今週は合計904件のスコア付きCVEが公開・更新され、うちCriticalが84件、Highが294件を占めました。金曜にリリースされたFirefox 149 / Thunderbird 149のセキュリティアップデートが最大のトピックで、CVSS 9.8のUse-After-FreeやJIT miscompilationを含む30件が修正されました。同じく金曜にApple iOS 26.4 / macOS 26.4でカーネルバッファオーバーフロー(CVSS 9.8)やサンドボックスエスケープ(CVSS 9.3)が修正されています。
火曜にはCisco FMCの未認証RCE(CVSS 10.0、CISA KEV登録済み)のNVD情報が引き続き更新され、水曜にはPython UIフレームワークMesopにCVSS 10.0のパストラバーサルが報告されました。Microsoft 365 Copilot SSRF(CVSS 9.9)やSiYuanの7件以上のCritical修正、wolfSSL ECH関連の3件など、広範なエコシステムに影響する脆弱性が集中した週でした。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 86 | 200 | 200 | 212 | 206 | 904件 |
| Critical | 2 | 24 | 20 | 4 | 34 | 84件 |
| High | 30 | 77 | 69 | 47 | 71 | 294件 |
注目脆弱性 TOP5
CVE-2026-20131 — Cisco Secure Firewall Management Center 未認証RCE
- CVSSスコア: 10.0 (Critical)
- 影響: Cisco Secure Firewall Management Center (FMC) Software
- 掲載日: 3/24(火)
- 要約: FMCのWeb管理インターフェースにJavaオブジェクトの安全でないデシリアライゼーション脆弱性があり、未認証の攻撃者がroot権限で任意コードを実行できます。CISA KEVに登録済みのため、FMCを運用している場合は最優先でパッチ適用を推奨します。管理インターフェースをパブリックインターネットから隔離することで攻撃面を縮小できます。
- 対策: Ciscoパッチの適用、管理インターフェースのアクセス制限確認
Firefox 149 / Thunderbird 149 セキュリティアップデート(30件修正)
- CVSSスコア: 9.8 (Critical) × 11件
- 影響: Firefox 149未満、Thunderbird 149未満、Firefox ESR 115.34 / 140.9未満
- 掲載日: 3/27(金)
- 要約: CSS ParsingのUse-After-Free(CVE-2026-4691)、JIT miscompilation(CVE-2026-4698, CVE-2026-4702)、JavaScript EngineのUAF(CVE-2026-4701, CVE-2026-4723)、メモリ安全性バグ(CVE-2026-4720, CVE-2026-4729)など、任意コード実行につながる深刻な問題が多数修正されています。ブラウザの自動更新が有効であれば順次適用されますが、組織内で管理している場合は更新状況の確認を推奨します。
- 対策: Firefox 149 / Thunderbird 149 / ESR各バージョンへのアップデート
CVE-2026-33054 — Mesop パストラバーサルによる任意ファイル操作
- CVSSスコア: 10.0 (Critical)
- 影響: Mesop 1.2.2以下
- 掲載日: 3/25(水)
- 要約: Python UIフレームワークMesopのFileStateSessionBackendにパストラバーサル脆弱性があり、未認証の攻撃者がサーバー上の任意ファイルを読み書き・削除できます。同日にはテスト用Flaskサーバーの未認証RCE(CVE-2026-33057、CVSS 9.8)も報告されています。
- 対策: Mesop 1.2.3へのアップデート
Apple iOS 26.4 / macOS 26.4 セキュリティアップデート
- CVSSスコア: 9.8 (Critical) / 9.3 (Critical)
- 影響: iOS 26.4 / iPadOS 26.4 / macOS Tahoe 26.4 / macOS Sequoia 15.7.5 / macOS Sonoma 14.8.5 より前のバージョン
- 掲載日: 3/27(金)
- 要約: カーネルバッファオーバーフロー(CVE-2026-28858、CVSS 9.8)でリモートユーザーがカーネルメモリの破損を引き起こせる脆弱性と、サンドボックスエスケープ(CVE-2026-20688 / CVE-2026-28827、CVSS 9.3)でアプリがサンドボックスを脱出できる脆弱性が修正されました。合計48件のセキュリティ修正が含まれています。
- 対策: iOS / iPadOS / macOS各バージョンへのアップデート
CVE-2026-26137 — Microsoft 365 Copilot SSRF権限昇格
