今週(6/22〜6/26)は5日間でCVE約652件が公開・更新され、Critical(CVSS 9.0以上)が計79件と非常に多い週となりました。なかでもCVSS 10.0満点の脆弱性が計5件(UniFi OS 3件・JetBrains Hub 1件・ProxySQL 1件、さらに週末のSamba)確認され、CISA Known Exploited Vulnerabilities(KEV)カタログへの掲載とMiraiボット亜種による実悪用まで確認された週です。ネットワーク機器・認証基盤・セルフホスト型ツール全域にわたる広範な影響が特徴で、対応の優先度付けが例年より難しい週となりました。
今週最も急いで対応すべきは UniFi OSの三連CVSS 10.0(CVE-2026-34908/34909/34910)です。認証不要のコマンドインジェクション・パストラバーサル・不適切なアクセス制御の3件がCISA KEVカタログに掲載済みで、Miraiボット亜種による実際の悪用が木曜時点(6/25)で報告されています。
週間サマリーテーブル
| 指標 | 月(6/22) | 火(6/23) | 水(6/24) | 木(6/25) | 金(6/26) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 74 | 200 | 68 | 220 | 約90 | 約652件 |
| Critical (9.0+) | 5 | 29 | 10 | 27 | 8 | 79件 |
| High (7.0-8.9) | 23 | 70 | 22 | 102 | 46 | 263件 |
| Medium (4.0-6.9) | 38 | 68 | 32 | 75 | 27 | 240件 |
| Low (0.1-3.9) | 3 | 1 | 4 | 16 | 9 | 33件 |
最多日は火曜(6/23)の200件・Critical 29件と木曜(6/25)の220件・Critical 27件。両日ともCVSS 10.0を含む管理系・インフラ系への集中的な脆弱性公開が見られました。
注目脆弱性 TOP5
1. UniFi OS — CVSS 10.0 三連脆弱性(CISA KEV掲載・Mirai実悪用確認)
- CVE: CVE-2026-34908 / CVE-2026-34909 / CVE-2026-34910
- CVSSスコア: 10.0 (CRITICAL) × 3件
- 影響ソフトウェア: Ubiquiti UniFi OS デバイス全般
- 掲載日: 2026-06-25
コマンドインジェクション(CVE-2026-34910)・パストラバーサル(CVE-2026-34909)・不適切なアクセス制御(CVE-2026-34908)の3件がCVSS満点。いずれも認証不要でネットワーク経由から攻撃可能で、CISAのKEVカタログに掲載済みです。Miraiボット亜種による実際の悪用が報告されており、ネットワーク内にUniFiデバイスを保有する組織は最優先での対応が必要です。コマンドインジェクション(CVE-2026-34910)はネットワーク越しに任意コマンドが実行可能、パストラバーサル(CVE-2026-34909)は任意ファイルへのアクセス・操作と内部アカウントへの不正アクセスにつながります。
対策: Ubiquitiのセキュリティアドバイザリを確認し最新ファームウェアへの更新を今週中に実施。インターネット側へのUniFi管理インターフェース公開は即時閉鎖を検討すること。
2. JetBrains Hub — CVSS 10.0 / 9.9 / 9.8 Critical 3件(同日公開)
- CVE: CVE-2026-50242 / CVE-2026-56142 / CVE-2026-56141(※CVE-2026-56141はdailySummaryData未収録)
- CVSSスコア: 10.0 / 9.9(CRITICAL)
- 影響ソフトウェア: JetBrains Hub 2026.1.13757未満 / 各2025.x系旧バージョン
- 掲載日: 2026-06-23
CVE-2026-50242(CVSS 10.0)はデータベースへの直接アクセスを経由して認証プロセスを完全スキップし管理者権限を取得できる脆弱性で、ネットワーク経由・ユーザー操作不要で攻撃可能です。同日にCVE-2026-56142(認証詳細を既存アカウントへ紐付けることによる権限昇格、CVSS 9.9)も公開されました。JetBrains Hubはチーム開発向けの認証基盤として広く利用されており、対応遅延はシステム全体への影響に直結します。
