週間概況
2026年6月1日(月)から6月5日(金)は、セキュリティ的に非常に激しい一週間でした。NVDに公開・更新されたCVEは合計1270件(うちICS/SCADA系既存CVE一括更新610件を含む。新規・注目は660件)に達し、Critical 134件・High 338件が報告されました。
最大のトピックは金曜日(6/5)に公開されたCVSS 10.0の脆弱性2件です。Oracle REST Data Services(CVE-2026-46840)とProgress Sitefinity(CVE-2026-7312)はいずれも未認証の遠隔攻撃者がシステムを完全掌握できる最高深刻度の脆弱性です。また、Magento 2向けMirasvit Cache Warmer(CVE-2026-45247)はCISA KEV(既知の悪用された脆弱性カタログ)への登録が確認されており、実際の悪用が報告されています。
火曜日(6/2)はnpmエコシステムで@fastify/expressの認証バイパス(CVSS 9.1)やVitestのCritical脆弱性が集中し、水曜日(6/3)はLinuxカーネルおよびlibxml2での高深刻度脆弱性が多数報告されました。週を通じてnpm・PyPI・Maven・インフラと幅広い層でパッチ対応が求められた週となりました。
週間サマリーテーブル
| 指標 | 月(6/1) | 火(6/2) | 水(6/3) | 木(6/4) | 金(6/5) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 49件 | 200件 | 200件 | 621件※ | 200件 | 1270件※ |
| Critical | 1件 | 26件 | 22件 | 56件† | 29件 | 134件 |
| High | 24件 | 63件 | 77件 | 90件† | 84件 | 338件 |
| Medium | 21件 | 100件 | 61件 | 52件 | 76件 | 310件 |
| Low | 1件 | 11件 | 40件 | 1件 | 7件 | 60件 |
※ 6/4のNVD更新にはICS/SCADA系既存CVEの一括更新610件が含まれます。新規・注目アドバイザリは11件(週合計の新規のみ: 660件)
† 6/4のCritical・High件数にはICS/SCADA系既存CVE更新分(Critical 54件・High 85件)を含みます
注目脆弱性 TOP5
CVE-2026-46840 + CVE-2026-7312 — CVSS 10.0 二連弾(6/5公開)
CVE-2026-46840 — Oracle REST Data Services 認証バイパスによるシステム乗っ取り
- CVSSスコア: 10.0(CRITICAL)
- 影響製品: Oracle REST Data Services 24.2.0〜26.1.0
- 概要: Backend-as-a-Service コンポーネントの認証バイパス脆弱性。未認証の攻撃者がHTTPS経由でシステムを完全掌握できます。機密性・完全性・可用性すべてに影響し、隣接製品へのスコープ変更を含むCVSS 10.0は最高スコアです。
- 対策: Oracle Critical Patch Update(2026年5月)を適用してください。
CVE-2026-7312 — Progress Sitefinity 認証情報の平文露出
- CVSSスコア: 10.0(CRITICAL)
- 影響製品: Sitefinity 14.0.7700〜15.4.8630(複数系列)
- 概要: Sitefinity Insight サービスへの接続認証情報が平文で取得可能。未認証の遠隔攻撃者が悪用できます。Sitefinity Insight との連携が有効かつ非デフォルト設定の場合に成立します。
- 対策: 各系列の最新版(15.4.8630以降)へアップデートしてください。
CVE-2026-45247 — Mirasvit Magento 2 Cache Warmer RCE ※CISA KEV登録(6/5公開)
- CVSSスコア: 9.8(CRITICAL)
- 影響製品: Mirasvit Full Page Cache Warmer for Magento 2 < 1.11.12
- 概要:
CacheWarmerクッキーに格納されたシリアライズ済みPHPオブジェクトが検証なしにunserialize()に渡され、Magento依存ライブラリのガジェットチェーンを介して未認証RCEが可能です。CISA KEVへの登録が確認されており、実際の悪用が報告されています。 - 対策: バージョン 1.11.12 以降へ即時アップデートしてください。Magento 2環境を運用中の場合は最優先で確認が必要です。
CVE-2026-33807 / CVE-2026-33808 — @fastify/express 認証バイパス(6/2公開)
- CVSSスコア: 9.1(CRITICAL)
- 影響製品: @fastify/express v4.0.4 以前
- 概要: CVE-2026-33807はミドルウェアパスの二重プレフィックス問題、CVE-2026-33808はURL正規化の不一致(
