つみかさね

【セキュリティ日報】HireFlowのハードコードされた秘密鍵(CVSS 10.0)ほかCritical 25件

2026-07-19データソース: NVD, OSV, GHSA, JVN

対応判断サマリー

high対応必須
HireFlow 秘密鍵ハードコードによる認証回避脆弱性
CVE-2026-45336
HireFlow 1.3へアップデート
high対応必須
Cilium world-accessibleなadmin.sock露出脆弱性
CVE-2026-49445
Cilium 1.17.14/1.18.8/1.19.2以降へアップデート
high対応必須
Adobe Experience Manager SSRF脆弱性
CVE-2026-48259
APSB26-74に従い修正版へアップデート
high対応必須
Adobe Experience Manager XXE脆弱性
CVE-2026-48359
APSB26-74に従い修正版へアップデート
high対応必須
Wekan OSコマンドインジェクション脆弱性
CVE-2026-52891
Wekan 9.07以降へアップデート
high対応必須
n8n-MCP テナント分離不備脆弱性
CVE-2026-54052
n8n-MCP 2.56.1以降へアップデート
high対応必須
WireGuard Easy ワンタイムトークン脆弱性
CVE-2026-63089
修正コミット(66b292b)を含む版へアップデート
high対応必須
Yamcs サーバーサイドコードインジェクション脆弱性
CVE-2026-44632
Yamcs 5.12.7/5.13.0以降へアップデート
high対応必須
Linuxカーネル net/rds 解放処理の不備脆弱性
CVE-2026-53355
ディストリ提供の修正カーネルへアップデート
high対応必須
ureport SQLインジェクション脆弱性
CVE-2026-38158
ureportの修正版へアップデート
high推奨
Spring Data MongoDB SpEL式インジェクション脆弱性
CVE-2026-41717
Spring Data MongoDBの修正版へアップデート
high推奨
Spring for GraphQL 安全でないデシリアライズ脆弱性
CVE-2026-41699
Spring for GraphQLの修正版へアップデート
high推奨
docling-core SSRF脆弱性
CVE-2026-44023
docling-core 2.74.1以降へアップデート
high推奨
rust-openssl 境界外書き込み脆弱性
CVE-2026-41678
rust-openssl 0.10.78以降へアップデート
CVENVD脆弱性CiliumLinuxAdobenpmPyPI

本日はNVDで公開・更新されたCVEが220件、深刻度別ではCriticalが25件、Highが79件でした。最も深刻なのは面接管理システムHireFlowでFlaskの秘密鍵がソースにハードコードされ、認証回避を許す CVE-2026-45336(CVSS 10.0)です。加えて、Kubernetesで広く使われるCNIプラグイン Cilium のadmin.sock露出 CVE-2026-49445(CVSS 9.2)や、Adobe Experience Manager のSSRF/XXE(いずれもCVSS 9.6)にも注意が必要です。

本日の概要

指標数値
公開・更新CVE(NVD)220件
Critical (9.0+)25件
High (7.0-8.9)79件
Medium (4.0-6.9)79件
Low (0.1-3.9)12件
未評価(CVSS未算出)25件
影響エコシステムnpm, PyPI, Go, Maven

Critical/High 脆弱性の詳細解説

CVE-2026-45336:HireFlow の秘密鍵ハードコードによる認証回避

  • CVSSスコア: 10.0(Critical)
  • 影響製品: HireFlow(面接管理システム)1.2 以前
  • 概要: セッションCookieの署名に使うFlaskの secret_key がソースコードに固定値で埋め込まれているため、公開されている値を知る攻撃者が role=admin などを含むCookieを偽造し、未認証のまま管理者として認証を回避できる不備です。CWE-798(認証情報のハードコード)に該当します。
  • 対応: 修正版の 1.3 へアップデートしてください。

