今週(5/18〜5/22)のセキュリティ動向は、週合計1,154件のCVEのうちCriticalが129件、Highが337件と、前半こそ比較的落ち着いていたものの週後半に向けて急増した激動の週となった。Azure Local(CVSS 10.0)やAxios(CVSS 9.9)のような影響範囲の広い脆弱性が確認されたほか、Next.jsへの11件集中公開、Linux kernelへの連日CVSS 9.8超の脆弱性と、インフラ・開発基盤の両面での対応が求められた。AI/MLツール(Ollama for Windows、Langflow、PyTorch Lightning)への脆弱性も相次いで報告され、MLパイプラインのセキュリティ管理が改めて問われる週でもあった。金曜日の単日489件は週最大の件数であり、対応優先度の判断に集中力を要する週となった。
週間サマリーテーブル
| 指標 | 月(5/18) | 火(5/19) | 水(5/20) | 木(5/21) | 金(5/22) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 65件 | 200件 | 200件 | 200件 | 489件 | 1,154件 |
| Critical | 4件 | 18件 | 24件 | 34件 | 49件 | 129件 |
| High | 34件 | 79件 | 59件 | 94件 | 71件 | 337件 |
| Medium | 20件 | 81件 | 58件 | 69件 | 72件 | 300件 |
| Low | 7件 | 9件 | 12件 | 2件 | 5件 | 35件 |
注目脆弱性 TOP5
1. Azure Local 認証不備による権限昇格(CVE-2026-42822、CVSS 10.0)
- CVSSスコア: 10.0(Critical)
- CWE: CWE-287(不適切な認証)
- 影響製品: Azure Local Disconnected Operations
- 掲載日: 2026-05-22
- 対策状況: MicrosoftよりMSRCパッチ提供済み
Azure LocalのDisconnected Operationsコンポーネントに認証の不備が見つかり、認証されていない攻撃者がネットワーク経由で特権昇格を行える状態が確認された。今週のデータ全体で最も高いCVSSスコア10.0であり、Azure Localを利用している環境はMSRCの情報を確認し、速やかにパッチを適用することが強く推奨される。
2. Axios NO_PROXYバイパスによるSSRF(CVE-2025-62718、CVSS 9.9)
- CVSSスコア: 9.9(Critical)
- CWE: CWE-441(意図しないプロキシ転送)、CWE-918(SSRF)
- 影響製品: axios < 1.15.0 / axios < 0.31.0
- 掲載日: 2026-05-22
- 対策状況: axios 1.15.0 / 0.31.0 で修正済み
Node.js向けHTTPクライアント「Axios」において、NO_PROXY設定の評価に不備があり、localhost.(末尾ドット付き)や[::1](IPv6リテラル)といった特殊な形式でループバックアドレスを指定するとNO_PROXYマッチングをスキップしてしまう問題。Node.jsやフロントエンドで広く利用されているライブラリのため、影響範囲は非常に広く、SSRFによるクラウドメタデータエンドポイントへのアクセス等のリスクがある。axios@1.15.0以降へのアップデートを推奨する。
3. Next.js 11件集中公開(CVE-2026-44578 ほか、CVSS 最大8.6)
- CVSSスコア: 最大 8.6(High)
- 影響製品: Next.js 15.x / 16.x(自己ホスト環境)
- 掲載日: 2026-05-18〜05-19
- 対策状況: v15.5.18 / v16.2.6 で修正済み(一部 v15.5.16 で不完全)
月曜日(5/18)にNext.js 15.x / 16.xへ計11件の脆弱性が集中公開された。SSRFによる内部サービスアクセス(CVE-2026-44578、CVSS 8.6)、動的ルートパラメータインジェクションによる認証バイパス(CVE-2026-44574、CVSS 8.1)、i18n Pages RouterおよびApp Routerの認証バイパス複数件、そしてCVE-2026-45109(Turbopack使用時の不完全修正)が特に注意を要する。CVE-2026-45109はv15.5.16での修正が不完全なため、v15.5.18 / v16.2.6への更新が必須。Vercelホスト環境は一部CVEの影響を受けない。
4. Linux kernel 複数CVSS 9.8脆弱性(CVE-2026-31718 ほか)
- CVSSスコア: 9.8(Critical)× 複数
- 影響製品: Linux kernel(複数バージョン・複数コンポーネント)
- 掲載日: 2026-05-18〜05-22(毎日確認)
- 対策状況: 各stableブランチにパッチ提供済み
今週は月曜から金曜まで毎日Linux kernelへのCVSS 9.8超の脆弱性が報告され続けた。月曜のksmbd Use-After-Free(CVE-2026-31718)を皮切りに、木曜のNFSv4.0 LOCKリプレイキャッシュのヒープオーバーフロー(CVE-2026-31402)、DVB-netのOOBアクセス(CVE-2026-31405)、金曜のkthread use-after-free(CVE-2026-43402)、さらにSMBクライアントのOOB読み取り(CVE-2026-31709)なども同週に集中した。NFSサーバー、ksmbd有効環境、Linuxサーバー全般での早急なカーネル更新が求められる。
5. GotenbergのOSコマンドインジェクション+SSRF(CVE-2026-42589、CVSS 9.8)
- CVSSスコア: 9.8(Critical)+ 9.4(Critical)
- 影響製品: Gotenberg 8.31.0 未満
- 掲載日: 2026-05-19
- 対策状況: Gotenberg v8.31.0 で両件修正済み
