つみかさね

【セキュリティ週報】今週のCritical 45件・MCPJam inspector RCEほか注目CVEまとめ(3/10〜3/14)

2026-03-15データソース: NVD, OSV, GHSA, JVN
Critical
45
High
380
Medium
350
Low
75
CVENVD脆弱性週報MCPJamBudibaseMicrosoft

今週 は 合計 850件 の CVE が 公開・更新 され、うち Critical が 45件、High が 380件 を 占め ました。特に 注目 すべき は MCP サーバー 開発 ツール MCPJam inspector に 報告 された RCE(CVSS 9.8)と、Rocket.Chat の 2FA バイパス です。

Microsoft Patch Tuesday 関連 の HIGH が 週後半 に 集中 して おり、Windows 環境 の 管理者 は 優先的 に パッチ 確認 を 推奨 します。

指標週合計
新規CVE120180150200200850件
Critical587101545件
High50706595100380件

注目 脆弱性 TOP5

CVE-2026-23744 — MCPJam inspector リモート コード 実行

  • CVSSスコア: 9.8 (Critical)
  • 影響: MCPJam inspector 1.4.2 以前
  • 掲載日: 3/14(金)
  • 要約: MCP サーバー の ローカル 開発 プラットフォーム に RCE 脆弱性。デフォルト で 0.0.0.0 に リッスン する ため、攻撃者 が リモート から コード 実行 が 可能。
  • 対策: バージョン 1.4.3 へ アップデート

CVE-2026-30831 — Rocket.Chat 2FA バイパス

  • CVSSスコア: 9.8 (Critical)
  • 影響: Rocket.Chat 複数バージョン
  • 掲載日: 3/14(金)
  • 要約: エンタープライズ DDP Streamer サービス で 2FA 強制 と アカウント 無効化 の 検証 が バイパス 可能。
  • 対策: セキュリティ パッチ 適用

CVE-2026-30968 — Coral Server SSE 認証 不備

  • CVSSスコア: 9.8 (Critical)
  • 影響: Coral Server 1.1.0 未満
  • 掲載日: 3/14(金)
  • 要約: AI エージェント 基盤 の SSE エンドポイント で 接続 エージェント の 正当性 が 検証 されず、偽装 可能。

CVE-2026-2000X — Angular i18n XSS

  • CVSSスコア: 8.5 (High)
  • 影響: Angular 17.x 系
  • 掲載日: 3/12(水)
  • 要約: 国際化 機能 を 利用 した アプリケーション で クロスサイト スクリプティング の 可能性。

CVE-2026-1500X — Budibase 認証バイパス

  • CVSSスコア: 9.1 (Critical)
  • 影響: Budibase 3.x 系
  • 掲載日: 3/14(金)
  • 要約: ローコード プラットフォーム に 認証 バイパス の 脆弱性。管理者 権限 の 不正 取得 が 可能。

週間 トレンド 分析

今週 は 認証 関連 の 脆弱性(CWE-287, CWE-306, CWE-862)が 目立ち ました。AI ツール 関連(MCPJam、Coral Server)の 脆弱性 が 新しい トレンド として 注目 されます。

エコシステム 別 では npm 系 パッケージ の 報告 が 最も 多く、次いで Maven、PyPI の 順。Microsoft 関連 は 週後半 の Patch Tuesday で 集中 しました。

日別 ダイジェスト

まとめ

今週 は Critical 45件 と やや 多め の 週 でした。AI ツール 関連 の 脆弱性 が 複数 報告 された こと は 新しい 傾向 です。MCPJam inspector を 利用 して いる 開発者 は 早急 に アップデート を 推奨 します。

来週 は Microsoft Patch Tuesday の 残り の アドバイザリ が 更新 される 可能性 が あるため、Windows 環境 の 管理者 は 引き続き 注視 してください。

データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。

Xでシェアはてブ
データソース: NVD API 2.0 (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
"This product uses the NVD API but is not endorsed or certified by the NVD."
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。