今週は合計1,510件のCVEが公開・更新され、うちCriticalが131件、Highが310件を占めました。水曜に報告されたAzure Cloud ShellのSSRF(CVSS 10.0)が今週最高スコアの脆弱性です。火曜にはFirefoxのIPCサンドボックスエスケープ(CVSS 10.0)が実際の悪用確認済みとして大規模バッチ更新されました。
月曜にはWebフレームワークDjangoに5件、ビルドツールViteに3件のセキュリティ修正がリリースされ、週を通じて繰り返し報告されました。火曜にはChrome安定版が22件一括修正(Critical 1件含む)、CPython・GoにもCritical級が報告されています。木曜には三菱電機MELSEC PLCにCVSS 9.8のRCE 5件が集中し、ICS環境への注意喚起がなされました。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 67 | 200 | 843 | 200 | 200 | 1,510件 |
| Critical | 13 | 46 | 37 | 33 | 2 | 131件 |
| High | 34 | 110 | 96 | 64 | 6 | 310件 |
注目脆弱性 TOP5
CVE-2026-32169 — Azure Cloud Shell SSRF(CVSS 10.0)
- CVSSスコア: 10.0 (Critical)
- 影響: Azure Cloud Shell
- 掲載日: 4/15(水)
- 要約: Azure Cloud Shellにサーバーサイドリクエストフォージェリ(SSRF)の脆弱性が発見されました。認証なしでネットワーク経由の特権昇格が可能です。CWE-918に分類されています。Microsoftによるサーバーサイド修正が完了しています。
- 対策: Microsoftによるサーバーサイド修正済み(ユーザー側の対応は不要)
CVE-2025-2857 — Firefox IPC サンドボックスエスケープ(CVSS 10.0 / 悪用確認済み)
- CVSSスコア: 10.0 (Critical)
- 影響: Firefox(Windows版のみ)
- 掲載日: 4/14(火)
- 要約: Chromeのサンドボックスエスケープ(CVE-2025-2783)と同様のパターンがFirefoxのIPCコードで発見されました。侵害された子プロセスが親プロセスから意図しない強力なハンドルを取得し、サンドボックスを脱出できます。実際に悪用が確認されています。CWE-668に分類されています。
- 対策: Firefox 136.0.4 / ESR 128.8.1 / ESR 115.21.1へアップデート
CVE-2026-5902 — Chrome 安定版 Critical 脆弱性(22件一括修正)
- CVSSスコア: Critical(GHSA評価)
- 影響: Google Chrome(デスクトップ版)
- 掲載日: 4/14(火)
- 要約: Chrome安定版のセキュリティアップデートで22件の脆弱性が修正されました。CVE-2026-5902がCritical、CVE-2026-5904・CVE-2026-5877・CVE-2026-5913の3件がHighに分類されています。ブラウザ利用者全般に影響する重要なアップデートです。
- 対策: Chrome最新版へアップデート
CVE-2024-0802 ほか — 三菱電機 MELSEC-Q/L シリーズ CPU RCE(CVSS 9.8)x5件
- CVSSスコア: 9.8 (Critical) x 5件
- 影響: MELSEC-Qシリーズ・MELSEC-Lシリーズ CPUモジュール
- 掲載日: 4/16(木)
- 要約: 三菱電機MELSEC-Q/Lシリーズの CPUモジュールに、リモートから認証なしで任意コード実行が可能な脆弱性が5件報告されています。ポインタスケーリングの不備(CWE-468)と整数オーバーフロー(CWE-190)が原因です。CISA ICS-CERTからもアドバイザリが発行されています。対象CVEはCVE-2024-0802, CVE-2024-0803, CVE-2024-1915, CVE-2024-1916, CVE-2024-1917です。
- 対策: 三菱電機アドバイザリ参照、ファームウェア更新
CVE-2026-3902 / CVE-2026-33034 — Django 5件セキュリティリリース
- CVSSスコア: 7.5 (High) x 2件ほか計5件
- 影響: Django 4.2 / 5.2 / 6.0 シリーズ
- 掲載日: 4/13(月)〜4/17(金)繰り返し報告
- 要約: DjangoにASGIヘッダー偽装(CVE-2026-3902, CVSS 7.5)、Content-Length未検証DoS(CVE-2026-33034, CVSS 7.5)を含む5件のセキュリティ修正がリリースされました。ASGI環境(Daphne / Uvicorn等)で運用している場合は優先度が高く、WSGI環境はヘッダー偽装/DoSの影響を受けません。週を通じて月・水・金の3日間にわたり各ソースから報告が繰り返されました。
- 対策: Django 6.0.4 / 5.2.13 / 4.2.30へアップデート
週間トレンド分析
エコシステム別の傾向
今週はnpmエコシステムの脆弱性が週合計17件と最多です。Next.js(Server Components DoS、PPR DoS)、Vite開発サーバーのファイル読み取り3件が月・水・金と繰り返し報告され、NestJS SSEインジェクション、Astroリモート許可リストバイパスと、フロントエンド/Node.js関連が中心でした。simple-gitのRCE(CVSS 9.8)も水曜に報告され、過去のCVE修正をバイパスする深刻なものです。
