今週は合計1,350件のCVEが公開・更新され、うちCriticalが77件、Highが309件を占めました。火曜に報告されたNEC Atermシリーズのパストラバーサル・コマンドインジェクション(CVSS 9.8 × 3件)が今週最も国内影響の大きい脆弱性です。木曜にはRcloneに未認証コマンド実行2件、OpenVPN auth-oauth2に認証バイパスとCritical級が集中しました。
水曜にはAIエージェントツール(OpenClaw、Claude Code、OpenClaude)にサンドボックスエスケープ計7件が報告され、AI開発ツールのセキュリティ課題が改めて浮き彫りになっています。Djangoは火曜・木曜にSQLインジェクション5件を含む12件超の修正が反映されました。Spinnaker CDにはCriticalなRCE 2件が報告され、CI/CD環境への影響が懸念されます。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 19 | 495 | 192 | 588 | 56 | 1,350件 |
| Critical | 1 | 14 | 23 | 34 | 5 | 77件 |
| High | 7 | 73 | 60 | 142 | 27 | 309件 |
注目脆弱性 TOP5
CVE-2026-4619 / CVE-2026-4620 / CVE-2026-4622 — NEC Aterm シリーズ パストラバーサル・コマンドインジェクション(CVSS 9.8 × 3件)
- CVSSスコア: 9.8 (Critical) × 3件
- 影響: NEC Platforms製 Atermシリーズルーター
- 掲載日: 4/21(火)
- 要約: NEC Platforms製のAtermシリーズルーターに、パストラバーサルによる任意ファイル書き込み(CVE-2026-4619)とOSコマンドインジェクション2件(CVE-2026-4620, CVE-2026-4622)が報告されています。いずれもCVSS 9.8で認証なしにリモートから攻撃可能です。国内の家庭・SOHOネットワークで広く利用されているルーターのため、影響範囲が大きい脆弱性です。
- 対策: NECセキュリティ情報を確認しファームウェア更新
CVE-2026-41176 / CVE-2026-41179 — Rclone 未認証コマンド実行(Critical × 2件)
- CVSSスコア: Critical × 2件
- 影響: Rclone(クラウドストレージ同期ツール)
- 掲載日: 4/23(木)
- 要約: Rcloneのリモートコントロール機能(
rclone rcd)において、options/setエンドポイントへの未認証アクセスによるランタイム認証設定の上書き(CVE-2026-41176)と、operations/fsinfoエンドポイントを通じた攻撃者制御バックエンドのインスタンス化によるコマンド実行(CVE-2026-41179)が報告されています。 - 対策: Rclone 1.73.5へアップデート
CVE-2026-41070 — OpenVPN auth-oauth2 認証バイパス(Critical)
- CVSSスコア: Critical
- 影響: openvpn-auth-oauth2(OpenVPN用OAuth2認証プラグイン)
- 掲載日: 4/23(木)
- 要約: OpenVPN用OAuth2認証プラグインに、
client-deny時にFUNC_SUCCESSを返してしまうバグがあり、認証を拒否されたクライアントが未認証でVPNにアクセスできます。VPN認証の根幹に関わる問題のため、該当プラグイン利用者は優先的に対応が必要です。 - 対策: openvpn-auth-oauth2 1.27.3へアップデート
Django セキュリティ修正 — SQLインジェクション5件含む12件超
- CVSSスコア: 9.1 (Critical) 〜 6.5 (Medium)
- 影響: Django 4.2 / 5.2 / 6.0 シリーズ
- 掲載日: 4/21(火)・4/23(木)にわたり報告
- 要約: DjangoにSQLインジェクション5件(FilteredRelationカラムエイリアス経由、RasterFieldバンドインデックス経由、
_connector引数経由等)、ASGIヘッダースプーフィング、Content-Length不正DoS、MultiPartParserのDoSなど12件超のセキュリティ修正がリリースされています。SQLインジェクション系はCritical/High評価で、特にCVE-2026-1287とCVE-2025-64459は深刻度が高い修正です。 - 対策: Django 6.0.4 / 5.2.13 / 4.2.30へアップデート
CVE-2026-32613 / CVE-2026-32604 — Spinnaker CD RCE 2件(Critical)
- CVSSスコア: Critical × 2件
- 影響: Spinnaker(CDパイプラインツール)
- 掲載日: 4/22(水)
- 要約: Spinnakerのechoコンポーネントにおけるexpression parsingの無制限コンテキスト処理(CVE-2026-32613)と、clouddriverのgitrepo artifactにおけるブランチ・パス入力サニタイズ不備(CVE-2026-32604)により、リモートコード実行が可能です。CDパイプラインはデプロイ権限を持つため、RCEの影響は甚大です。
