今週は合計889件のCVEが公開・更新され、うちCriticalが130件、Highが412件を占めました。FreeScoutの.htaccessバイパスによるRCE(CVSS 10.0)が最も深刻で、Nginx UIの認証なしバックアップ漏洩(CVSS 9.8)、npmパッケージ simple-git の過去修正バイパスRCE(CVSS 9.8)と、広く利用されるソフトウェアのCritical脆弱性が連日報告されました。
CISA KEVにはSolarWinds Web Help Desk、Adobe Commerce、Ivanti EPMの3件が掲載されており、既に悪用が確認されています。月曜はネットワーク機器のバッファオーバーフローが集中し、火曜以降は開発ツール・ミドルウェアのRCEが目立つ構成でした。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 91 | 200 | 200 | 198 | 200 | 889件 |
| Critical | 2 | 29 | 37 | 31 | 31 | 130件 |
| High | 34 | 108 | 110 | 95 | 65 | 412件 |
注目脆弱性 TOP5
CVE-2026-28289 — FreeScout .htaccessアップロードバイパスによるRCE
- CVSSスコア: 10.0 (Critical)
- 影響: FreeScout 1.8.206 以前
- 掲載日: 3/12(木)
- 要約: ゼロ幅スペース文字のプレフィックスを使用して悪意ある.htaccessファイルをアップロードし、セキュリティチェックを回避できるRCE脆弱性です。CVE-2026-27636のパッチバイパスであり、
sanitizeUploadedFileName()のTOCTOU欠陥が原因です。 - 対策: バージョン 1.8.207 へのアップデート
CVE-2026-27944 — Nginx UI 認証なしバックアップ漏洩
- CVSSスコア: 9.8 (Critical)
- 影響: Nginx UI 2.3.3 未満
- 掲載日: 3/11(水)
- 要約:
/api/backupエンドポイントが認証なしでアクセス可能で、復号に必要な暗号鍵がレスポンスヘッダに含まれています。ユーザー認証情報、セッショントークン、SSL秘密鍵を含む完全なバックアップが漏洩します。 - 対策: バージョン 2.3.3 へのアップデート
CVE-2026-28292 — simple-git RCE(過去CVE修正バイパス)
- CVSSスコア: 9.8 (Critical)
- 影響: simple-git 3.15.0〜3.32.2
- 掲載日: 3/13(金)
- 要約: Node.js向けgitラッパーライブラリにOSコマンドインジェクションのRCE脆弱性です。CVE-2022-25860およびCVE-2022-25912の修正をバイパスする新手法で、npmで広く利用されているため影響範囲が大きいです。
- 対策: バージョン 3.23.0 へのアップデート
CVE-2025-26399 — SolarWinds Web Help Desk デシリアライゼーションRCE
- CVSSスコア: 9.8 (Critical)
- 影響: SolarWinds Web Help Desk 12.8.7 Hotfix 1 未満
- 掲載日: 3/10(火)
- 要約: AjaxProxyにおける非認証デシリアライゼーションのRCE脆弱性です。CVE-2024-28988のパッチバイパスであり、CISA KEVカタログに掲載済みです。Microsoftも悪用確認のブログを公開しています。
- 対策: Web Help Desk 12.8.7 Hotfix 1 の適用
CVE-2025-68613 — n8n ワークフロー式評価によるRCE
- CVSSスコア: 9.9 (Critical)
- 影響: n8n 0.211.0 以降、1.120.4 / 1.121.1 / 1.122.0 未満
- 掲載日: 3/12(木)
- 要約: ワークフロー設定時の式(expression)がランタイムから十分に分離されていない実行コンテキストで評価され、認証済みの攻撃者がn8nプロセスの権限で任意コードを実行可能です。
- 対策: バージョン 1.120.4 / 1.121.1 / 1.122.0 へのアップデート
週間トレンド分析
エコシステム別の傾向
npmエコシステムの脆弱性が週を通じて最も多く報告されました。simple-git、oRPC、Next.js、Parse Server、Storybook、Multerなど、Node.jsの主要パッケージに影響するCritical脆弱性が連日公開されています。PyPIではDjangoに2件(DoSとレースコンディション)、GoではEnvoy Proxyに5件とPingoraに3件が集中しました。MavenではApache ActiveMQ ArtemisとmchangeのJNDIインジェクション、PackagistではSyliusとCraft Commerceにそれぞれ4件と、幅広いエコシステムに影響が及んでいます。
CWE別の傾向
月曜はネットワーク機器のバッファオーバーフロー(CWE-120/121/787)が16件と集中しました。火曜以降は認証の欠如(CWE-306)、OSコマンドインジェクション(CWE-78)、ファイルアップロード(CWE-434)、デシリアライゼーション(CWE-502)など、Webアプリケーション・開発ツールのRCE系が増加しています。パッチバイパスが目立つ週でもあり、FreeScout、SolarWinds WHD、simple-gitの3件はいずれも過去のCVE修正を回避する新しい手法でした。
CISA KEV掲載
火曜にSolarWinds Web Help Desk(CVE-2025-26399)、Adobe Commerce(CVE-2025-54236)、Ivanti EPM(CVE-2026-1603)の3件がCISA KEVに掲載されました。いずれも既に悪用が確認されており、該当環境では最優先の対応が必要です。
日別ダイジェスト
- 3/9(月): CVE 91件 — Wavlink ルーター CVSS 9.8 の境界外書き込み、IoT機器BOFが16件集中
- 3/10(火): CVE 200件 — SolarWinds WHD CVSS 9.8 RCE、CISA KEV 3件掲載、Django DoS
- 3/11(水): CVE 200件 — Nginx UI 認証なしバックアップ漏洩、Storybook RCE、GHSAアドバイザリ141件
- 3/12(木): CVE 198件 — FreeScout CVSS 10.0 RCE、n8n CVSS 9.9 RCE、Firefox/Chrome更新
- 3/13(金): CVE 200件 — simple-git RCE、Pingora HTTP Smuggling、GitHub Enterprise Server RCE
まとめ・来週の注目ポイント
今週はCritical 130件と高水準の週でした。FreeScout、SolarWinds WHD、simple-gitの3件はいずれも過去のパッチをバイパスする脆弱性であり、一度修正したからといって安心できない現状を示しています。開発ツール系(n8n、Storybook、Flowise、Budibase、simple-git)のRCEが多数報告されており、CI/CDやローカル開発環境のセキュリティ確認も重要です。
ネットワーク機器については、Tenda、Wavlink、H3C、UTTなどのルーター・組み込み機器にバッファオーバーフローが大量に報告されています。IoT機器のファームウェア更新は後回しにされがちですが、リモートから攻撃可能な脆弱性が多いため定期的な確認を推奨します。来週はMicrosoft Patch Tuesdayの影響が本格化する可能性があり、Windows環境の管理者はパッチ適用計画の策定を進めてください。Cloudflare Pingoraをスタンドアロンで利用している環境はv0.8.0への早期アップグレードが必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。