週間概況
7月13日(月)〜17日(金)の週は、Critical(CVSS 9.0以上)が累計114件、Highが389件と高水準の一週間でした。最大の注目点は golang.org/x/crypto のSSHサーバ実装におけるソースアドレス検証回避(CVE-2026-46595、CVSS 10.0)で、火曜と金曜に相次いで報告され、CVE-2024-45337の修正が不完全だったことに起因します。加えて、Oracle E-Business Suite のPayments乗っ取り(CVE-2026-46817、CVSS 9.8)と fastjson のautoType経由RCE(CVE-2025-70974、CVSS 10.0)はいずれもCISA KEV(悪用確認済み)に掲載されており、実際の攻撃が確認されています。週を通じて Goエコシステム、実際に悪用されている脆弱性、そして AI/LLM基盤(Flowise・Crawl4AI・vLLM・MLflow・MCP関連)への集中が際立ちました。
週間サマリーテーブル
| 指標 | 月(7/13) | 火(7/14) | 水(7/15) | 木(7/16) | 金(7/17) | 週合計 |
|---|---|---|---|---|---|---|
| 新規CVE | 55件 | 200件 | 200件 | 200件 | 220件 | 875件 |
| Critical (9.0+) | 2件 | 19件 | 13件 | 39件 | 41件 | 114件 |
| High (7.0-8.9) | 25件 | 92件 | 49件 | 110件 | 113件 | 389件 |
| Medium (4.0-6.9) | 24件 | 69件 | 106件 | 39件 | 41件 | 279件 |
| Low (<4.0) | 4件 | 6件 | 4件 | 2件 | 7件 | 23件 |
※木曜(7/16)はNVD全体で2,891件が更新され、うち深刻度上位200件を分析対象としています。データ収集基準が日によって異なるため、重複カウントを含みます。
注目脆弱性 TOP5
1. CVE-2026-46595 — golang.org/x/crypto SSHサーバのソースアドレス検証回避(CVSS 10.0)
- 深刻度: CVSS 10.0 / Critical
- 影響バージョン:
golang.org/x/crypto0.52.0未満を用いたSSHサーバ - 概要: 公開鍵以外の認証コールバックが設定されている構成で、接続元アドレスの検証がスキップされる不備。CVE-2024-45337(認可バイパス)の修正が不完全だったことに起因します。Goで実装されたSSHサーバは広く使われており、影響範囲が大きい一件です。0.52.0では鍵転送時の制約付き拡張の欠落(CVE-2026-39832、CVSS 9.1)、失効署名鍵の検証不備(CVE-2026-42508、CVSS 9.1)もまとめて修正されています。
- 掲載日: 7月14日(火)・7月17日(金)に相次いで報告
- 対策:
go get golang.org/x/crypto@v0.52.0で一括対応
2. CVE-2026-46817 — Oracle E-Business Suite Payments 乗っ取り(CISA KEV掲載、CVSS 9.8)
- 深刻度: CVSS 9.8 / Critical
- 影響バージョン: Oracle E-Business Suite 12.2.3〜12.2.15(Oracle Payments / File Transmission)
- 概要: 未認証の攻撃者がHTTP経由でPaymentsコンポーネントを侵害できる脆弱性。CISA KEV(Known Exploited Vulnerabilities)に掲載されており、実際の悪用が確認されています。EBSは基幹業務システムであるため、最優先での対応が必要です。
- 掲載日: 7月17日(金)
- 対策: Oracleの2026年5月Critical Patch Update(cspumay2026)を適用
3. CVE-2025-70974 — fastjson autoType経由の未認証RCE(CISA KEV掲載、CVSS 10.0)
- 深刻度: CVSS 10.0 / Critical
- 影響バージョン: fastjson 1.2.48未満
- 概要: JSONの
@typeキーでJavaクラスを指定できるautoTypeの不備により、条件次第でJNDIインジェクションが成立します。2023〜2025年にかけて 実際の悪用が確認されており、CVE-2017-18349の不完全な修正に起因します。Javaアプリの依存関係にfastjsonが含まれていないか棚卸しが必要です。 - 掲載日: 7月16日(木)
- 対策: fastjson 1.2.48以降へアップデートし、autoTypeを無効化。後継のfastjson2への移行も検討
4. CVE-2024-1212 — Kemp LoadMaster 未認証コマンド実行(CVSS 10.0)
- 深刻度: CVSS 10.0 / Critical
- 影響バージョン: Kemp LoadMaster(管理インターフェース)
- 概要: 未認証のリモート攻撃者が管理インターフェース経由で任意のシステムコマンドを実行できる状態。管理画面がインターネットに露出している構成では特に危険です。
- 掲載日: 7月15日(水)
- 対策: LMOS 7.2.48.10 / 7.2.54.8 / 7.2.59.2 以降へアップデート
5. CVE-2026-62422 — JetBrains YouTrack 認証バイパス(CVSS 10.0)
- 深刻度: CVSS 10.0 / Critical
- 影響バージョン: JetBrains YouTrack(2026.1.13757 ほか各系列の修正版未満)
- 概要: 直接データベースアクセスを介した認証バイパスにより、管理者権限を取得できる可能性があります。開発チームの課題管理基盤として利用されるため、公開構成では優先対応が推奨されます。
- 掲載日: 7月17日(金)
- 対策: YouTrack 2026.1.13757 / 2025.3.148033 などの修正版以降へアップデート
週間トレンド分析
エコシステム別の傾向
