今週(5/25〜5/29)のセキュリティ動向は、週合計836件のCVEのうちCriticalが82件、Highが260件と件数・深刻度ともに高密度な週となった。特に金曜(5/29)の golang.org/x/crypto におけるCVSS 10.0のSSH認証バイパス(CVE-2026-46595)と、木曜(5/28)にMicrosoft Azure/M365製品でCVSS 10.0が4件一挙公開された点が本週最大のトピックだ。CISA Known Exploited Vulnerabilities(KEV)カタログには今週だけでLiteSpeed・DAEMON Tools・TanStackの計3件が掲載され、サプライチェーン攻撃が複数の組織を直撃した週でもあった。DjangoのSQLインジェクション・DoS系脆弱性が月曜から金曜まで継続的に更新され、Pythonエコシステム全体への目配りも怠れない週だった。
週間サマリーテーブル
| 指標 | 月(5/25) | 火(5/26) | 水(5/27) | 木(5/28) | 金(5/29) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 71件 | 145件 | 200件 | 220件 | 200件 | 836件 |
| Critical | 4件 | 2件 | 21件 | 31件 | 24件 | 82件 |
| High | 6件 | 7件 | 69件 | 104件 | 74件 | 260件 |
| Medium | 7件 | 31件 | 82件 | 69件 | 74件 | 263件 |
| Low | 1件 | 17件 | 2件 | 11件 | 28件 | 59件 |
注目脆弱性 TOP5
1. Go golang.org/x/crypto SSH認証バイパス(CVE-2026-46595、CVSS 10.0)
- CVSSスコア: 10.0(Critical)
- 影響製品:
golang.org/x/cryptoを使用するGoアプリケーション(SSHサーバ実装) - 掲載日: 2026-05-29
- 対策状況:
golang.org/x/cryptov0.39.0 で修正済み
golang.org/x/crypto のSSHサーバ実装において、公開鍵コールバック以外の認証方式(パスワード認証等)が設定されている場合にソースアドレス制限の検証がスキップされる脆弱性。CVE-2024-45337の修正が不完全だったことに起因し、攻撃者はアドレス制限付きSSHキーを任意のホストから利用できる状態だ。GoでSSHサーバを実装しているすべてのアプリケーションが対象となるため、golang.org/x/crypto を利用しているプロジェクトは早急にv0.39.0以降へのアップデートが必要だ。
2. Microsoft Azure/M365 CVSS 10.0 × 4件(CVE-2026-23652 ほか)
- CVSSスコア: 10.0(Critical)× 4件
- 影響製品: Microsoft Power Pages / Entra ID / Azure Resource Manager / Azure Orbital Spatio
- 掲載日: 2026-05-28
- 対策状況: Microsoftセキュリティ更新プログラムで対応済み
木曜日(5/28)にMicrosoft製品でCVSS 10.0の脆弱性が4件同時公開された。Power Pagesのコマンドインジェクション(CVE-2026-23652)、Entra IDのオリジン検証エラーによる権限昇格(CVE-2026-42901)、Azure Resource Managerの認証不備(CVE-2026-47280)、Azure Orbital Spatioのファイルアップロード制限なしによるRCE(CVE-2026-40412)と、いずれも認証不要・ネットワーク越しの攻撃が成立するパターンだ。Azureを利用している組織はMSRCのアドバイザリを確認し、適用可能なセキュリティ更新プログラムを速やかに適用してほしい。
3. pgAdmin 4 認可バイパス・認証情報漏洩(CVE-2026-7813、CVSS 9.9)
- CVSSスコア: 9.9(Critical)
- 影響製品: pgAdmin 4 v9.15未満(サーバーモード)
- 掲載日: 2026-05-27
- 対策状況: pgAdmin 4 v9.15 で修正済み
pgAdmin 4のサーバーモードにおいて、リクエスト者のIDでフィルタリングされていなかったため、認証済みユーザーがオブジェクトIDを推測するだけで他ユーザーのプライベートサーバー・サーバーグループ・バックグラウンドプロセスにアクセスできた。さらに共有サーバー機能では passexec_cmd・パスファイル・SSLキー等の認証情報漏洩や任意コード実行につながる権限昇格も可能だった。データベース管理ツールとして広く利用されているpgAdmin 4のサーバーモード利用者は v9.15 への即時アップデートを推奨する。
4. KubeVirt クラスタ全体乗っ取り(CVE-2026-7374、CVSS 9.9)
- CVSSスコア: 9.9(Critical)
- 影響製品: KubeVirt(OpenShift環境)
- 掲載日: 2026-05-29
- 対策状況: RHSA-2026:20720〜20782 のパッチで対応済み
virt-handler コンポーネントにおいて、単一ネームスペースの編集権限を持つOpenShiftユーザが、VMコンソールソケットをホストのCRI-Oソケットへのシンボリックリンクに差し替えることで virt-handler の特権接続を乗っ取れる。ホスト上の任意のUnixソケットへのアクセスからクラスタ全体の制御奪取が可能であるため、OpenShift/KubeVirt環境はRed Hatのエラータを確認し、速やかにパッチを適用してほしい。
5. サプライチェーン攻撃 3件:DAEMON Tools・TanStack・fastapi(CISA KEV掲載含む)
- CVSSスコア: DAEMON Tools(CVE-2026-8398): 9.8 Critical、TanStack(CVE-2026-45321): 9.6 Critical、fastapi(MAL-2026-4750)
- 影響: Windows/npmエコシステム利用者、PyPI経由のfastapi利用者
- 掲載日: 2026-05-27(fastapi)、2026-05-29(DAEMON Tools・TanStack)
