今週は合計847件のCVEが公開・更新され、うちCritical 31件、High 259件と警戒レベルの高い週でした。CVSS 10.0が3件(UniFi Network Application、llama.cpp、WordPress Medcityテーマ)報告されています。Adobe Commerce(CVE-2025-54236)はCISA KEVに登録された実攻撃事例があり、週を通して4日間にわたりスコア更新が続きました。木曜はNVDの2009〜2010年レガシーCVE再評価のみで新規脆弱性の報告はなく、金曜にCritical 15件と急増しています。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 47 | 200 | 200 | 200 | 200 | 847件 |
| Critical | 3 | 4 | 8 | 1 | 15 | 31件 |
| High | 15 | 68 | 62 | 3 | 111 | 259件 |
注目脆弱性 TOP5
CVE-2026-22557 — UniFi Network Application パストラバーサル
Ubiquiti UniFi Network Applicationにパストラバーサル脆弱性。ネットワークアクセスを持つ攻撃者が認証なしにシステムファイルへアクセスし、アカウント操作が可能です。UniFiは企業・教育機関で広く導入されているネットワーク管理ツールであり、影響範囲が大きい脆弱性です。
- CVSSスコア: 10.0(Critical)
- 影響: UniFi Network Application
- 掲載日: 5/1(金)
- 対策: Ubiquiti公式のセキュリティアドバイザリを確認し最新バージョンへアップデート。パッチ提供済み
CVE-2024-42479 — llama.cpp RPC テンソル任意アドレス書き込み
LLM推論ライブラリ llama.cpp の rpc_tensor 構造体で data ポインタが安全に検証されておらず、任意のメモリアドレスへの書き込みが可能です。RPCサーバー機能を利用している場合に影響を受けます。同時にGGUFファイル解析のヒープオーバーフロー5件(CVSS 8.8)もスコア更新されています。
- CVSSスコア: 10.0(Critical)
- 影響: llama.cpp b3561 より前のバージョン
- 掲載日: 4/28(火)
- 対策: b3561 以降へアップデート。パッチ提供済み
CVE-2025-54236 — Adobe Commerce セッションテイクオーバー(CISA KEV)
Adobe Commerce(Magento)に入力検証不備によるセッションテイクオーバー脆弱性。CISA Known Exploited Vulnerabilities(KEV)カタログに登録されており、実際の悪用が確認されています。月曜から金曜まで4日間にわたりスコア更新が続いた、今週を象徴する脆弱性です。
- CVSSスコア: 9.1(Critical)
- 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
- 掲載日: 4/27(月)〜 5/1(金)にかけて連日更新
- 対策: Adobeセキュリティアップデート(APSB25-88)を適用。パッチ提供済み
CVE-2026-32635 — Angular XSS(i18n属性サニタイズバイパス)
Angularのランタイムとコンパイラに、i18n-属性を付与するとビルトインサニタイズが迂回されるXSS脆弱性が存在します。ユーザー入力をバインディングしている場合に悪意あるスクリプトの注入が可能です。Angularは世界で最も利用されるフロントエンドフレームワークの一つであり、影響範囲が広い脆弱性です。
- CVSSスコア: 9.0(Critical)
- 影響: Angular 22.0.0-next.3未満、21.2.4未満、20.3.18未満、19.2.20未満
- 掲載日: 5/1(金)
- 対策: Angular 21.2.4 / 20.3.18 / 19.2.20 以降へアップデート。パッチ提供済み
CVE-2026-3288 — ingress-nginx rewrite-target インジェクション
Kubernetesのingress-nginxで rewrite-target アノテーションを通じたnginx設定インジェクションが可能です。デフォルトインストールではコントローラがクラスタ全体のSecretにアクセスできるため、任意コード実行とSecret漏洩につながります。Kubernetesを本番利用している場合は早急な対応が必要です。
- CVSSスコア: 8.8(High)
- 影響: ingress-nginx(Kubernetes)
- 掲載日: 5/1(金)
- 対策: ingress-nginxを最新バージョンへアップデート。パッチ提供済み
