週間概況
7月6日(月)〜10日(金)の週は、Critical(CVSS 9.0以上)が累計122件、Highが458件と非常に多い週でした。最大の注目点は Flatpak(CVE-2026-34078、CVSS 10.0)のサンドボックス脱出と、golang.org/x/crypto のSSHライブラリに集中した4件のCRITICAL脆弱性です。月曜から金曜にかけて同一パッケージへの追加報告が続く異例の展開となりました。水曜日にはFirefoxのサンドボックスエスケープ4件(CVSS 9.6)が一括公開され、木曜日にはFortinet FortiOSの認証バイパス(CVE-2024-55591)がCISA KEVに掲載されて実際の攻撃が確認されました。週を通じて Goエコシステム と npmエコシステム の脆弱性が際立っており、依存ライブラリの継続的な監視が重要です。
週間サマリーテーブル
| 指標 | 月(7/6) | 火(7/7) | 水(7/8) | 木(7/9) | 金(7/10) | 週合計 |
|---|---|---|---|---|---|---|
| Critical (9.0+) | 14件 | 28件 | 17件 | 26件 | 37件 | 122件 |
| High (7.0-8.9) | 33件 | 109件 | 55件 | 90件 | 171件 | 458件 |
| Medium (4.0-6.9) | 8件 | 61件 | 8件 | 65件 | 188件 | 330件 |
| Low (<4.0) | 0件 | 0件 | 2件 | 3件 | 22件 | 27件 |
※各日のデータソースはNVD(月〜木)およびGHSA(金)。データ収集基準が異なるため重複カウントが含まれます。
注目脆弱性 TOP5
1. CVE-2026-34078 — Flatpak サンドボックス脱出(CVSS 10.0)
- 深刻度: CVSS 10.0 / Critical(CWE-61, CWE-59)
- 影響バージョン: Flatpak 1.16.4未満
- 概要: Flatpakポータルが
sandbox-exposeオプションで指定されたパスとして、アプリが制御できるシンボリックリンクを受け入れてしまう脆弱性。flatpak runがホストパスをサンドボックス内にマウントするため、アプリがすべてのホストファイルへアクセスし、ホストコンテキストでのコード実行が可能。 - 掲載日: 7月7日(火)
- 対策: Flatpak 1.16.4 以降へアップデート
2. golang.org/x/crypto SSH — 4件のCRITICAL脆弱性
- 深刻度: CRITICAL(GitHub Advisory)
- 影響バージョン: golang.org/x/crypto v0.52.0未満
- 概要: GoのSSHライブラリに同週内で4件の重大脆弱性が集中報告された。①CVE-2026-46595(認証バイパス:
VerifiedPublicKeyCallbackスキップ)、②CVE-2026-42508(@revokedが強制されず失効証明書での認証成立)、③CVE-2026-39830(予期しないレスポンスによるサーバデッドロック)、④CVE-2026-39832(鍵フォワーディング時のエージェント制約未継承による権限昇格)。GoでSSHサーバ・クライアントを実装しているサービスは最優先対応が必要。 - 掲載日: 7月7日〜10日(複数日にわたって報告)
- 対策:
go get golang.org/x/crypto@v0.52.0で一括対応
3. CVE-2026-28780 — Apache HTTP Server mod_proxy_ajp ヒープバッファオーバーフロー(CVSS 9.8)
- 深刻度: CVSS 9.8 / Critical(CWE-122, CWE-787)
- 影響バージョン: Apache HTTP Server 2.4.66 以前
- 概要: mod_proxy_ajpが悪意あるAJPサーバから細工されたメッセージを受け取ると、ヒープバッファ末尾に攻撃者が制御する4バイトを書き込む。Tomcatとの連携(AJPリバースプロキシ)構成が対象で、認証不要のリモートから攻撃が可能。
- 掲載日: 7月9日(木)
- 対策: Apache HTTP Server 2.4.67 以降へアップグレード
4. CVE-2024-55591 — Fortinet FortiOS/FortiProxy 認証バイパス(CISA KEV掲載、CVSS 9.8)
- 深刻度: CVSS 9.8 / Critical(CWE-288)
- 影響バージョン: FortiOS 7.0.0〜7.0.16、FortiProxy 7.0.0〜7.2.12
- 概要: Node.jsのWebSocketモジュールへの細工したリクエストで、未認証攻撃者がスーパー管理者権限を取得可能。CISA の既知の悪用済み脆弱性カタログ(KEV)に掲載されており、実際の攻撃が確認されている。FortiGateをファイアウォール・VPNとして使用している環境は最優先での対応が必要。
- 掲載日: 7月9日(木)
- 対策: FortiOS 7.0.17 以降、FortiProxy 7.0.20 / 7.2.13 以降へ即時アップデート
5. CVE-2026-12294〜12297 — Firefox/Thunderbird サンドボックスエスケープ 4件(CVSS 9.6)
- 深刻度: CVSS 9.6 / Critical × 4件
- 影響バージョン: Firefox 152未満、Firefox ESR 140.12 / 115.37未満、Thunderbird 152 / 140.12未満
