本日はNVDで公開・更新されたCVEが220件、深刻度別ではCriticalが25件、Highが79件でした。最も深刻なのは面接管理システムHireFlowでFlaskの秘密鍵がソースにハードコードされ、認証回避を許す CVE-2026-45336(CVSS 10.0)です。加えて、Kubernetesで広く使われるCNIプラグイン Cilium のadmin.sock露出 CVE-2026-49445(CVSS 9.2)や、Adobe Experience Manager のSSRF/XXE(いずれもCVSS 9.6)にも注意が必要です。
本日の概要
| 指標 | 数値 |
|---|---|
| 公開・更新CVE(NVD) | 220件 |
| Critical (9.0+) | 25件 |
| High (7.0-8.9) | 79件 |
| Medium (4.0-6.9) | 79件 |
| Low (0.1-3.9) | 12件 |
| 未評価(CVSS未算出) | 25件 |
| 影響エコシステム | npm, PyPI, Go, Maven |
Critical/High 脆弱性の詳細解説
CVE-2026-45336:HireFlow の秘密鍵ハードコードによる認証回避
- CVSSスコア: 10.0(Critical)
- 影響製品: HireFlow(面接管理システム)1.2 以前
- 概要: セッションCookieの署名に使うFlaskの
secret_keyがソースコードに固定値で埋め込まれているため、公開されている値を知る攻撃者がrole=adminなどを含むCookieを偽造し、未認証のまま管理者として認証を回避できる不備です。CWE-798(認証情報のハードコード)に該当します。 - 対応: 修正版の 1.3 へアップデートしてください。
CVE-2026-49445:Cilium のworld-accessibleなadmin.sock露出
- CVSSスコア: 9.2(Critical)
- 影響製品: Cilium 1.17.14 / 1.18.8 / 1.19.2 未満(L7機能有効時)
- 概要: L7機能を有効にすると、組み込みまたはスタンドアロンのEnvoyがクラスタノード上に誰でもアクセス可能な
admin.sockを作成します。ローカルの攻撃者がEnvoyの管理エンドポイントへアクセスし、TLSシークレットの露出、通信の妨害、Envoyの停止を引き起こせる可能性があります。 - 対応: Cilium 1.17.14 / 1.18.8 / 1.19.2 以降へアップデートしてください。
CVE-2026-48259 / CVE-2026-48359:Adobe Experience Manager のSSRF/XXE
- CVSSスコア: 9.6(Critical)
- 影響製品: Adobe Experience Manager
- 概要: サーバーサイドリクエストフォージェリ(SSRF、CVE-2026-48259)と、XML外部実体参照(XXE、CVE-2026-48359)の2件が公開されました。いずれも低権限の攻撃者が悪用でき、ユーザー権限での任意コード実行や機微なファイルの読み取りにつながる可能性があります(スコープ変更あり、ユーザー操作不要)。
- 対応: Adobeのアドバイザリ(APSB26-74)に従い、修正版へアップデートしてください。あわせて認証欠如(CVE-2026-48252)やパストラバーサル(CVE-2026-48310、いずれもCVSS 8.6)も同時に修正されています。
CVE-2026-52891:Wekan のOSコマンドインジェクション
- CVSSスコア: 9.9(Critical)
- 影響製品: Wekan(Meteor製カンバン)9.07 未満
- 概要: アバターアップロード機能で、ユーザー由来のファイル名をMIMEタイプ判定のためのシェルコマンドにそのまま渡していたため、ファイル名に含まれるシェルのメタ文字を通じてサーバー上でコマンドが実行され得る不備です(CWE-78)。
- 対応: Wekan 9.07 以降へアップデートしてください。
CVE-2026-54052:n8n-MCP のテナント分離不備
- CVSSスコア: 9.9(Critical)
- 影響製品: n8n-MCP 2.56.1 未満(HTTPモード+マルチテナント有効時)
- 概要:
ENABLE_MULTI_TENANT=trueのHTTPモードで、ワークフローのバージョン履歴バックアップがテナントごとに分離されていませんでした。認証済みテナントが他テナントのスナップショット(ノード定義、認証情報の参照、Authorizationヘッダーを含む)を閲覧・破壊できる可能性があります。 - 対応: n8n-MCP 2.56.1 以降へアップデートしてください。
CVE-2026-63089:WireGuard Easy のワンタイムトークン脆弱性
- CVSSスコア: 9.3(Critical)
- 影響製品: WireGuard Easy(wg-easy)15.3.0 以前
- 概要: ワンタイムリンクのトークン生成に暗号学的に弱い乱数が用いられており、クライアントIDあたり最大1000通り程度の候補に絞られます。レート制限のない未認証エンドポイントに対する総当たりで、ピアの秘密鍵・事前共有鍵が復元され、VPN上でのなりすましにつながる可能性があります。
- 対応: 修正コミット(66b292b)を含むバージョンへアップデートしてください。
