今週は合計1,989件のCVE/GHSAが公開・更新され、うちCritical 139件、High 540件と非常に高い水準の週でした。cPanel/WHM認証バイパス(CVSS 9.8)、vm2サンドボックスエスケープ5件一斉公開、Spring Boot認可バイパスが特に深刻です。Adobe Commerce(CVE-2025-54236)は先週に引き続きCISA KEVに掲載されており、実悪用が継続しています。さらにPyTorch Lightning・Bitwarden CLI・intercom-clientでサプライチェーン侵害が相次ぎ、依存関係の監査が急務となっています。
| 指標 | 月 | 火 | 水 | 木 | 金 | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 106 | 200 | 200 | 806 | 677 | 1,989件 |
| Critical | 7 | 24 | 30 | 19 | 59 | 139件 |
| High | 69 | 60 | 76 | 84 | 251 | 540件 |
注目脆弱性 TOP5
CVE-2026-41940 — cPanel/WHM 認証バイパス
cPanel/WHMのログインフローに認証バイパスの脆弱性があり、未認証のリモート攻撃者がコントロールパネルに直接アクセス可能です。cPanelは世界中の共用ホスティングで広く使われており、影響範囲は極めて広大です。
- CVSSスコア: 9.8(Critical)
- 影響: cPanel/WHM バージョン11.40以降の全バージョン
- 掲載日: 5/5(火)
- 対策: cPanelセキュリティアップデートを即時適用。パッチ提供済み
CVE-2025-54236 — Adobe Commerce セッション乗っ取り(CISA KEV)
Adobe Commerce(Magento)全バージョンに入力検証不備によるセッション乗っ取りの脆弱性。CISA KEVに登録済みで実悪用が確認されています。先週に引き続き今週も月曜・木曜と複数日にわたり更新が続いており、対応の緊急度が高い状態です。
- CVSSスコア: 9.1(Critical)
- 影響: Adobe Commerce 2.4.9-alpha2、2.4.8-p2、2.4.7-p7、2.4.6-p12、2.4.5-p14、2.4.4-p15 以前
- 掲載日: 5/4(月)、5/5(火)、5/7(木)に更新
- 対策: APSB25-88セキュリティアップデートを適用。パッチ提供済み
CVE-2026-44007 他4件 — vm2 サンドボックスエスケープ(5件一斉公開)
Node.jsのサンドボックスライブラリvm2にCritical 5件が一斉公開されました。ホストオブジェクト経由、Proxy汚染、require.root迂回など複数の攻撃経路でサンドボックスを完全に突破し、ホストOS上で任意コマンド実行が可能です。vm2の根本的な安全性に疑問が生じており、移行の検討が推奨されます。
- 深刻度: Critical(GHSA)× 5件
- 影響: vm2 3.11.1 未満(npm)
- 掲載日: 5/8(金)
- 対策: vm2 3.11.1へアップデート、または vm2からの移行を検討
CVE-2026-40976 — Spring Boot 認可バイパス
Spring Boot Actuatorが有効でHealth Actuatorが無効の構成において、デフォルトのセキュリティフィルタチェーンに認可ルールが適用されない脆弱性です。本来保護されるべきエンドポイントへの未認証アクセスが可能になります。Javaバックエンドで広く使われるSpring Bootの脆弱性であり、影響範囲が大きいです。
- 深刻度: Critical(GHSA)
- 影響: Spring Boot 4.0.5 以前
- 掲載日: 5/7(木)
- 対策: Spring Boot 4.0.6へアップデート。パッチ提供済み
CVE-2026-4670 — MOVEit Automation 認証バイパス
Progress Software MOVEit Automationにおける認証バイパスの脆弱性です。MOVEitは過去にCL0Pランサムウェアグループに標的にされた実績があり、同製品の脆弱性は迅速な対応が求められます。
- CVSSスコア: 9.8(Critical)
- 影響: MOVEit Automation 2025.0.9未満、2024.1.8未満
- 掲載日: 5/5(火)
- 対策: MOVEit Automation 2025.0.9 または 2024.1.8 以降へアップデート。パッチ提供済み
週間トレンド分析
認証バイパス・認証不備の多発
今週最も顕著なトレンドは認証関連の脆弱性の多さです。cPanel/WHM(CWE-306)、MOVEit Automation(CWE-305)、Spring Boot(認可バイパス)、NVIDIA NVFlare(CWE-639)、Apache MINA(デシリアライゼーション経由)と、認証・認可の不備がCriticalの主要因となっています。特にcPanelとMOVEitはインフラ基盤として広く使われているため、影響を受ける環境は多い見込みです。
サプライチェーン侵害の増加
今週はBitwarden CLI(npm、約90分間の侵害)、PyTorch Lightning(PyPI)、intercom-client(npm)/intercom-php(Packagist)と3件のサプライチェーン侵害が報告されました。CI/CDパイプラインや機械学習基盤で広く使われるパッケージが標的になっており、npm auditやpip auditによる定期的な依存関係チェックの重要性が高まっています。
Javaエコシステムへの集中
木曜〜金曜にかけてMaven/Javaエコシステムに脆弱性が集中しました。Spring Boot、Apache MINA(3度目の修正)、Apache Camel、Netty(6件同時)、Apache OpenNLP(2件)と主要ライブラリに連続してCritical/Highが公開されています。特にApache MINAは前回・前々回の修正が不完全で再発を繰り返しており、利用者は最新版への再アップデートが必要です。
Linux kernel脆弱性の継続
月曜を中心にLinux kernelの脆弱性が多数公開されました。ksmbdに境界外書き込みとUse-After-Free(CVSS 9.8×2件)、ip6_tunnelにスタックバッファオーバーフロー(CVSS 9.8)、nvmet-tcpに境界外書き込み(CVSS 9.8)と、ネットワーク関連サブシステムにCriticalが集中しています。
前週との比較
前週(04/27〜05/01)はCritical 31件・High 259件・合計847件に対し、今週はCritical 139件・High 540件・合計1,989件と大幅に増加しています。金曜のGHSA大量更新(677件、Critical 59件)が押し上げ要因ですが、それを除いても週前半だけでCritical 80件と高水準が続いています。
日別ダイジェスト
- 5/4(月): CVE 106件 — Adobe Commerce CISA KEV追加・ksmbd CVSS 9.8×2件が最も深刻
- 5/5(火): CVE 200件 — cPanel認証バイパス・MOVEit再び・Bitwarden供給網攻撃
- 5/6(水): CVE 200件 — Apache HTTP Server 2件のRCE・Jenkins GitHub Plugin XSS
- 5/7(木): CVE 806件 — Spring Boot認可バイパス・Apache MINA再発・ingress-nginx RCE
- 5/8(金): GHSA 677件 — vm2サンドボックスエスケープ5件・PyTorch Lightningサプライチェーン侵害
まとめ・来週の注目ポイント
今週は認証バイパスとサプライチェーン侵害が同時多発した異例の週でした。特にcPanel/WHM・MOVEit Automation・Spring Bootの認証バイパスは影響範囲が広く、未対応の環境では週末中の確認を推奨します。vm2のサンドボックスエスケープ5件一斉公開はnpmエコシステムの依存関係の見直しを促すものであり、npm auditの実施と代替ライブラリへの移行検討が必要です。
来週はApache MINA の修正が安定するかどうか(3度目の修正でも不完全の可能性)、Adobe Commerceの実悪用の拡大状況、そしてNetty 6件の脆弱性修正に伴うJavaエコシステムへの影響が注目ポイントです。Gotenberg(CVE-2026-42589)は修正版が未リリースのため、引き続きアクセス制限による緩和が必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。