//adminや/admin;x等の細工済みURL)により、認証・認可・レート制限などのセキュリティミドルウェアが完全にスキップされます。特別な設定変更なしに未認証アクセスが可能になる点が深刻で、同日に@fastify/reply-fromのプロキシヘッダー削除(CVE-2026-33805、CVSS 8.6)・Vitestの任意ファイル実行(CVE-2026-47429)・DOMPurify XSS(CVE-2026-47423)も重なり、npm利用者への対応が集中した火曜日でした。 - 対策: @fastify/express v4.0.5 以降へアップデートしてください。
CVE-2026-23112 — Linux kernel nvmet-tcp 境界外アクセス(6/3公開)
- CVSSスコア: 9.8(CRITICAL)
- 影響製品: Linux kernel(複数のstableブランチ)
- 概要: nvmet-tcp の
nvmet_tcp_build_pdu_iovec()において、PDUの長さ・オフセットがsg_cntを超えた場合にcmd->req.sgの範囲外にアクセスします。細工されたTCP PDUによりカーネルパニックや境界外書き込みが発生する可能性があります。同日にlibxml2のuse-after-free(CVE-2025-49794、CVSS 9.1)・メモリ破損(CVE-2025-49796、CVSS 9.1)、Azure Managed Cassandra RCE(CVE-2026-33844、CVSS 9.0)、RClone未認証RCE(CVE-2026-41179)、Kopia SSH ProxyCommandインジェクション(CVE-2026-45695)も同時公開されており、インフラ運用チームに対応が集中した水曜日でした。 - 対策: 各ディストリビューションの最新stableカーネルへアップデートしてください。RHEL系はRed Hat Errataを確認してください。
CVE-2026-47323 — Apache Camel メッセージヘッダーインジェクションRCE(6/5公開)
- CVSSスコア: 9.8(CRITICAL)
- 影響製品: Apache Camel 3.18.0〜4.14.5、4.15.0〜4.18.1
- 概要:
camel-cxf-rest、camel-cxf-transport、camel-knative-httpのヘッダーフィルター実装が受信フィルターを未設定のため、HTTPリクエスト経由でCamel内部ヘッダー(CamelExecCommandExecutable等)を注入してRCEが可能です。過去のCVE-2025-27636・CVE-2025-29891 と同系列の問題であり、今回で3度目の発生となります。 - 対策: 4.19.0(推奨)、4.18.2(4.18.x系)、4.14.6(4.14.x系)のいずれかへアップデートしてください。
週間トレンド分析
エコシステム別の傾向
npmエコシステムが今週最も件数が集中しました。火曜日(6/2)は@fastify/express(認証バイパス×2件)・Vitest(任意ファイル実行・XSS)・DOMPurify(XSS)・@fastify/reply-from(プロキシヘッダー削除)と一気に複数の主要パッケージにパッチが出ました。金曜日(6/5)にはreact-router(デシリアライズRCE・XSS・DoS、計3件)・axios(DoS)・browserstack-runner(VMサンドボックスエスケープRCE)と続き、フロントエンド・バックエンド双方を直撃する週となりました。月曜日(6/1)にはNuxt(CVE-2026-47200)のルートミドルウェアバイパスも報告されており、週を通じてnpmエコシステムへの対応が連続しました。
**PyPI(Pythonエコシステム)**ではAI/MLツールへの脆弱性報告が目立ちます。火曜日(6/2)のpraisonai-platform(IDOR・権限昇格)に始まり、木曜日(6/4)のAWS Redshift Pythonドライバ(eval()インジェクションRCE、Critical)、金曜日(6/5)のMLflow(ブラウザ経由RCE、Critical)・Jupyter Enterprise Gateway(KubernetesマニフェストインジェクションRCE、Critical×2件)と、データ分析・AIパイプライン基盤への影響が顕著でした。
**Maven(Javaエコシステム)**では木曜日(6/4)にAzure Key Vault(セキュリティ機能バイパス、Critical)・Apache Thrift(証明書ホスト名検証不備、High)・Apache Camel Infinispan(デシリアライズ、High)、金曜日(6/5)にKeycloak 7件(High 4件・Moderate 3件)・IBM WebSphere Application Server(CVSS 9.0〜9.1 ×3件)が公開されました。Keycloak 26.6.2 への更新で7件一括対応できます。
インフラ・OSレイヤーでは月曜日(6/1)のIoTルーター(Totolink/TRENDnet/Edimax/Tenda)バッファオーバーフロー群(TRENDnet TEW-432BRPはEOL製品のため修正なし)、水曜日(6/3)のLinuxカーネル2件(CVSS 9.8・9.1)とlibxml2の2件(各CVSS 9.1)、金曜日(6/5)のSamba印刷サブシステム(CVSS 9.0)・CloudNativePG PostgreSQL権限昇格(CVSS 9.9)と、幅広い層で高深刻度案件が重なりました。