CVE-2026-49445:Cilium のworld-accessibleなadmin.sock露出

  • CVSSスコア: 9.2(Critical)
  • 影響製品: Cilium 1.17.14 / 1.18.8 / 1.19.2 未満(L7機能有効時)
  • 概要: L7機能を有効にすると、組み込みまたはスタンドアロンのEnvoyがクラスタノード上に誰でもアクセス可能な admin.sock を作成します。ローカルの攻撃者がEnvoyの管理エンドポイントへアクセスし、TLSシークレットの露出、通信の妨害、Envoyの停止を引き起こせる可能性があります。
  • 対応: Cilium 1.17.14 / 1.18.8 / 1.19.2 以降へアップデートしてください。

CVE-2026-48259 / CVE-2026-48359:Adobe Experience Manager のSSRF/XXE

  • CVSSスコア: 9.6(Critical)
  • 影響製品: Adobe Experience Manager
  • 概要: サーバーサイドリクエストフォージェリ(SSRF、CVE-2026-48259)と、XML外部実体参照(XXE、CVE-2026-48359)の2件が公開されました。いずれも低権限の攻撃者が悪用でき、ユーザー権限での任意コード実行や機微なファイルの読み取りにつながる可能性があります(スコープ変更あり、ユーザー操作不要)。
  • 対応: Adobeのアドバイザリ(APSB26-74)に従い、修正版へアップデートしてください。あわせて認証欠如(CVE-2026-48252)やパストラバーサル(CVE-2026-48310、いずれもCVSS 8.6)も同時に修正されています。

CVE-2026-52891:Wekan のOSコマンドインジェクション

  • CVSSスコア: 9.9(Critical)
  • 影響製品: Wekan(Meteor製カンバン)9.07 未満
  • 概要: アバターアップロード機能で、ユーザー由来のファイル名をMIMEタイプ判定のためのシェルコマンドにそのまま渡していたため、ファイル名に含まれるシェルのメタ文字を通じてサーバー上でコマンドが実行され得る不備です(CWE-78)。
  • 対応: Wekan 9.07 以降へアップデートしてください。

CVE-2026-54052:n8n-MCP のテナント分離不備

  • CVSSスコア: 9.9(Critical)
  • 影響製品: n8n-MCP 2.56.1 未満(HTTPモード+マルチテナント有効時)
  • 概要: ENABLE_MULTI_TENANT=true のHTTPモードで、ワークフローのバージョン履歴バックアップがテナントごとに分離されていませんでした。認証済みテナントが他テナントのスナップショット(ノード定義、認証情報の参照、Authorizationヘッダーを含む)を閲覧・破壊できる可能性があります。
  • 対応: n8n-MCP 2.56.1 以降へアップデートしてください。

CVE-2026-63089:WireGuard Easy のワンタイムトークン脆弱性

  • CVSSスコア: 9.3(Critical)
  • 影響製品: WireGuard Easy(wg-easy)15.3.0 以前
  • 概要: ワンタイムリンクのトークン生成に暗号学的に弱い乱数が用いられており、クライアントIDあたり最大1000通り程度の候補に絞られます。レート制限のない未認証エンドポイントに対する総当たりで、ピアの秘密鍵・事前共有鍵が復元され、VPN上でのなりすましにつながる可能性があります。
  • 対応: 修正コミット(66b292b)を含むバージョンへアップデートしてください。

CVE-2026-44632:Yamcs のサーバーサイドコードインジェクション

  • CVSSスコア: 9.1(Critical)
  • 影響製品: Yamcs(ミッション制御フレームワーク)5.12.7 未満
  • 概要: アルゴリズム評価エンジンがユーザー入力のアルゴリズムテキストをサンドボックスなしでコンパイル・評価していたため、ChangeMissionDatabase 権限を持つ認証済みユーザーがJavaコードを注入し、ホスト上でコードを実行できる可能性があります。
  • 対応: Yamcs 5.12.7 または 5.13.0 以降へアップデートしてください(既定でアルゴリズム編集が無効化されます)。