- 対策: Spinnaker 2026.0.1 / 2025.4.2 / 2025.3.2へアップデート
週間トレンド分析
エコシステム別の傾向
今週はnpmエコシステムが週合計63件と最多で、xmldomのXMLインジェクション4件、OpenClaw 5件、NocoBase SQLインジェクション2件、Claude Code・Flowise等のAIツール系が目立ちました。PyPIは52件でDjango関連が突出し、lxmlのXXE(CVE-2026-41066)やApache AirflowのXCom経由RCEも報告されています。
Goエコシステムは37件で、Rclone認証バイパス、OpenVPN auth-oauth2認証バイパス、Tekton Pipeline Git Resolver引数インジェクションとインフラ系ツールの認証・認可問題が集中しました。crates.ioは17件でrust-opensslのメモリ安全性修正4件とnimiq-blockのQuorumバイパスが注目です。RubyGemsではOpenC3 COSMOSにCritical 2件を含む3件が報告されています。
CWE別の傾向
SQLインジェクション(CWE-89)が今週最も件数の多いカテゴリで、Django 5件、Movable Type(CVSS 9.8)、NocoBase 2件、OpenC3 COSMOSと幅広い対象に報告されています。認証・認可バイパス(CWE-287/CWE-862/CWE-863)ではRclone、OpenVPN、KodExplorer 5件が該当し、インフラツールの認証不備が目立ちました。
バッファオーバーフロー系(CWE-121/CWE-120)はNEC Aterm、H3Cルーター、FreeBSD RPCSEC_GSS、rust-openssl 4件で報告されています。サンドボックスエスケープ関連ではClaude Code、OpenClaw、OpenClaudeのAIエージェントツールが新しいトレンドとして浮上しており、前週に続きAI/MLツールの脆弱性が増加傾向にあります。
前週との比較
前週(04/13〜04/17)の1,510件・Critical 131件と比較すると、総件数は1,350件(約11%減)、Criticalは77件(約41%減)と減少傾向です。前週にあったAzure Cloud Shell CVSS 10.0やFirefox悪用確認済みのような最高深刻度の脆弱性は今週報告されていませんが、NEC Aterm CVSS 9.8 × 3件やDjango SQLインジェクションの集中修正など、広く利用されているソフトウェアへの影響が目立った週でした。
前週に続きAI/MLツール系の脆弱性報告が拡大しており、今週はOpenClawに5件、Claude CodeとOpenClaudeにサンドボックスエスケープ、FlowiseにプロンプトインジェクションRCEと計8件以上が報告されています。NVDでは水〜金にかけて2006〜2017年のレガシーCVEの一括再スコアリングが行われ、新規2026年CVEはNVDからは0件でした。
日別ダイジェスト
- 4/20(月): CVE 19件 — Adobe Commerce CVSS 9.1(CISA KEV)、KodExplorer認証不備5件集中公開
- 4/21(火): CVE 495件 — NEC Aterm CVSS 9.8×3件、Movable Type SQLi 9.8、Django 12件修正、Go crypto/x509検証バイパス
- 4/22(水): GHSA 192件 — Spinnaker CD RCE 2件、AIエージェントツール脆弱性7件集中、OpenMage LTS RCE
- 4/23(木): GHSA 588件 — Rclone Critical認証バイパス2件、OpenVPN auth-oauth2認証バイパス、Apache Airflow RCE、lxml XXE
- 4/24(金): GHSA 56件 — xmldom XMLインジェクション4件、rust-openssl メモリ安全性4件、OpenC3 COSMOS Critical 2件
まとめ・来週の注目ポイント
今週はNEC AtermシリーズにCVSS 9.8の脆弱性が3件報告され、国内ネットワーク環境への影響が最も懸念されます。AtermシリーズはSOHO・家庭で広く利用されているため、NECのセキュリティ情報を確認しファームウェア更新を最優先で進めてください。Rclone・OpenVPN auth-oauth2の認証バイパスもインフラセキュリティに直結する問題であり、該当ツールの利用者は即座に修正バージョンへのアップデートを推奨します。
Djangoは週を通じてSQLインジェクション5件を含む大規模な修正が反映されており、Django利用プロジェクトでは最新パッチバージョン(6.0.4 / 5.2.13 / 4.2.30)への更新が必要です。AI開発ツールのサンドボックスエスケープが今週も複数報告されており、AIツールの採用時にはセキュリティアドバイザリの定期確認が重要になっています。来週はxmldom(レガシーパッケージからの移行)、rust-openssl(0.10.78への更新)、Movable Type(MT 9.07)の各修正版の適用状況を確認することを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。