DockerベースのPDF変換API「Gotenberg」に、JSONキーからのOSコマンドインジェクション(CVE-2026-42589)とdeny-listバイパスによるSSRF(CVE-2026-42596)の2件が同時公開された。前者は認証なしの単一HTTPリクエストで任意コード実行が成立し、後者と組み合わせれば内部ネットワークへのアクセスも可能となる。HTTP 200正常レスポンスが返るため検知が困難なケースもある。PDF処理を自動化している環境での確認と、v8.31.0へのアップデートが急務。
週間トレンド分析
エコシステム別の傾向
今週はnpmとPyPIの両エコシステムで高頻度の脆弱性が確認された。npm系ではNext.js(11件)が最大のクラスターを形成し、simple-git(CVE-2026-6951、CVSS 9.8)、Axios(CVE-2025-62718、CVSS 9.9)、Svelteの複数XSSも報告された。PyPI系ではDjangoに計8件(水〜木)の脆弱性が集中し、HuggingFace Diffusers(CVE-2026-44513/44827、CVSS 8.8)、PyTorch Lightning(CVE-2026-44484、CVSS 9.8)とMLツール系のリスクが顕在化した。金曜のGHSA更新ではNuGet(336件)が最多の更新件数を記録しており、.NETエコシステムのアドバイザリ整備も大規模に進行中と見られる。
CWE別の傾向
今週のCritical/High脆弱性に多く見られたCWEは以下の通り:
- CWE-78(OSコマンドインジェクション): Gotenberg(CVE-2026-42589)、Rclone(CVE-2026-41179)
- CWE-416(Use-After-Free): Linux ksmbd(CVE-2026-31718)、kthread(CVE-2026-43402)
- CWE-306(認証欠如): Langflow(CVE-2026-33017)、Rclone(CVE-2026-41179)、GitBucket(CVE-2018-25332)
- CWE-787(OOB Write): Linux NFSv4.0(CVE-2026-31402)、GV-VMS(CVE-2026-42369)
- CWE-918(SSRF): Axios(CVE-2025-62718)、Gotenberg(CVE-2026-42596)、Next.js(CVE-2026-44578)
特に「認証欠如(CWE-306)」+「OSコマンドインジェクション(CWE-78)」の組み合わせが今週の主要リスクパターンとなった。外部に公開されたAPIエンドポイントを持つセルフホストサービスは、認証設定の再確認を推奨する。
AI/MLツールへのリスク急増
今週は特にAI/MLツールチェーンへの脆弱性が目立った。Ollama for Windows(CVE-2026-42248/42249、CVSS 9.8)の署名検証なし自動更新によるRCE、HuggingFace Diffusers(CVE-2026-44513/44827、CVSS 8.8)のtrust_remote_code=Falseバイパス、Langflow(CVE-2026-33017、CVSS 9.8)の未認証RCE、そしてPyTorch Lightning(CVE-2026-44484、CVSS 9.8)のサプライチェーン問題と、AI開発に欠かせないツール群の全体的なセキュリティリスクが顕在化した。社内でMLパイプラインを運用しているチームは、依存ツールのバージョン管理と定期的なセキュリティ確認を推奨する。
前週との比較・件数増加傾向
月曜65件から金曜489件へと、週を通じてCVE件数が大幅に増加した。Criticalも4件→49件と12倍強に拡大しており、週後半への集中傾向が顕著だった。ブラウザ系では水曜日(5/20)にFirefox(CVE-2026-8401、CVSS 9.8)とChrome(CVE-2026-8511、CVSS 9.6)の大型セキュリティパッチが同日公開されており、エンドユーザー端末への影響範囲が特に広かった日となった。
日別ダイジェスト
- 5/18(月): CVE 65件 — Next.js 11件集中・Linux kernel ksmbd CVSS 9.8が最注目
- 5/19(火): CVE 200件 — Gotenberg CVSS 9.8、PostgreSQL 4件High、Sentry SAML SSO CVSS 9.1
- 5/20(水): CVE 200件 — Firefox/Chrome大型更新、simple-git・Ollama・Ruby Net::IMAP 各CVSS 9.8
- 5/21(木): CVE 200件 — Rclone認証なしRCE CVSS 9.8、Linux kernel複数Critical、Kubernetes ingress-nginx High
- 5/22(金): CVE 489件 — Azure Local CVSS 10.0、Axios SSRF CVSS 9.9、Langflow未認証RCE CVSS 9.8
まとめ・来週の注目ポイント
今週は件数・深刻度ともに重厚な週となった。即時対応が必要な最優先事項は3点:Azure Local(CVSS 10.0)とAxios(CVSS 9.9)への早急なパッチ適用・バージョン更新、Next.js v15.5.18/v16.2.6への更新(CVE-2026-45109の不完全修正問題を含む)、そしてAI/MLツールチェーンの点検(Ollama自動更新の無効化、Langflow・PyTorch Lightning 2.6.2の影響確認)だ。
Linux kernelへの連続したCVSS 9.8超脆弱性は今後も続く可能性が高く、ディストリビューションの定期セキュリティアップデートの継続が引き続き重要だ。Djangoへの複数CVE集中(水〜木で計8件)は本週で一段落した可能性があるが、4.2.x/5.2.x/6.0.xいずれかを使用しているチームは最新版(4.2.30 / 5.2.14 / 6.0.5)への更新を推奨する。また、pgx(Go)のSQLインジェクション(CVE-2026-41889)はシンプルプロトコル使用時のみ影響するため、Go製バックエンドのDB接続設定も確認しておきたい。来週もGHSAの大規模アドバイザリ更新が予想されるため、週後半の金曜〜土曜にかけての集中確認体制が有効だ。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。