今週(2026年6月15日〜19日)は Critical(CVSS 9.0以上)が週合計 87件に達し、今年最多水準の激しい週となりました。水曜日だけで Critical が 29件と突出しており、MISP・Keycloak・Samba・OpenSSL という基幹インフラへの重大脆弱性が集中公開されました。金曜日には Oracle June 2026 Critical Patch Update と Firefox 152 が重なり、Enterprise 環境向けの対応タスクが週末にかけて積み上がっています。また木曜日に AI/ML ツール(vLLM・Langflow・Crawl4AI)への認証不要 RCE が相次いで公開され、AI インフラのセキュリティが新たな課題として浮上した週でもありました。
週間サマリーテーブル
| 指標 | 月(6/15) | 火(6/16) | 水(6/17) | 木(6/18) | 金(6/19) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 44件 | 200件 | 220件 | 283件 | 約300件 | 約1,047件 |
| Critical | 4件 | 10件 | 29件 | 26件 | 18件 | 87件 |
| High | 30件 | 83件 | 88件 | 96件 | 50件 | 347件 |
| Medium | 6件 | 76件 | 94件 | 152件 | 150件 | 478件 |
| Low | 4件 | 31件 | 4件 | 9件 | 82件 | 130件 |
注目脆弱性 TOP5
1. CVE-2026-10611 / CVE-2026-46389 — CVSS 10.0 の認証バイパス 2件(水曜日)
- CVSSスコア: 10.0(Critical)
- 影響ソフトウェア: MISP(LDAP 混在認証 + OTP 強制構成)/ uds-identity-config 0.11.0〜0.26.0(Keycloak)
- 掲載日: 2026-06-17
今週唯一の CVSS 満点となる Critical 2件が同日公開されました。CVE-2026-10611 は MISP の LDAP 混在認証 + OTP 必須の構成において、セッションが OTP チャレンジの前に確立されてしまうため、有効な第一認証情報を持つ攻撃者が多要素認証をスキップできます。CVE-2026-46389 は Keycloak のクライアント認証バイパスで、client_id を知るだけでどんな client_secret でも OAuth2 トークンを取得できる状態になります。
対策:
- MISP: 修正コミット
39b3cb15を含む最新版へアップデート - uds-identity-config: 0.26.1 以降へアップグレード
2. CVE-2026-35263 / CVE-2026-35268 — Oracle WebLogic / Identity Manager CVSS 9.9(金曜日)
- CVSSスコア: 9.9(Critical)
- 影響ソフトウェア: Oracle WebLogic Server 14.1.2.0.0・15.1.1.0.0 / Oracle Identity Manager 12.2.1.4.0・14.1.2.1.0
- 掲載日: 2026-06-19
Oracle June 2026 Critical Patch Update に含まれる最重要の 2件です。いずれも低権限ユーザーが HTTP 経由でスコープ変更(S:C)を伴うサーバ完全侵害を行える構成で、CVSS ベクトルは AV:N/AC:L/PR:L/UI:N/S:C/C:H/I:H/A:H と非常に高い評価です。Oracle Fusion Middleware を本番環境で稼働させている組織は June 2026 CPU 全体の適用計画を最優先で立ててください。同日の Oracle PeopleSoft(CVE-2026-35278、CVSS 9.8)や Oracle WebCenter Content(CVE-2026-35286、CVSS 9.8)も合わせて確認が必要です。
対策: Oracle June 2026 Critical Patch Update を適用
3. CVE-2026-4480 / CVE-2026-34182 — Samba RCE と OpenSSL CMS 整合性バイパス(水曜日)
- CVSSスコア: Samba 9.0 / OpenSSL 9.1(Critical)
- 影響ソフトウェア: Samba(
print commandで%J使用構成)/ OpenSSL(非 FIPS モジュール) - 掲載日: 2026-06-17
水曜日は Critical 29件という今週最大のボリュームで、Linux/Unix 系インフラへの打撃が集中しました。CVE-2026-4480 は Samba の印刷サブシステムにおけるOSコマンドインジェクションで、認証済みの攻撃者が細工した印刷ジョブ説明文を送ることでリモートコード実行が可能です。同日の CVE-2026-4408(Samba パスワードスクリプト、CVSS 9.0)と合わせて同一パッケージで修正されます。CVE-2026-34182 は OpenSSL の CMS AuthEnvelopedData 整合性バイパスで、AEAD メッセージを非 AEAD モードにすり替えることで MAC 検証をスキップさせられます。TLS 実装や証明書処理を行うすべてのサービスが対象です。
対策:
- Samba: Red Hat RHSA-2026:22644 等のセキュリティアップデートを適用
- OpenSSL: 2026年6月9日付け OpenSSL Security Advisory パッチを適用
4. CVE-2026-49980 / CVE-2026-48746 / CVE-2026-48519 — AI/MLツールへの認証不要 RCE 集中(木曜日)
- CVSSスコア: 推定 9.8(Critical)
- 影響ソフトウェア: Rclone v1.74.3 未満 / vLLM v0.22.0 未満 / Langflow v1.9.2 未満
- 掲載日: 2026-06-18
今週最も注目すべきトレンドが、AI/ML インフラへの脆弱性集中です。CVE-2026-49980 は Rclone の既存修正(CVE-2026-41179)を回避する新たな経路で、rclone rcd --rc-serve を外部公開している場合にパッチ済み環境でも未認証コマンド実行が可能です。CVE-2026-48746 は vLLM の OpenAI 互換 API 認証バイパス、CVE-2026-48519 は Langflow の Shareable Playground での未認証 RCE です。加えて LiteLLM(CVE-2026-49468)や Crawl4AI(CVE-2026-53753)にも同日 Critical が公開されており、AI インフラのネットワーク露出面の見直しが急務です。