このほかCriticalには、Linuxカーネルのネットワーク(net/rds)における解放処理の不備 CVE-2026-53355(CVSS 9.8)、xfrm/iptfsの共有フラグメント標識の欠落 CVE-2026-53363(CVSS 9.8)、レポートツール ureport のSQLインジェクション CVE-2026-38158(CVSS 9.8)、Perlの Image::EPEG がサポート切れライブラリを同梱する問題 CVE-2026-3031(CVSS 9.8)などが含まれます。公開日が古いものや再評価による再掲も混在するため、該当ソフトの利用有無を優先的に確認してください。

Highでは、Spring製品群にSpEL式インジェクションや安全でないデシリアライズの修正が集中しました。Spring Data MongoDB/REST のSpEL注入(CVE-2026-41717 / CVE-2026-41729)、Spring for GraphQL の安全でないデシリアライズ CVE-2026-41699、Spring for Kafka/Pulsar の信頼パッケージ判定の不備(CVE-2026-41731 / CVE-2026-41732)などが、いずれもCVSS 8.1で公開されています。また、Rust向けの rust-openssl に境界外書き込み CVE-2026-41678(CVSS 8.1、0.10.78で修正)、文書処理ライブラリ docling-core のSSRF CVE-2026-44023(CVSS 8.6、2.74.1で修正)も報告されています。

エコシステム別サマリー

OSVデータではnpmが8件、PyPIが11件更新されています。GitHub Advisoryでも、npm・PyPI・Go・Maven・Packagistなど幅広いエコシステムのアドバイザリが公開されました。

  • npm: サプライチェーンの観点では、astro パッケージの特定バージョン(7.1.0)に悪意あるコードが混入したとする報告(MAL-2026-10726)が上がっています。正規のwithastroプロジェクトとは異なり、タイポスクワット的な依存名を含むとされるため、該当バージョンを利用していないか確認してください。また、Angularでは引き続きXSS系の修正が集中しており、クライアントハイドレーションのDOM Clobbering/レスポンスキャッシュ汚染(CVE-2026-54267)や、名前空間付きscript要素のサニタイズ回避(CVE-2026-50557 ほか)が複数の系列で修正されています。ビルドツールViteでもWindows上での server.fs.deny 回避(CVE-2026-53571)が修正されました。
  • PyPI / その他: Djangoにセキュリティ修正がまとまっており、STARTTLS 失敗後の接続再利用(CVE-2026-7666)、URLField によるリソース消費DoS(CVE-2026-25673)、ファイルストレージのレースコンディション(CVE-2026-25674)、GDALRasterの領域外読み取り(CVE-2026-53877)などが各系列の修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も修正済みです。加えて、MicrosoftのPromptライブラリ Prompty に任意コード実行/ファイル読み取り(CVE-2026-53597 / CVE-2026-53598)、MCP関連パッケージ(meta-ads-mcp、mcp-memory-keeper 等)のSSRF・ローカルファイル読み取りが複数公開されており、AI/LLM基盤を運用している場合は依存関係の棚卸しを推奨します。

JVN 日本語情報

本日のMyJVN(JVN iPedia)では、該当する脆弱性対策情報はありませんでした。国内向けの注意喚起は次回以降のデータ更新をご確認ください。

まとめ

本日はCriticalが25件、Highが79件と多めの一日でした。最優先で確認したいのは、認証情報のハードコードにより認証回避を許すHireFlow(CVSS 10.0)ですが、利用者が限られるソフトウェアのため、まずは自組織で広く使われるKubernetes基盤のCilium(CVSS 9.2)やAdobe Experience Manager(CVSS 9.6)の該当有無を確認するのが効率的です。あわせて、Spring製品群のSpEL注入・デシリアライズ、Angular・DjangoのXSS/DoS修正、Prompty・n8n-MCPをはじめとするMCP関連の脆弱性も目立っており、AI基盤の依存も含めた棚卸しをおすすめします。パッチが出ている案件が中心のため、影響範囲を確認のうえアップデートを検討してください。


データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。