CWEパターン別の傾向
- CWE-121(スタックバッファオーバーフロー): 月曜日にIoTルーター(Totolink・TRENDnet・Edimax・Tenda)で多発。EOL製品を含み修正対応されないケースも確認されています。
- CWE-416(use-after-free): 水曜日にlibxml2・Linuxカーネル(nf_tables LPE)・Chromeで確認。メモリ安全性の問題が継続しています。
- CWE-502(信頼できないデシリアライゼーション): Magento 2(CISA KEV・CVSS 9.8)・IBM WebSphere・Apache Camel Infinispan・Jupyter Enterprise Gatewayと複数エコシステムで出現し、週を通じたパターンとなりました。
- CWE-436(インタープリテーション競合): @fastify/expressの認証バイパス(CVE-2026-33807/33808)が典型例。フレームワーク間の解釈差を突くパターンは検出が難しく、特に注意が必要です。
- CWE-89(SQLインジェクション): OpenCATS・火〜水のトルコ製業務ソフト一括更新(CVSS 9.8〜10.0)で件数が増加しましたが、日本での直接影響は限定的です。
前週との比較・全体評価
CVSS 10.0が2件同時公開されたことと、CISA KEV登録の実悪用確認済み脆弱性(Magento 2)を含む点で、今週はリスクレベルが特に高い週となりました。npmエコシステムの脆弱性集中(火曜・金曜の二波)は、依存ライブラリの定期的な更新サイクルとセキュリティスキャンの重要性を改めて示しています。また、Apache Camelで同系列の問題が3度目となったことは、ヘッダー処理アーキテクチャ全体の根本的な見直しが必要なことを示唆しています。
日別ダイジェスト
- 6/1(月): CVE 49件 — Totolink N300RH CVSS 9.8ほかIoTルーター脆弱性多数、NuxtミドルウェアバイパスとOpenCATS SQLインジェクションも
- 6/2(火): CVE 200件 — @fastify/express認証バイパス(CVSS 9.1)とVitest Critical 2件が最注目、DOMPurify XSS・Git LFSパストラバーサルも
- 6/3(水): CVE 200件 — Linux kernel CVSS 9.8・libxml2 Critical 2件(各CVSS 9.1)・RClone/Kopiaに未認証RCE・React Router XSS
- 6/4(木): 注目11件 + ICS/SCADA既存更新610件 — AWS Redshift eval()RCE(Critical)とAzure Key Vault Criticalが主役、Docker AuthZバイパスも
- 6/5(金): CVE 200件 — CVSS 10.0×2件・Apache Camel RCE(9.8)・CISA KEV登録Magento RCE(9.8)・Keycloak 7件一括アドバイザリ
まとめ・来週の注目ポイント
今週を振り返ると、CVSS 10.0の脆弱性2件(Oracle REST Data ServicesとProgress Sitefinity)とCISA KEV登録の実悪用済み脆弱性(Magento 2 Cache Warmer)が象徴するように、最高レベルのリスクが集中した週でした。npmエコシステムでは主要パッケージへのパッチが火曜・金曜に集中し、週末を使った対応を迫られたエンジニアも多かったと思います。AI/MLツール(MLflow・Jupyter Enterprise Gateway)へのCritical脆弱性の登場も注目すべき動向で、データサイエンス環境においてもセキュリティ管理の重要性が高まっています。
来週以降の注目ポイントとして3点挙げます。第1に、Apache Camelの繰り返すヘッダーインジェクション問題(CVE-2025-27636 → CVE-2025-29891 → CVE-2026-47323)。同系列が3度目となっており、4.19.0以降への更新と、コンポーネント間のヘッダー伝播設計の見直しが強く推奨されます。第2に、Keycloak 26.6.2 への一括アップデート。7件のアドバイザリ(セッション固定・アクセストークン開示・DoS・オープンリダイレクト等)が一括公開されており、認証基盤として広く使われているため、計画的なアップデートスケジュールの確認を推奨します。第3に、CloudNativePG(CVSS 9.9)。Kubernetes上のPostgreSQLスーパーユーザー権限昇格は、クラウドネイティブ環境を運用するチームにとって重要な案件です。1.29.1 または 1.28.3 以降への更新を早めに計画してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。