対策:
- Rclone: v1.74.3 以降へアップデート
- vLLM: v0.22.0 以降へアップデート
- Langflow: v1.9.2 以降へアップデート
- LiteLLM: v1.84.0 以降 / Crawl4AI: v0.8.7 以降
5. CVE-2026-49875 / CVE-2026-20253 — Apache CXF XXE と Splunk 未認証ファイル操作(火曜日)
- CVSSスコア: 9.8(Critical)
- 影響ソフトウェア: Apache CXF 4.1.6 以前・4.2.1 以前 / Splunk Enterprise 10.2.4 未満・10.0.7 未満
- 掲載日: 2026-06-16
CVE-2026-49875 は Apache CXF の SAXParser が外部エンティティ解決を無効化しないため、OOB XXE によるサーバ側ファイル読み取りや SSRF が可能です。CVE-2026-20253 は Splunk の PostgreSQL サイドカーサービスに認証がなく、ネットワーク到達可能な未認証ユーザーが任意ファイルの作成・切り詰めを行える状態です。同日の CVE-2026-20251(Splunk jsonpickle RCE、CVSS 8.8)と組み合わせると、Splunk 環境への被害が連鎖する可能性があります。
対策:
- Apache CXF: 4.2.2 または 4.1.7 以降へアップグレード
- Splunk Enterprise: 10.2.4 / 10.0.7 以降へアップグレード
週間トレンド分析
エコシステム別の傾向
今週最も顕著なのは npm フロントエンドフレームワークの一斉セキュリティリリースです。Nuxt・Angular・Vite・Astro が月〜金を通じて繰り返しパッチを公開しており、同一パッケージへの複数日跨ぎの対応が求められる状況でした。特に Nuxt は月曜から金曜まで毎日関連する脆弱性が登場し、v3.21.7 / v4.4.7 で XSS・ミドルウェアバイパス・キャッシュポイズニング・SSRF を含む 8件以上の問題をまとめて修正しました。
PyPI は月〜水で合計 277件の Django 関連脆弱性が集中しており、SQL インジェクション・キャッシュ制御・ASGI リクエスト処理の問題が複数バージョンにまたがって修正されています。
AI/ML エコシステム(木曜日)は今週の新たなトレンドです。vLLM・Langflow・LiteLLM・Crawl4AI・n8n に一斉に認証バイパスや RCE が公開されたことは、AI 基盤の攻撃面が急速に広がっていることを示しています。
CWE 別の傾向
- CWE-287(不適切な認証)/ CWE-306(認証欠如): 今週最も多く見られたパターン。MISP・Keycloak・Oracle・Splunk・ActiveMQ Artemis と多様なソフトウェアで認証バイパスが報告されました。
- CWE-78(OSコマンドインジェクション): Samba 2件のほか、D-Link DCS-935L・Devolutions RDM・MSI ルーターなど組み込み・運用ツールにも広く出現。
- CWE-416(Use-After-Free): Linux カーネルで多数。月曜の vgic-its・net/sched、水曜の SMB クライアント・Bluetooth hci_event など連日確認されました。Firefox WebGPU(CVE-2026-12293、CVSS 9.8)もこのカテゴリです。
- XSS(CWE-79): sanitize-html・GitLab EE・Angular・Nuxt・Astro・Svelte と、フロントエンド全域で確認されました。
CISA KEV 掲載
今週は CVE-2026-42897(Microsoft Exchange Server XSS、CVSS 8.1)が CISA の Known Exploited Vulnerabilities Catalog に掲載されており、実際の悪用が確認されています。Exchange 環境は 2026年6月定例 Microsoft Update を最優先で適用してください。
日別ダイジェスト
- 6/15(月): CVE 44件 — Linux カーネル Critical 3件・LiteSpeed の野生悪用確認
- 6/16(火): CVE 200件 — Apache CXF XXE・Splunk 未認証ファイル操作・Angular 一斉修正
- 6/17(水): CVE 220件 — Critical 29件・MISP/Keycloak CVSS 10.0・Samba RCE・OpenSSL CMS
- 6/18(木): GHSA 283件 — AI/MLツール RCE 集中・Rclone パッチバイパス・Nuxt/Astro 多数修正
- 6/19(金): CVE 約300件 — Oracle June 2026 CPU・Firefox 152・FortiSandbox CVSS 9.8
まとめ・来週の注目ポイント
今週は Critical 87件という規模の大きな週でした。最重要対応として、Oracle Fusion Middleware 環境への June 2026 CPU 適用(特に WebLogic と Identity Manager の CVSS 9.9)、Samba と OpenSSL のパッチ適用、そして Firefox / Thunderbird の 152 系への更新が挙げられます。LiteSpeed cPanel プラグイン(CVE-2026-54420)は 5月から野生での悪用が確認されており、共有ホスティング事業者は即座の対応が求められます。
来週は Oracle June 2026 CPU の詳細分析が進み、追加の PoC 公開や実証報告が出てくる可能性があります。また今週 AI/ML ツール全般に認証バイパスが集中したことを受けて、関連 OSS のセキュリティ強化パッチや脆弱性開示がさらに増加する可能性があります。npm フロントエンドフレームワーク(Nuxt・Angular)のアップデートは来週も続く見込みのため、引き続き追随が必要です。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。