週間概況
2026年6月8日(月)から12日(金)は、認証バイパス・RCE系の Critical 脆弱性が複数の主要製品に集中した週となりました。NVD に公開・更新されたCVEは合計826件(うち Critical 91件、High 297件)に達しています。
最大のトピックは木曜日(06/11)に公開された Ivanti Sentry の CVSS 10.0 脆弱性(CVE-2026-10520)です。認証なしでrootレベルのRCEが可能という最高スコアの深刻度で、同日公開の管理者アカウント奪取(CVE-2026-10523、CVSS 9.9)と組み合わせた連鎖攻撃のリスクも指摘されています。水曜日(06/10)からは Fortinet 複数製品のSAML認証バイパスとSSO認証バイパスがCISA KEVへ相次いで追加され、実際の悪用が確認されています。金曜日(06/12)にはLLMワークフローツールの Flowise に CVSS 9.9 のRCEを含む4件の Critical が一度に公開され、AIアプリ基盤のセキュリティが新たな注目テーマとなっています。週を通じて Google Chrome 149 の大規模サンドボックス脱出も継続報告されており、エンドポイントの更新管理の重要性が再確認されました。
週間サマリーテーブル
| 指標 | 月(06/08) | 火(06/09) | 水(06/10) | 木(06/11) | 金(06/12) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 26件 | 200件 | 200件 | 200件 | 200件 | 826件 |
| Critical | 2件 | 30件 | 26件 | 20件 | 13件 | 91件 |
| High | 9件 | 68件 | 59件 | 80件 | 81件 | 297件 |
| Medium | 13件 | 99件 | 91件 | 83件 | 84件 | 370件 |
| Low | 1件 | 1件 | 10件 | 3件 | 10件 | 25件 |
注目脆弱性 TOP5
1. CVE-2026-10520 — Ivanti Sentry OSコマンドインジェクション(CVSS 10.0)
- CVSSスコア: 10.0 (CRITICAL)
- 影響製品: Ivanti Sentry R10.5.2未満 / R10.6.2未満 / R10.7.1未満
- 掲載日: 2026-06-11(木)
- 概要: 認証なしのリモート攻撃者がHTTPリクエスト経由でOSコマンドを実行でき、rootレベルのRCEが可能。同日公開のCVE-2026-10523(CVSS 9.9、任意の管理者アカウント作成)と組み合わせることで、システムの完全制御まで至る連鎖攻撃が成立するリスクがある。
- 修正バージョン: R10.5.2 / R10.6.2 / R10.7.1以降へ即時アップデート
- 参考: Ivanti Security Advisory
2. CVE-2025-59718 / CVE-2026-24858 — Fortinet 複数製品 SAML・SSO認証バイパス(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- 影響製品: FortiOS / FortiProxy / FortiAnalyzer / FortiManager / FortiWeb(各7.0〜7.6系)
- 掲載日: 2026-06-10(水)/ 2026-06-11(木)
- 概要: CVE-2025-59718はSAML署名検証の不備(CWE-347)により未認証でFortiCloud SSOログインが可能。CVE-2026-24858はFortiCloudアカウントを持つ攻撃者が他社デバイスへ不正ログインできる代替パスによる認証バイパス(CWE-288)。いずれもCISA KEV登録済みで実際の悪用が確認されている。Arctic Wolfが不正なSSO経由ログインを観測・報告している。
- 修正対応: Fortiguardアドバイザリを確認し、各製品の最新バージョンへ早急にアップデート
- 参考: FG-IR-25-647 / FG-IR-26-060 / CISA KEV
3. CVE-2026-46442 — Flowise リモートコード実行(NodeVMサンドボックス脱出)(CVSS 9.9)
- CVSSスコア: 9.9 (CRITICAL)
- 影響製品: FlowiseAI Flowise 3.1.2未満
- 掲載日: 2026-06-12(金)
- 概要:
POST /api/v1/node-custom-functionエンドポイントにルートレベルの認可チェックが存在せず、認証済みユーザーまたはAPIキーを持つ攻撃者が任意のJavaScriptをサーバー上で実行可能。E2B_APIKEYが設定されていない一般的な構成ではNodeVMサンドボックスから脱出でき、ホストプロセスへのアクセスによりシステムコマンド実行が可能になる。同日にCVE-2026-46440(認証情報平文保存 CVSS 9.1)・CVE-2026-42861・CVE-2026-46441(マスアサインメント CVSS 9.6)も同時公開された。 - 修正バージョン: Flowise 3.1.2以降へアップデート
- 参考: GHSA-9rvc-vf7m-pgm2
4. Google Chrome 149 — 大規模サンドボックス脱出(週を通じて多数のCritical)
- 最高CVSSスコア: 9.6 (CRITICAL)
- 影響製品: Google Chrome 149.0.7827.103未満(Windows / Mac / Linux / Android)
- 掲載日: 2026-06-08〜06-11(週を通じて継続掲載)
- 概要: 月曜日(06/08)からChrome 149のCVSS 9.6サンドボックス脱出が報告され始め、火曜日(06/09)には15件、木曜日(06/11)には30件以上のCritical/Highが確認された。Use-after-free(UAF)がAutofill / USB / WebShare / Serial / Codecs / Printing / Gampad / Networkなど広範囲のコンポーネントにまたがって多発。レンダラープロセスが侵害された状態でのサンドボックス脱出が主なリスクシナリオ。
- 修正バージョン: Google Chrome 149.0.7827.103以降へアップデート(再起動で自動適用)
- 参考: Chrome Releases Blog
5. CVE-2026-44631 — Apache HTTP Server バッファアンダーライト(CVSS 9.8)
- CVSSスコア: 9.8 (CRITICAL)
- 影響製品: Apache HTTP Server 2.4.0〜2.4.67