今週はサプライチェーン攻撃が3件確認され、うち2件はCISA KEVに登録されるほど深刻な事案となった。DAEMON Tools Lite(CVE-2026-8398)は2026年4〜5月配布分が正規の署名証明書のままマルウェア入りで配布された。TanStack(CVE-2026-45321)はGitHub Actions CI/CDの設定ミス・キャッシュポイズニング・OIDCトークン窃取を組み合わせた巧妙な攻撃により、42パッケージ84バージョンが汚染された。fastapi 0.136.3はマルウェアを含む依存パッケージが混入されており、使用中の場合は即時別バージョンへの切り替えが必要だ。
週間トレンド分析
Django脆弱性の継続的な公開
今週最も顕著なトレンドはDjango脆弱性の週を通じた継続的な公開だ。月曜日のCVSS 9.8権限バイパス(CVE-2026-4277)・SQLインジェクション(CVE-2026-1287)を皮切りに、火曜日にはMySQL/MariaDB環境向けCVSS 9.8 SQLインジェクション(CVE-2025-59681)が追加され、OSVでは週合計112件以上のDjango関連エントリが更新された。SQLインジェクション(FilteredRelation・QuerySet・annotate等)、DoS(Content-Length・XML・ASGI等)、権限バイパス(GenericInlineModelAdmin)、ヘッダースプーフィング(ASGIRequest)と脆弱性の種類も多岐にわたる。Django 4.2系・5.2系・6.0系を利用している環境はシリーズの最新版(4.2.30 / 5.2.14 / 6.0.5)への更新が急務だ。
CISA KEV登録の急増とサプライチェーン攻撃
今週はCISA KEVへの登録が3件と集中した。LiteSpeed cPanel Plugin(CVE-2026-48172)は火曜時点で野外悪用が確認され、木曜のNVD更新でCISA KEV掲載が確定した。金曜にはDAEMON ToolsとTanStackのサプライチェーン攻撃が追加登録されており、実際の被害が既に発生中という観点での即時対応が求められる。CI/CDパイプラインの依存関係管理と pip audit・npm audit による定期的な監査の重要性が改めて問われた週だった。
AI/MLプラットフォームへの攻撃拡大
水曜日(5/27)にDifyでパストラバーサルによる内部API不正アクセス(CVE-2026-41948、CVSS 9.4)と認可バイパス(CVE-2026-41947、CVSS 9.1)の2件が同時公開された。Ghost CMS(CVE-2026-26980、CVSS 9.4)の未認証SQLインジェクションも確認されており、Node.js製CMSの利用者も影響を受ける。python-jsonpickle(CVE-2021-47952、CVSS 9.8)は信頼できないデータのデシリアライズによるRCEであり、MLパイプラインで使われるシリアライズライブラリのリスクが顕在化した。金曜(5/29)には、PyPI上のAI/MLパッケージ(imgaug・Horovod・Ludwig・mamba・llm等)への集中報告もあり、AIツールチェーンのセキュリティ管理が一層重要となっている。
エコシステム別の傾向
- PyPI(Django中心): 週を通じてOSVで計200件超の更新。DjangoのSQLインジェクション・DoS系が大半を占める
- Microsoft Azure/M365: 木曜に集中してCVSS 10.0×4件が公開。Azureインフラ全般への影響は広範
- Goエコシステム:
golang.org/x/crypto(SSH、CVSS 10.0)とgolang.org/x/net/idna(CVSS 9.6)の2件が主要リスク - npm(TanStack): サプライチェーン攻撃(42パッケージ汚染)が今週最大のnpmインシデント
- Packagist(PHP): 金曜のSymfony大規模パッチ(5.4.52/6.4.40/7.4.12/8.0.12)が注目。YAMLパーサのReDoS・SQLインジェクション・OIDCトークン不検証等多数
日別ダイジェスト
- 5/25(月): CVE 71件 — wolfSSL ECDSA CVSS 9.1・Django SQLi/権限バイパス Critical 4件が最注目
- 5/26(火): CVE 145件 — Django SQLi CVSS 9.8・LiteSpeed野外悪用確認(CISA KEV)・NEC Aterm JVN公開
- 5/27(水): CVE 200件 — pgAdmin 4 CVSS 9.9・Ghost CMS SQLi・Dify複数・fastapi供給チェーン攻撃
- 5/28(木): CVE 220件 — Microsoft CVSS 10.0×4件・LiteSpeed CISA KEV確定・Go idna・Chrome RCE
- 5/29(金): CVE 200件 — Go SSH CVSS 10.0・KubeVirt 9.9・DAEMON Tools/TanStack サプライチェーン CISA KEV
まとめ・来週の注目ポイント
今週は最高スコアCVSS 10.0の脆弱性が合計5件(Go SSH × 1件、Microsoft Azure/M365 × 4件)という規模の週となった。即時対応が必要な最優先事項は3点:golang.org/x/crypto のv0.39.0以降へのアップデート(Go SSH実装を持つすべてのサービス)、Microsoftセキュリティ更新プログラムの適用(Azure / Entra ID / M365利用者)、そしてCISA KEV掲載3件への対処(LiteSpeed 2.4.7以降・DAEMON Tools侵害確認後に再インストール・TanStack最新版への更新)だ。
Djangoの脆弱性ラッシュは今週で一段落する可能性があるが、パッチ未適用の環境ではSQLインジェクション系(CVE-2025-59681、CVSS 9.8)がリモートから認証なしで悪用できる状態にある。pgAdmin 4(v9.15未満)とGhost CMS(6.19.0以下)も広く利用されるツールへの高スコア脆弱性として引き続き注意が必要だ。来週はSymfony大規模パッチ(PHP)やKubeVirtのアップデート適用状況の確認、そしてCI/CDパイプラインの依存関係監査を週次習慣として組み込むことを推奨する。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。