- CVSSスコア: 9.9 (Critical)
- 影響: Microsoft 365 Copilot Business Chat
- 掲載日: 3/24(火)〜3/25(水)
- 要約: Microsoft 365 CopilotのBusiness Chat機能にSSRF脆弱性があり、認証済みの攻撃者がネットワーク経由で権限を昇格できます。水曜にはMicrosoft Purview SSRF(CVE-2026-26138 / CVE-2026-26139、CVSS 8.6)も報告されています。
- 対策: Microsoft 365セキュリティ更新の適用状況を確認
週間トレンド分析
エコシステム別の傾向
今週はIoT / ルーター機器の脆弱性が目立ちました。月曜にはTenda FH451 / F453、D-Link DHP-1320 / DIR-513、Linksys MR9600に計8件のHigh脆弱性が報告され、水曜にもTenda A18 Proに5件、D-Link DIR-513に1件が追加されています。金曜にはQNAP QuNetSwitchにコマンドインジェクションとハードコード認証情報(CVSS 9.8)が3件報告されました。D-Link製品はEOLのためパッチ提供の予定がなく、引き続き注意が必要です。
Webフレームワーク / CMS系では、SiYuanに7件以上のCritical/High(火)、SuiteCRMに4件(水)、Next.js v16.1.7で5件の修正(木)が集中しました。Next.jsのHTTPリクエストスムグリング(CVE-2026-29057)とServer Actions CSRFバイパス(CVE-2026-27978)はセルフホスト環境で特に影響があります。
CWE別の傾向
バッファオーバーフロー(CWE-120 / CWE-121 / CWE-122 / CWE-787)が今週も最多で、Firefox、Apple、wolfSSL、OpenWrt mdns、PJSIP、GNU inetutils telnetdなど幅広い製品で報告されています。パストラバーサル(CWE-22)もMesop、Tekton Pipelines、SiYuan、Stirling-PDFなどで頻出しました。認証不備・権限昇格系(CWE-269 / CWE-306 / CWE-862)はWordPressプラグイン、File Browser、OpenClaw、Parse Serverで目立ちます。
木曜のLinux kernel関連は178件と大量ですが、大半はバックポートパッチの公開に伴うもので、NULL ポインタ参照(CWE-476)39件、Use-After-Free(CWE-416)20件、メモリリーク(CWE-401)13件とメモリ安全性関連が中心です。
前週との比較
前週の823件に対し今週は904件(約10%増)、Criticalは78件→84件(約8%増)と微増しました。金曜のFirefox 149とAppleアップデートの集中がCritical増加の主因です。IoT / ルーター系の報告数は両週とも高水準を維持しており、組み込みデバイスのセキュリティ管理が引き続き重要な課題です。CISA KEV登録は引き続きAdobe Commerce(CVE-2025-54236)とCisco FMC(CVE-2026-20131)が対象です。
日別ダイジェスト
- 3/23(月): CVE 86件 — WordPress WP Extended権限昇格(CVSS 8.8)やAVideo複数脆弱性が注目
- 3/24(火): CVE 200件 — Cisco FMC CVSS 10.0 RCE、SiYuan 7件以上のCritical修正
- 3/25(水): CVE 200件 — Mesop CVSS 10.0パストラバーサル、OpenWrt mdns RCE
- 3/26(木): CVE 212件 — Next.js v16.1.7で5件修正、Linux kernel 178件大量更新
- 3/27(金): CVE 206件 — Firefox 149で30件修正、Apple iOS/macOSカーネルBOF
まとめ・来週の注目ポイント
今週はFirefox 149の大型セキュリティアップデート(30件修正、Critical 12件)とApple iOS 26.4 / macOS 26.4の48件修正が最大のトピックでした。ブラウザとOSの基盤レベルでの修正が集中しており、自動更新が有効であれば順次適用されますが、組織管理のデバイスでは更新状況の確認が重要です。
来週はFirefox / Apple更新に伴うESRや旧バージョンのバックポートパッチが追加される可能性があります。Adobe Commerce(CISA KEV)とCisco FMC(CISA KEV)は未対応環境があれば引き続き最優先で対応が必要です。wolfSSLのECH関連脆弱性はデフォルト無効の機能ですが、TLS 1.3でECHを有効化している環境では影響が大きいため、確認を推奨します。SiYuan、SuiteCRM、Next.js、Langflowなど幅広いOSSで重大な脆弱性が修正された週でもあり、依存関係のアップデート確認をまとめて行う良い機会です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。