対策: 2026.1.13757 / 各2025.x系最新パッチへ即時アップデート。3件まとめて同一パッチで修正済み。
3. Samba WINS hook — CVSS 10.0 OSコマンドインジェクション
- CVE: CVE-2025-10230
- CVSSスコア: 10.0 (CRITICAL)
- 影響ソフトウェア: Samba Active Directory Domain Controller
- 掲載日: 2026-06-26
SambaのWINSフックハンドリングで、NetBIOS名を検証・エスケープせずシェルコマンドに渡す欠陥があります。WINS登録パケットに細工したNetBIOS名を含めるだけで、Sambaプロセス権限でのリモートコード実行が認証不要で実現可能です。インターネットに公開したSamba ADドメインコントローラーを組織の認証基盤として運用している場合は緊急対応が必要です。週末(金曜)公開のため見落としやすいですが、CVSS満点の深刻度を踏まえ早急な確認を推奨します。
対策: Red Hat提供パッチ(RHSA/RHBA系)を確認し適用。Samba公式セキュリティリリースも参照する。
4. ProxySQL — CVSS 10.0 PROXY protocol ACLバイパス
- CVE: CVE-2026-48772
- CVSSスコア: 10.0 (CRITICAL)
- 影響ソフトウェア: ProxySQL 2.0.0〜3.0.8
- 掲載日: 2026-06-23
PROXY protocol v1 の UNKNOWN トークン後のアドレスフィールドを誤パースするため、フロントエンドポートに到達できる任意のTCPクライアントが送信元IPを偽装したPROXYフレームを送ることでACL・クエリルール・RWスプリッティングをすべてバイパスできます。デフォルト設定(mysql-proxy_protocol_networks = '*')の環境が広く影響を受けるため、MariaDB/MySQLのプロキシ層としてProxySQLを利用している場合は即時確認が必要です。
対策: ProxySQL 3.0.9へアップデート。
5. Gogs v0.14.3 — RCEを含む19件大型パッチ
- CVE: CVE-2026-52813 / CVE-2026-52806 / CVE-2026-52811 ほか合計19件
- CVSSスコア: Critical × 3件 / High × 9件 / Medium以下 × 7件
- 影響ソフトウェア: Gogs v0.14.3未満
- 掲載日: 2026-06-24
組織名パストラバーサルによるGitフック配置先操作からのRCE(CVE-2026-52813)、PRマージ中のgit rebase --execへの引数インジェクションによるRCE(CVE-2026-52806)、シンボリックリンクを悪用したリポジトリ外ファイル書き込み(CVE-2026-52811)の3件のRCEを含む19件が、2026年6月23日リリースのv0.14.3で一括修正されました。CSRF・XSS・SSRF・DoSと攻撃ベクターも多岐にわたります。Gogsをセルフホストで運用している場合は早急なアップデートが必要です。
対策: Gogs v0.14.3以降へ即時アップデート。
週間トレンド分析
認証基盤・管理系への集中(今週最大の特徴)
今週最も目立ったのは認証基盤・管理系ソフトウェアへのCritical脆弱性の集中です。JetBrains Hub(認証バイパス・権限昇格)、ProxySQL(ACLバイパス)、OpenDJ(認証前Java Deserialization RCE)、FreeIPA(ホスト→ドメイン権限昇格)、motionEye(パスワードハッシュによる認証バイパス)と、組織の認証インフラ全体が影響を受けています。認証基盤への影響は他システム全体への波及防止という観点でも対応優先度が最高レベルになります。
セルフホスト型ツールの大型パッチラッシュ(水曜集中)