PyPIではDjango 5件が週を通じて繰り返し報告されています。火曜にはexcel-mcp-serverのパストラバーサル(Critical)も報告され、MCPツール系の脆弱性が前週に引き続き確認されました。
Mavenエコシステムでは火曜にApache Log4j 5件(Moderate)とEclipse Jetty JASPI認証バイパスが報告されました。Go関連ではCVE-2026-27143のCritical級とprotojson無限ループDoSが注目です。
CWE別の傾向
サーバーサイドリクエストフォージェリ(CWE-918)が今週最も深刻なカテゴリとなり、Azure Cloud ShellのCVSS 10.0が筆頭です。サンドボックスエスケープ/不適切なリソース露出(CWE-668)ではFirefoxのIPC脆弱性がCVSS 10.0で悪用確認済みです。
OSコマンドインジェクション(CWE-78)はTotolink A7100RUの11件(CVSS 9.8、月曜)、Chatbox MCPサーバー、simple-gitなどで報告されています。バッファオーバーフロー系(CWE-121/CWE-120)はTenda F451の10件(CVSS 8.8、月曜)や三菱電機MELSEC PLC関連で報告され、ネットワーク機器/ICS領域に集中しています。
認証・認可系(CWE-287/CWE-862/CWE-863)ではVMware EAP認証リレー(CVSS 9.6)、NestJS Fastify認証バイパス(CVSS 9.8)、Spring Security認可バイパス(CVSS 8.2)が報告されました。SQLインジェクション(CWE-89)ではFortiClientEMS(CVSS 9.8, CISA KEV)が注目です。
前週との比較
前週(04/06〜04/10)の873件・Critical 77件と比較すると、総件数は1,510件(約73%増)、Criticalは131件(約70%増)と大幅に増加しました。水曜のNVD 843件更新が大きく寄与しています。CISA KEVへの追加はAdobe Commerce(CVE-2025-54236、継続)とFortiClientEMS(CVE-2026-21643、新規)の2件でした。
前週に続きAI/MLツール系の脆弱性も報告されており、MCPサーバー関連(excel-mcp-server、mcp-ssh)やMetaGPT、Chatbox等で脆弱性が確認されています。ブラウザ関連ではChrome 22件一括修正とFirefox/Thunderbird 185件バッチ更新が大規模で、主要ブラウザの大規模セキュリティアップデートが集中した週でした。
日別ダイジェスト
- 4/13(月): CVE 67件 — Django 5件・Vite 3件のセキュリティリリース、Adobe Commerce CISA KEV継続、Totolink 11件Critical
- 4/14(火): CVE 200件+GHSA 159件 — Chrome Critical含む22件修正、Firefox CVSS 10.0悪用確認済み、CPython・GoCritical
- 4/15(水): CVE 843件 — Azure Cloud Shell CVSS 10.0 SSRF、simple-git RCE 9.8、FortiClientEMS CISA KEV、NestJS Fastify認証バイパス 9.8
- 4/16(木): CVE 200件 — 三菱電機MELSEC PLC RCE 9.8x5件、VMware EAP 9.6、Buildah/Podmanコンテナエスケープ、Spring Security認可バイパス
- 4/17(金): CVE 200件+OSV 7件 — Django ASGI DoS・ヘッダ偽装High 2件、Next.js Server Components DoS 7.5、NVDは1990年代CVE再評価中心
まとめ・来週の注目ポイント
今週はAzure Cloud ShellのSSRF(CVSS 10.0)とFirefox IPCサンドボックスエスケープ(CVSS 10.0、悪用確認済み)の2件がCVSS最高スコアで報告された週でした。Azure Cloud Shellはサーバーサイド修正済みですが、Firefox(Windows版)利用者は即時アップデートが必要です。Chrome安定版も22件一括修正がリリースされており、ブラウザ環境の更新を最優先で進めてください。
ICS/OT領域では三菱電機MELSEC-Q/LシリーズにCVSS 9.8のRCEが5件集中しており、製造業・インフラ管理者はファームウェア更新の確認が必要です。エンタープライズ領域ではFortiClientEMS(CISA KEV)への対応が最優先で、VMware EAPの認証リレーは当該プラグインのアンインストールが推奨されています。
Webフレームワーク関連ではDjango 5件のセキュリティリリースが週を通じて繰り返し報告され、ASGI環境のDoS・ヘッダ偽装は特に影響が大きい修正です。Vite開発サーバーの3件やNext.js Server Components DoSと合わせ、モダンWeb開発スタック全般でのアップデート対応を推奨します。来週はDjango・Vite・Next.jsの修正版適用状況の確認と、simple-git(CVSS 9.8)を依存に含むプロジェクトの棚卸しを進めることを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。