- 概要: DOM Workers、DOM Navigation、プロセスサンドボックス、ネットワーキングの4コンポーネントでサンドボックスエスケープが同日一括公開。攻撃者がすでにレンダラープロセスを侵害した状態を前提とするが、CVSSスコアはすべて9.6と極めて高い評価。エンドユーザー端末への影響が大きい。
- 掲載日: 7月8日(水)
- 対策: Firefox 152、Firefox ESR 140.12 / 115.37、Thunderbird 152 / 140.12 へアップデート
週間トレンド分析
エコシステム別の傾向
Goエコシステムが今週最も注目を集めました。golang.org/x/crypto のSSHライブラリに火曜から金曜にかけて連続して脆弱性が報告されたのは異例で、同一パッケージのセキュリティレビューが進む中で新たな問題が次々と発覚したと考えられます。go list -m all | grep golang.org/x/crypto でバージョンを確認し、v0.52.0未満の場合は速やかにアップデートしてください。加えて木曜日には golang.org/x/net/idna(CVE-2026-39821、CVSS 9.6)と gRPC-Go(CVE-2026-33186、CVSS 9.1)でも認可バイパスが報告され、Goエコシステム全体として厳しい週でした。
npmエコシステムも継続的な課題があります。vite のWindowsパスバイパス(CVE-2026-53571)と launch-editor のNTLMv2ハッシュ漏洩(CVE-2026-53632)は月曜から繰り返し言及され、水曜には axios(CVE-2026-44494、CVSS 8.7)のプロトタイプ汚染によるMITM、金曜には ws(CVE-2026-48779)のWebSocket DoSが追加されました。特に ws は週間ダウンロード数1億件超のパッケージで、外部公開WebSocketエンドポイントがあるサービスは注意が必要です。
ブラウザ系は水曜日に集中打。Firefox/Thunderbird 4件(CVSS 9.6)とChrome 1件(CVE-2026-13869、CVSS 9.6)のサンドボックスエスケープが同日公開され、エンドユーザー端末への早急な対応が必要な状況でした。
CWE別の傾向
今週は 認証不備・認証バイパス系(CWE-288、CWE-303、CWE-863)が目立ちました。FortiOSの管理者権限取得、GoのSSH認証バイパス(複数件)、FastMCPの認証付きSSRF(CVE-2026-32871、CVSS 10.0)など、「認証をかいくぐる」系の脆弱性が週を通じて複数報告されています。次いで メモリ安全性(ヒープオーバーフロー、UAF、境界外書き込み)が多く、Apache mod_proxy_ajp、Firefox、Chrome、PostgreSQL(CVE-2026-6473)などがこのカテゴリに入ります。
前週との比較
本週はCritical 122件と非常に高水準でした。特に金曜日のGHSA一括公開(Critical 37件)が寄与しています。CISA KEV掲載(FortiOS)のような「実際の攻撃確認」情報が週中に出たことは、優先度判断の上で重要な変化点です。CVSS 10.0が複数(Flatpak、Go SSH、FastMCP)出現したことも例年より多い印象です。
日別ダイジェスト
- 7/6(月): Critical 14件 — Angular SSR DOM Clobbering、vite Windowsバイパス、Nagios XI OSコマンドインジェクション(CVSS 8.8)
- 7/7(火): Critical 28件 — Flatpak CVSS 10.0サンドボックス脱出、Go SSH認証バイパス、MariaDB SQLインジェクション(CVSS 9.8)
- 7/8(水): Critical 17件 — Firefox/Thunderbird サンドボックスエスケープ4件、Chrome UAF、vLLM APIキー認証バイパス(CVSS 9.1)
- 7/9(木): Critical 26件 — Apache mod_proxy_ajp CVSS 9.8、FortiOS CISA KEV掲載、FastMCP SSRF CVSS 10.0
- 7/10(金): Critical 37件 — golang/crypto SSH 4件のCRITICAL、Nuclio CronJob RCE、ws WebSocket DoS
まとめ・来週の注目ポイント
今週は「Goエコシステム週」ともいえる状況でした。golang.org/x/crypto v0.52.0 への更新一つで今週の主要なSSH脆弱性4件に一括対応できます。まだ未対応の場合は週末中に対応完了を目指してください。FortiOSのCISA KEV掲載はインフラ担当者にとって最優先事項で、実際の悪用が確認されているため週明けを待たずにパッチ適用を強く推奨します。Firefoxのサンドボックスエスケープは、エンドユーザー端末の管理ポリシーでの強制アップデート対象として検討してください。
来週に向けては、Apache HTTP Server 2.4.67リリース以降の追加パッチ動向、Nuxt 3.21.7 / 4.4.7への移行状況、そして UEFI Firmware Parser の2件のCRITICAL(CVE-2026-54333、CVE-2026-54334)がパッチ未提供のまま残っている点の動向が注目ポイントです。Kubernetes環境を運用しているチームはNuclio(CVE-2026-52831)とKubeVirt(CVE-2026-13325)も合わせて確認してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