- 掲載日: 2026-06-12(金)
- 概要: 設定ファイル内の細工された正規表現によってバッファアンダーライト(CWE-124)が発生する脆弱性。Apache HTTP Serverは世界で最も広く使われているWebサーバーの一つであり、影響範囲が大きい。JVNにも6月9日付でApache HTTP Server 2.4.68リリースとして関連情報が掲載されている。
- 修正バージョン: Apache HTTP Server 2.4.68以降へアップグレード
- 参考: Apache セキュリティページ
週間トレンド分析
認証バイパス系が主要ネットワーク機器に集中
今週の最大のテーマは認証バイパス・認証回避です。Fortinet(CVE-2025-59718 / CVE-2026-24858)、Palo Alto PAN-OS GlobalProtect(CVE-2026-0257)、Check Point VPN(CVE-2026-50751)と、主要なネットワークアプライアンスに認証バイパス系の脆弱性が一斉に集中しました。これら4件はいずれもCISA KEVに登録されており、実際に攻撃に悪用されているか、悪用が差し迫っていることを示しています。企業のセキュリティ境界を担うゲートウェイ製品の脆弱性が実悪用されるケースは、内部ネットワークへの侵入口となるため最優先での対応が求められます。
LLMアプリ基盤へのセキュリティリスク拡大
金曜日(06/12)に Flowise に集中した4件のCriticalは、LLMワークフローエンジンというAIアプリ基盤が攻撃対象として成熟しつつあることを示す事例です。Flowise はノーコードでLLMパイプラインを構築できるOSSツールとして広く利用されており、バックエンドとして公開された状態では特に注意が必要です。同週の水曜日(06/10)にはAIゲートウェイ LiteLLM にもコマンドインジェクション(CVE-2026-42271、CVSS 8.8、CISA KEV登録)が報告されており、AI系ミドルウェアへの攻撃が増加傾向にあります。
エコシステム別の傾向
- PyPI(Django中心): 週を通じてDjangoの脆弱性が継続報告。キャッシュ誤判定による情報漏洩(CVE-2026-8404 / CVE-2026-35193)、SQLインジェクション(CVE-2025-64459ほか)など多岐にわたる。金曜日のOSVでは118件と急増。
- npm: Vitest(CVE-2026-47429、任意ファイル実行)、vm2(CVE-2026-26956、WASMサンドボックス脱出)、launch-editor(CVE-2024-52011、コマンドインジェクション)と開発ツールチェーンへの影響が継続。
- インフラ系: Samba(CVE-2026-4408 / CVE-2026-4480)、OpenSSL(CVE-2025-15467 / CVE-2026-34182)、Perl DBI(CVE-2026-10879 / CVE-2026-9698)など基盤コンポーネントにも要注意な脆弱性が揃った週となった。
CWE別の傾向
今週のCritical/High脆弱性をCWEで分類すると、Use-after-free(CWE-416) がChrome関連で多発し最多、OSコマンドインジェクション(CWE-78) がIvanti / Samba / Termix / LiteLLMで共通パターンとして現れています。認証バイパス(CWE-288 / CWE-347) はFortinet・Check Pointを中心にネットワーク機器で集中し、デシリアライズ(CWE-502) はApache Fury(CVE-2026-50076)のRCEに典型的です。
前週との比較
先週(06/01〜06/05)はCVSS 10.0が2件(Oracle REST Data Services / Progress Sitefinity)含まれる1270件の大規模な週でしたが、今週は826件と件数は減少しました。ただし、今週は実際の悪用が確認されたCISA KEV登録脆弱性が複数あり、CVSS 10.0のIvanti SentryやCVSS 9.9のFlowise RCEを含む点で、実害リスクは引き続き高い水準です。
日別ダイジェスト
- 06/08(月): CVE 26件 — Google Chrome CVSS 9.6サンドボックス脱出2件・Django複数脆弱性
- 06/09(火): CVE 200件 — Chrome 149大規模アップデートでサンドボックス脱出15件、Samba RCE、Apache Fury RCE
- 06/10(水): CVE 200件 — FortinetのSAML認証バイパス(CISA KEV)、Palo Alto PAN-OS認証バイパス
- 06/11(木): CVE 200件 — Ivanti Sentry CVSS 10.0 RCE、Check Point VPN CISA KEV、Chrome 149続報30件超
- 06/12(金): CVE 200件 — Flowise RCE CVSS 9.9、Apache HTTP Server 9.8、Python xml.parsers 9.8
まとめ・来週の注目ポイント
今週は「ネットワーク境界」と「AIアプリ基盤」という2つの攻撃面が同時に激しく揺れた週でした。Ivanti Sentry(CVSS 10.0 / 9.9)は最優先対応として今週中にパッチ適用が強く推奨されます。Fortinet・Check Point・Palo Altoの認証バイパス系はいずれもCISA KEV登録済みであり、「該当バージョンを使用していれば悪用される前提」で対応を進める必要があります。Flowise を LLM ワークフローのバックエンドとして公開している場合は、3.1.2への即時アップデートが必要です。Apache HTTP Server 2.4.67以前を使用している組織は2.4.68へのアップグレードを検討してください。
来週は今週公開されたCISA KEV対象脆弱性のエクスプロイト成熟化に注意が必要です。Fortinet・Check Point・Palo Altoの認証バイパス系は、パッチ未適用の環境を狙った攻撃キャンペーンが活発化する可能性があります。またDjangoの脆弱性は複数のマイナーバージョンにまたがっており、使用バージョンの整理と更新計画の立案を推奨します。Google Chrome 149の大規模アップデートで採番されたCVEは来週以降も追加される可能性があるため、ブラウザ管理ポリシーを持つ組織は展開状況の継続確認が必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC)
AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。