CVE-2026-44632:Yamcs のサーバーサイドコードインジェクション
- CVSSスコア: 9.1(Critical)
- 影響製品: Yamcs(ミッション制御フレームワーク)5.12.7 未満
- 概要: アルゴリズム評価エンジンがユーザー入力のアルゴリズムテキストをサンドボックスなしでコンパイル・評価していたため、
ChangeMissionDatabase権限を持つ認証済みユーザーがJavaコードを注入し、ホスト上でコードを実行できる可能性があります。 - 対応: Yamcs 5.12.7 または 5.13.0 以降へアップデートしてください(既定でアルゴリズム編集が無効化されます)。
このほかCriticalには、Linuxカーネルのネットワーク(net/rds)における解放処理の不備 CVE-2026-53355(CVSS 9.8)、xfrm/iptfsの共有フラグメント標識の欠落 CVE-2026-53363(CVSS 9.8)、レポートツール ureport のSQLインジェクション CVE-2026-38158(CVSS 9.8)、Perlの Image::EPEG がサポート切れライブラリを同梱する問題 CVE-2026-3031(CVSS 9.8)などが含まれます。公開日が古いものや再評価による再掲も混在するため、該当ソフトの利用有無を優先的に確認してください。
Highでは、Spring製品群にSpEL式インジェクションや安全でないデシリアライズの修正が集中しました。Spring Data MongoDB/REST のSpEL注入(CVE-2026-41717 / CVE-2026-41729)、Spring for GraphQL の安全でないデシリアライズ CVE-2026-41699、Spring for Kafka/Pulsar の信頼パッケージ判定の不備(CVE-2026-41731 / CVE-2026-41732)などが、いずれもCVSS 8.1で公開されています。また、Rust向けの rust-openssl に境界外書き込み CVE-2026-41678(CVSS 8.1、0.10.78で修正)、文書処理ライブラリ docling-core のSSRF CVE-2026-44023(CVSS 8.6、2.74.1で修正)も報告されています。
エコシステム別サマリー
OSVデータではnpmが8件、PyPIが11件更新されています。GitHub Advisoryでも、npm・PyPI・Go・Maven・Packagistなど幅広いエコシステムのアドバイザリが公開されました。
- npm: サプライチェーンの観点では、
astroパッケージの特定バージョン(7.1.0)に悪意あるコードが混入したとする報告(MAL-2026-10726)が上がっています。正規のwithastroプロジェクトとは異なり、タイポスクワット的な依存名を含むとされるため、該当バージョンを利用していないか確認してください。また、Angularでは引き続きXSS系の修正が集中しており、クライアントハイドレーションのDOM Clobbering/レスポンスキャッシュ汚染(CVE-2026-54267)や、名前空間付きscript要素のサニタイズ回避(CVE-2026-50557 ほか)が複数の系列で修正されています。ビルドツールViteでもWindows上でのserver.fs.deny回避(CVE-2026-53571)が修正されました。 - PyPI / その他: Djangoにセキュリティ修正がまとまっており、
STARTTLS失敗後の接続再利用(CVE-2026-7666)、URLFieldによるリソース消費DoS(CVE-2026-25673)、ファイルストレージのレースコンディション(CVE-2026-25674)、GDALRasterの領域外読み取り(CVE-2026-53877)などが各系列の修正版で対応されています。FlaskのVary: Cookieヘッダー不備(CVE-2026-27205)も修正済みです。加えて、MicrosoftのPromptライブラリ Prompty に任意コード実行/ファイル読み取り(CVE-2026-53597 / CVE-2026-53598)、MCP関連パッケージ(meta-ads-mcp、mcp-memory-keeper 等)のSSRF・ローカルファイル読み取りが複数公開されており、AI/LLM基盤を運用している場合は依存関係の棚卸しを推奨します。
JVN 日本語情報
本日のMyJVN(JVN iPedia)では、該当する脆弱性対策情報はありませんでした。国内向けの注意喚起は次回以降のデータ更新をご確認ください。
まとめ
本日はCriticalが25件、Highが79件と多めの一日でした。最優先で確認したいのは、認証情報のハードコードにより認証回避を許すHireFlow(CVSS 10.0)ですが、利用者が限られるソフトウェアのため、まずは自組織で広く使われるKubernetes基盤のCilium(CVSS 9.2)やAdobe Experience Manager(CVSS 9.6)の該当有無を確認するのが効率的です。あわせて、Spring製品群のSpEL注入・デシリアライズ、Angular・DjangoのXSS/DoS修正、Prompty・n8n-MCPをはじめとするMCP関連の脆弱性も目立っており、AI基盤の依存も含めた棚卸しをおすすめします。パッチが出ている案件が中心のため、影響範囲を確認のうえアップデートを検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