Gogs(19件)、Budibase(7件)、Glances(4件)、OpenAM(4件)、motionEye(3件)と、セルフホスト型ツールへの大型修正が水曜(6/24)を中心に集中しました。「内部向けだから緊急度が低い」と判断しがちですが、RCEやファイル読み取りを含むCriticalが多数含まれており、内部ネットワーク全体への影響リスクがあります。
npm フロントエンドフレームワークの継続的な修正
Nuxt(月・火・木・金の4日)、Astro(月・火の2日)、Vite(月・火の2日)、Angular(月・火の2日)と、フロントエンドフレームワークへの修正が今週は特に多くなりました。Nuxtは XSS・ミドルウェアバイパス・情報漏洩・オープンリダイレクトと多岐にわたる修正が複数日でリリースされており、3.21.7/4.4.7への更新を最優先にすべき状況が継続しています。
CISA KEV掲載と実悪用の同時確認
UniFi OS三連脆弱性のCISA KEV掲載+Mirai実悪用確認は、今週最も緊急性が高いシグナルです。IoT・ネットワーク機器のファームウェアは後回しにされがちですが、今週のケースはボットネット化のリスクが現実として顕在化しています。パッチ管理の対象にネットワーク機器を明示的に含める体制の見直しを推奨します。
Linuxシステムライブラリへの広範な更新
rsync・libxml2・libsoup・Samba・libssh・libexpat(10件)と、Linuxシステムの基盤ライブラリへの脆弱性更新が多数公開されました。特にrsync(CVE-2024-12084、CVSS 9.8)、libxml2(CVE-2025-49794、CVSS 9.1)、libsoup(CVE-2025-32911、CVSS 9.0)は深刻度が高く、Red Hat系ではRHSAアドバイザリでの一括対応が可能です。
日別ダイジェスト
- 6/22(月): CVE 74件 — Crawl4AI認証バイパス(CVSS9.8)・SiYuan Bazaar RCE(CVSS9.6)・Perl GD OSコマンドインジェクション・Nuxt/Astro複数
- 6/23(火): CVE 200件 — JetBrains Hub CVSS10.0・ProxySQL CVSS10.0・Spring Framework SpEL/デシリアライズ複数・Cisco ISE CVSS9.1
- 6/24(水): アドバイザリ68件 — Gogs v0.14.3大型パッチ(RCE含む19件)・OpenDJ Pre-Auth RCE・motionEye認証バイパス・Budibase複数
- 6/25(木): CVE 220件 — UniFi OS CVSS10.0三連(CISA KEV掲載・Mirai悪用確認)・Linux kernel CVSS9.8・Chrome サンドボックス脱出・F5 BIG-IP
- 6/26(金): CVE 約90件 — Samba CVSS10.0 RCE・rsync CVSS9.8・Undertow CVSS9.6・libxml2/libsoup Critical複数・FreeIPA権限昇格
まとめ・来週の注目ポイント
今週は「CVSS 10.0が計5件(UniFi OS 3件・JetBrains Hub 1件・ProxySQL 1件・Samba 1件)」という異例の重さの週でした。いずれも攻撃が容易(認証不要またはデフォルト設定で影響)で、実悪用・CISA KEV掲載まで確認されたものも出ています。週が明ける前に、UniFi OSファームウェア・JetBrains Hub・ProxySQL・Sambaの4製品について、自環境での利用有無と最新パッチ適用状況を確認することを強く推奨します。
来週の注目ポイントとしては、CISA KEVに掲載されたUniFi OS脆弱性のPoC公開状況、Spring Framework・libexpat・libxml2・libsoupの各ディストリビューション提供パッチの続報、今週一括公開されたGogs・Budibase等のセルフホスト型ツールへのPoC有無の確認が挙げられます。また今週公開された複数のPicklescan検出バイパス(CVE-2025-71348/71357/71378)はMLパイプラインのサプライチェーンリスクであり、Hugging Face等からモデルをダウンロードする環境での0.0.30への更新を来週中に完了させることを推奨します。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。