週間トレンド分析
WordPress プラグイン/テーマの脆弱性が突出
火曜・水曜を中心にWordPressプラグイン・テーマ関連のCVEが大量に報告されました。火曜は37件以上、水曜もCritical 7件中ほとんどがWordPress系です。CWE-862(認可の欠如)が火曜日だけで73件、CWE-89(SQLインジェクション)が水曜日に40件と、基本的なセキュリティ対策の不備が目立ちます。Medcityテーマ(CVSS 10.0)やInstaWP Connect・WP Fusion Lite(CVSS 9.9)など、Critical級も複数含まれています。WordPressサイト運営者は不要なプラグイン・テーマの無効化と定期的な更新を徹底してください。
AI/LLMツール関連の脆弱性が続出
月曜にssh-mcp(MCPツール)、SmythOS、coze-studio、Ollamaの4製品、火曜にllama.cpp(CVSS 10.0 + ヒープオーバーフロー5件)と、AI/LLMエコシステムの脆弱性が集中しています。前週のClaude Code・OpenClaw・Flowiseに続き、AIツール関連の脆弱性報告は増加傾向にあります。MCPプロトコルやGGUFファイル解析など、新しい技術スタックに対するセキュリティ検証の重要性が高まっています。
ネットワーク機器・IoTデバイスの脆弱性
月曜にTenda F456(6件)・FH1202(2件)・Totolink A8000RU、金曜にUniFi(CVSS 10.0)・UniFi Play(CVSS 9.8 × 3件)・ASUSTOR NASと、ネットワーク機器・NAS関連の脆弱性が週を通じて報告されています。特にUniFi Network Applicationは企業環境での導入が多く、CVSS 10.0の最高スコアであるため、最優先での対応を推奨します。外部からの管理画面アクセス制限とファームウェアの定期更新が引き続き重要です。
インフラ基盤系の更新
水曜にlibxslt(型混同、CVSS 7.5)とSamba(AD権限昇格、CVSS 7.5)、金曜にingress-nginx(RCE、CVSS 8.8)やCanonical Juju(資格情報漏洩、CVSS 9.9)がスコア更新されており、Linux/Kubernetesインフラの管理者は確認を推奨します。ConnectWise ScreenConnect(パストラバーサル、CVSS 8.4)も水曜にスコア更新されました。
前週との比較
前週(04/20〜04/24)の1,350件・Critical 77件と比較すると、総件数は847件(約37%減)、Criticalは31件(約60%減)と大幅に減少しています。ただし木曜がレガシーCVE再評価のみであったことを考慮すると、実質的な報告日は4日間です。CVSS 10.0が3件報告された点は前週のNEC Aterm CVSS 9.8 × 3件を上回る深刻度であり、件数よりも個別の脆弱性の影響度に注意が必要な週でした。
日別ダイジェスト
- 4/27(月): CVE 47件 — Adobe Commerce CISA KEV追加とAIツール脆弱性4件が注目
- 4/28(火): CVE 200件 — llama.cpp CVSS 10.0の任意書き込み、WordPressプラグイン37件超
- 4/29(水): CVE 200件 — WordPress Critical 7件集中、libxslt・Sambaもスコア更新
- 4/30(木): CVE 200件 — 新規なし、2009〜2010年レガシーCVEのスコア再評価のみ
- 5/1(金): CVE 200件 — UniFi CVSS 10.0含むCritical 15件、Angular XSSほか
まとめ・来週の注目ポイント
今週はCVSS 10.0が3件、CISA KEV追加1件を含むCritical 31件と、個別の深刻度が高い週でした。特にAdobe Commerce(CVE-2025-54236)は実際の悪用が確認されており、Magento利用者は最優先でパッチ適用を完了してください。AI/LLMエコシステムでは llama.cpp をはじめとする複数の製品に深刻な脆弱性が発見されており、MCPツールの導入時にはサプライチェーンリスクの評価が不可欠です。
来週はUniFi Network Application(CVE-2026-22557)のパッチ適用状況のフォローアップに加え、Angular XSS(CVE-2026-32635)の影響確認が重要です。Kubernetesのingress-nginx(CVE-2026-3288)も本番環境では早急な対応が求められます。WordPressプラグインの大量CVEについては、不要なプラグイン・テーマの棚卸しとセキュリティレビューの実施を推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。