Goエコシステムが今週最も注目を集めました。golang.org/x/crypto のSSH認証回避(CVSS 10.0)が火曜・金曜に相次いで報告されたほか、idnaパッケージの権限昇格(CVE-2026-39821、CVSS 9.6)、PostgreSQLドライバ pgx/v5 のメモリ安全性不備(CVE-2026-33815 / 33816、いずれもCVSS 9.8)、gRPC-Go のパスベース認可バイパス(CVE-2026-33186、CVSS 9.1)と、Go基盤の広い範囲で重大脆弱性が続きました。go list -m all で依存を確認し、golang.org/x/crypto は0.52.0以降へ更新してください。
AI/LLM基盤への集中も今週の特徴です。FlowiseのJWTハードコード秘密鍵(CVE-2026-56271、CVSS 9.8)とnodevmサンドボックス脱出RCE(CVE-2025-34267、CVSS 9.9)、Crawl4AIの任意ファイル書き込み・APIキー流出(CVE-2026-56260 / 56259)、vLLMのヒープアドレス漏えい(CVE-2026-22778、CVSS 9.8)、MLflowの認可不備(CVE-2026-2651)、MCP Server Kubernetesの引数インジェクション(CVE-2026-61459、CVSS 9.8)など、AIツール群にCriticalが集中しました。業務でAI基盤を運用している環境は、外部公開状況と認証設定の確認を推奨します。
Webフレームワークは継続的な課題です。Nuxtのサーバーアイランド関連(複数件)、AngularのXSS系修正の集中、Djangoの多数のセキュリティ修正(4.2系 / 5.2系 / 6.0系)、Next.jsのSSRF(CVE-2026-44578)、React Router/Remixのパストラバーサル(CVE-2025-61686、CVSS 9.1)が週を通じて言及されました。npm/PyPIの利用者は依存関係の棚卸しとあわせてまとめての適用が効率的です。
CWE別の傾向
今週は 認証・認可バイパス系(CWE-287、CWE-285、CWE-863、CWE-321)が目立ちました。Go SSHのソースアドレス検証回避、Oracle EBS・YouTrack・Metabase・WordPress miniOrangeプラグイン2件・MantisBTなど、「認証をかいくぐる」系が多数報告されています。次いで メモリ安全性(ヒープオーバーフロー、境界外書き込み)が多く、FreeRDPのクライアント側メモリ破壊多数、zlib、Perl DBI、Zephyr、pgx/v5がこのカテゴリに入ります。加えて 信頼できないデータのデシリアライゼーション(CWE-502)として、fastjson、Metabase H2、Microsoft Edgeが挙がりました。
前週との比較
前週(7/6〜7/10)はCritical 122件・High 458件でしたが、今週はCritical 114件・High 389件とやや減少しました。ただし、CISA KEV掲載(実際の悪用確認)がOracle EBS・fastjson・Langflowと複数出現した点は前週から継続する重要な変化です。CVSS 10.0の脆弱性も、Go x/crypto・Kemp LoadMaster・fastjson・Firefox/Thunderbird・YouTrackと複数観測され、依然として高い水準が続いています。
日別ダイジェスト
- 7/13(月): CVE 55件 — Flowise JWTハードコード秘密鍵の認証バイパス(CVSS 9.8)、Crawl4AI・OpenWrtルータに複数のHigh
- 7/14(火): CVE 200件 — Go x/crypto SSH認証バイパス(CVSS 10.0)、Metabase・PAN-OS・MariaDB・rclone・WordPressプラグインにCVSS 9.8集中
- 7/15(水): CVE 200件 — Kemp LoadMaster未認証RCE(CVSS 10.0)、zlib・gawk・OpenSSHなど基盤コンポーネントのCritical
- 7/16(木): CVE 200件(NVD全体2,891件) — 悪用確認済みfastjson autoType RCE(CVSS 10.0)、Node.js権限モデル回避・Firefoxサンドボックス脱出・FreeRDP多数
- 7/17(金): CVE 220件 — Go x/crypto SSH(CVSS 10.0)再掲、Oracle E-Business Suite(CISA KEV)、JetBrains YouTrack認証バイパス(CVSS 10.0)
まとめ・来週の注目ポイント
今週は「Goエコシステム」と「実際に悪用されている脆弱性」の2軸が重要でした。golang.org/x/crypto を0.52.0へ更新することで、今週の主要なSSH脆弱性(認証回避・鍵転送・失効鍵検証)に一括対応できます。まだ未対応の場合は週末中の対応完了を目指してください。CISA KEV掲載のOracle E-Business Suite(CVSS 9.8)とfastjson(CVSS 10.0)は、実際の攻撃が確認されているため週明けを待たずに優先対応を強く推奨します。AI/LLM基盤(Flowise・Crawl4AI・vLLM・MLflow・MCP関連)を運用しているチームは、外部公開状況と認証・環境変数の設定を棚卸ししてください。
来週に向けては、FreeRDPのクライアント側メモリ破壊系(3.20.1 / 3.21.0 / 3.26.0で段階的に修正)の対応状況、Angular・Django・Nuxtの各修正版への移行進捗、そしてOracle EBSやfastjsonの悪用動向が注目ポイントです。エンドユーザー端末についてはFirefox/Thunderbird 147へのサンドボックス脱出(CVE-2026-0881、CVSS 10.0)の強制アップデートも検討してください。
データソース: NVD (NIST), OSV (Google), GitHub Advisory Database, JVN iPedia (IPA/JPCERT/CC) AI解説は Claude API により自動生成されています。正確性については原文をご確認ください。
