SQL Server ODBC ドライバのヒープオーバーフロー
- CVSSスコア: 9.8(Critical)
- 影響製品: Microsoft SQL Server ODBC ドライバ
- 概要: ODBCドライバにおけるヒープベースのバッファオーバーフローにより、未認証の攻撃者がネットワーク経由でコードを実行できる可能性があります。SQL Serverへ接続するクライアント側のドライバが対象です。
- 対応: Microsoftのセキュリティ更新プログラム(MSRC掲載)に従い、ODBCドライバを修正版へ更新してください。
CVE-2026-6473 / CVE-2026-6477:PostgreSQL の境界外書き込みほか
- CVSSスコア: 8.8(High)
- 影響製品: PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23 未満
- 概要: 整数の桁あふれ(integer wraparound)により、権限の低いDBユーザーが確保領域を過小化させ境界外書き込みを引き起こせる不備です(CVE-2026-6473)。DBを実行するOSユーザー権限でのコード実行につながる可能性があります。あわせて
libpqのlo_export()/lo_read()などでクライアント側スタックを破壊し得る CVE-2026-6477 も報告されています。 - 対応: PostgreSQL 18.4 / 17.10 / 16.14 / 15.18 / 14.23 以降へアップデートしてください。
CVE-2026-44421:FreeRDP のヒープオーバーフロー
- CVSSスコア: 8.8(High)
- 影響製品: FreeRDP 3.26.0未満(RDPGFX有効時)
- 概要: 悪意あるRDPサーバーが細工したRDPGFX PDUを送信することで、FreeRDPクライアント側でヒープ境界外書き込みを引き起こせます。クライアントのクラッシュやコード実行につながる可能性があり、信頼できないRDPサーバーへの接続時に注意が必要です。
- 対応: FreeRDP 3.26.0 以降へアップデートしてください。
CVE-2026-61461:Dify のSQLインジェクション
- CVSSスコア: 8.8(High)
- 影響製品: Dify 1.16.0-rc1未満(MyScaleベクトルストア利用時)
- 概要: MyScaleバックエンドの全文検索処理で検索パラメータが適切にエスケープ/パラメータ化されず、背後のClickHouseに対する任意のSQL実行を許す可能性があります。LLMアプリ基盤として利用が広がっているため、該当構成の有無を確認してください。
- 対応: Dify 1.16.0-rc1 以降へアップデートしてください。
このほかCriticalには、GoのSSH実装 golang.org/x/crypto のソースアドレス検証回避 CVE-2026-46595(CVSS 10.0、0.52.0未満、CVE-2024-45337の修正漏れ)、npmで広く使われる Immutable.js のプロトタイプ汚染 CVE-2026-29063(CVSS 9.8、3.8.3 / 4.3.7 / 5.1.5 で修正)、Go向けPostgreSQLドライバ pgx/v5 のメモリ安全性の不備 CVE-2026-33815 / CVE-2026-33816(いずれもCVSS 9.8)、MCP Server Kubernetes の引数インジェクション CVE-2026-61459(CVSS 9.8、3.9.0で修正、Bearerトークン外部送出のおそれ)などが含まれます。公開日が古いものや更新(再評価)による再掲も混在するため、該当ソフトの利用有無を優先的に確認してください。
Highでは、Windows Media Foundation のヒープオーバーフロー(CVE-2026-57087 / CVE-2026-57090、CVSS 8.8)、Linuxカーネル iommu/vt-d のNULLポインタ参照(CVE-2026-53281、CVSS 8.8)、Dell Unisphere for PowerMax の安全でないデシリアライズ(CVE-2026-54469、CVSS 8.8、10.3.0.5以前)などが目立ちます。
エコシステム別サマリー
OSVデータではnpmが8件、PyPIが11件更新されています。
- npm: サプライチェーンの観点では、
astroパッケージの特定バージョン(7.1.0)に悪意あるコードが混入したとする報告(MAL-2026-10726)が上がっています。該当バージョンを利用していないか確認してください。また、Angularでは引き続きXSS系の修正が集中しており、クライアントハイドレーションのDOM Clobbering/レスポンスキャッシュ汚染(CVE-2026-54267、@angular/core 20.3.25 / 21.2.17 / 22.0.1 で修正)などが報告されています。ビルドツールViteでもWindows上でのserver.fs.deny回避が修正されました。 - PyPI: Djangoにセキュリティ修正がまとまっています。
STARTTLS失敗後の接続再利用、URLFieldによるリソース消費DoS、ファイルストレージのレースコンディションなどが各系列の修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も修正済みです。GitHub Advisoryでは、LLM推論サーバー vLLM に対するRCE/DoS/SSRF系のアドバイザリ(CVE-2026-22778 ほか多数)や、MCP Python SDK のDoS・DNSリバインディング系が多くまとめて公開されており、AI/LLM基盤を運用している場合は依存関係の棚卸しを推奨します。
JVN 日本語情報
- node-forge(JavaScript暗号ライブラリ): RSA-PKCS および ED25519 実装における署名偽造の脆弱性が報告されています(JVNDB-2026-024106、CERT/CC VU#725167)。署名検証を node-forge に依存している場合、偽造署名を受理してしまうおそれがあるため、最新版への更新を推奨します。
- Apache Tomcat: 複数の脆弱性(CVE-2026-59083 / CVE-2026-59084)に対するアドバイザリが公開されました(JVNDB-2026-024105)。Tomcat 11.0.24 / 10.1.57 / 9.0.120 で修正されています。国内でも利用が多いアプリケーションサーバーのため、該当系列の修正版への更新を推奨します。
まとめ
本日はCriticalが17件、Highが131件でした。最優先で確認したいのは、CISA KEVに掲載され悪用が確認されているFortinet FortiSandboxのOSコマンドインジェクション(CVSS 9.8)です。セキュリティ製品自体が標的となるため、修正版適用とアクセス制限の見直しを推奨します。あわせて、Python cryptography(CVSS 9.8)やPostgreSQL(CVSS 8.8)といった広く使われる基盤ライブラリ・ミドルウェアにも修正が出ているため、依存関係の棚卸しとまとめての適用が効率的です。npm/PyPIではAngular・Djangoの修正が継続しているほか、vLLMやMCP関連のアドバイザリも増えており、AI基盤の依存も含めた確認をおすすめします。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
