今週は合計857件のCVEが公開・更新され、うちCriticalが71件、Highが321件を占めました。火曜に報告されたVeeam Backup & ReplicationのRCE 2件(CVSS 9.9)が今週最大のトピックです。月曜にはAIエージェントツールOpenClawに権限昇格やサンドボックス脱出など20件の脆弱性が集中公開されました。Citrix NetScaler(CISA KEV追加)やFortiClientEMSの未認証SQLi(9.8)もエンタープライズ環境に大きな影響を与えます。
木・金曜はWordPressプラグイン(2024年公開CVE)とApple製品(2024年公開CVE)のNVDメタデータ一斉更新が中心でしたが、Apple関連では悪用確認済みの3件が含まれており、古いバージョンの利用者は改めて確認が必要です。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 57 | 200 | 200 | 200 | 200 | 857件 |
| Critical | 6 | 32 | 25 | 8 | 0 | 71件 |
| High | 28 | 113 | 80 | 35 | 65 | 321件 |
注目脆弱性 TOP5
CVE-2026-21666 / CVE-2026-21669 — Veeam Backup & Replication 認証済みユーザーからのRCE
- CVSSスコア: 9.9 (Critical) × 2件
- 影響: Veeam Backup & Replication
- 掲載日: 4/1(水)
- 要約: 認証済みのドメインユーザーがBackup Server上でリモートコード実行可能な脆弱性が2件同時に報告されました。CVE-2026-21666は不適切なアクセス制御、CVE-2026-21669はコードインジェクションが原因です。HA環境向けのCVE-2026-21671(9.1)も同時報告されています。バックアップ基盤を運用している組織は即時対応が必要です。
- 対策: KB4830・KB4831を確認しパッチ適用
CVE-2026-32922 — OpenClaw device.token.rotate 権限昇格
- CVSSスコア: 9.9 (Critical)
- 影響: OpenClaw 2026.3.8未満
- 掲載日: 3/30(月)
- 要約: AIエージェントツールOpenClawのdevice.token.rotateでスコープ制約なしにトークンが発行され、権限昇格からRCEに至る可能性があります。同日に合計20件の脆弱性が集中公開され、認可バイパス(CVE-2026-32924, 9.8)やサンドボックス脱出(CVE-2026-32918, 8.4)なども含まれます。
- 対策: OpenClaw 2026.3.13以降へアップデート
CVE-2026-21643 — Fortinet FortiClientEMS 未認証SQLインジェクション
- CVSSスコア: 9.8 (Critical)
- 影響: FortiClientEMS 7.4.4
- 掲載日: 3/31(火)
- 要約: エンドポイント管理ソリューションFortiClientEMSに、認証なしでHTTPリクエスト経由でSQLインジェクションが可能な脆弱性です。リモートから未認証の攻撃者が任意コード実行に至る可能性があり、エンタープライズ環境への影響が極めて大きいです。
- 対策: FortiGuard Advisoryに従いパッチ適用
CVE-2026-3055 — Citrix NetScaler ADC/Gateway SAML IDP メモリ読み取り
- CVSSスコア: 9.8 (Critical)
- 影響: NetScaler ADC / NetScaler Gateway(SAML IDP構成時)
- 掲載日: 4/1(水)
- 要約: SAML IDPとして構成したNetScalerで、入力検証の不備によりメモリの境界外読み取りが可能です。CISA KEVに追加済みで、活発な悪用が確認されています。SAML IDP構成のNetScalerを運用している場合は最優先で対応してください。
- 対策: Citrix CTX696300に従い修正バージョンへ更新
CVE-2025-48611 — Android Pixel 権限昇格
- CVSSスコア: 10.0 (Critical)
- 影響: Android Pixel 2026年3月セキュリティパッチレベル以前
- 掲載日: 3/31(火)
- 要約: Android PixelのDeviceId.javaにおける境界チェック欠如により、追加の実行権限なしでローカル権限昇格が可能です。ユーザー操作も不要で、CVSS 10.0の最高スコアが付与されています。
- 対策: 2026年3月のセキュリティパッチを適用
週間トレンド分析
エコシステム別の傾向
今週はnpmエコシステムの脆弱性が週合計56件と最多で、OpenClaw関連やHandlebars.js(3件)が中心です。Go(46件)ではMattermostやMinIO、Packagist(25件)やPyPI(21件)ではWordPress関連ライブラリが報告されました。GHSA更新は水曜の154件が突出しています。
CWE別の傾向
WordPress関連ではXSS(CWE-79)56件、認可欠如(CWE-862)が39件超と圧倒的に多く、デシリアライゼーション(CWE-502)やファイルインクルージョン(CWE-98)も目立ちます。Apple関連では境界外書き込み(CWE-787)14件、バッファエラー(CWE-119)7件とメモリ破壊系が中心です。エンタープライズ製品ではSQLインジェクション(CWE-89)とコードインジェクション(CWE-94)が多く報告されました。
前週との比較
前週(03/23〜03/27)の904件・Critical 84件と比較すると、総件数は857件(約5%減)、Criticalは71件(約15%減)とやや落ち着いた週でした。ただしHighは321件と前週の294件から約9%増加しており、CISA KEVへの追加が3件(Adobe Commerce、Citrix NetScaler、F5 BIG-IP)あった点は注意が必要です。木・金曜のNVDメタデータ一斉更新(WordPress 200件 + Apple 200件)は新規発見ではないため、実質的な新規脆弱性は月〜水の3日間に集中しています。
サプライチェーン攻撃
火曜に報告されたTrivyセキュリティスキャナーのサプライチェーン攻撃(CVE-2026-33634, 8.8)は、侵害された認証情報を使って悪意あるバージョンv0.69.4がリリースされた事案です。セキュリティツール自体が攻撃ベクトルとなる深刻な事例として注目に値します。
日別ダイジェスト
- 3/30(月): CVE 57件 — OpenClawにCVSS 9.9含むCritical 5件が集中公開、Adobe Commerce CISA KEV追加
- 3/31(火): CVE 200件 — FortiClientEMS未認証SQLi(9.8)、Trivyサプライチェーン攻撃、WordPress 119件
- 4/1(水): CVE 200件 — Veeam RCE 9.9×2件、Citrix NetScaler CISA KEV、BUFFALO 9.8×3件
- 4/2(木): CVE 200件 — WordPressプラグイン2024年公開CVEメタデータ一斉更新、Next.js PPR DoS
- 4/3(金): CVE 200件 — Apple 2024年公開CVEメタデータ一斉更新、悪用確認済み3件含む
まとめ・来週の注目ポイント
今週はエンタープライズ向けバックアップ・ネットワーク基盤に深刻な脆弱性が集中した週でした。Veeam Backup & ReplicationのRCE(CVSS 9.9)、Citrix NetScalerのCISA KEV追加、FortiClientEMSの未認証SQLiは、いずれも組織のインフラに直結する問題です。AIエージェントツールOpenClawへの20件の集中公開は、AIツールのセキュリティリスクが顕在化した事例として今後のトレンドを示唆しています。
来週はApple・WordPress関連の後続メタデータ更新が継続する可能性があります。また、Trivyのサプライチェーン攻撃を受けて、OSSセキュリティツールのサプライチェーン整合性に関する追加情報が公開される可能性があります。CISA KEVに追加された3件(Adobe Commerce、Citrix NetScaler、F5 BIG-IP)は、未対応の場合は速やかなパッチ適用を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。