skip to content
今日の脆弱性

2026 年 06 月 19 日の重要脆弱性: pgAdmin 4 および AVer 製カメラに関する 4 件

/ 6 min read

Table of Contents

概要

本日、複数の重要脆弱性が公開され、緊急の対応が求められています。特にCVSSv4.0スコア9.0以上の「Critical」と評価された脆弱性が4件確認されており、pgAdmin 4とAVer製カメラに影響を与えるものが含まれています。開発者の皆様は、影響を受ける製品とバージョンを確認し、速やかにパッチの適用や推奨される対策を実施してください。

CVE-2026-12046: pgAdmin 4: 非認証でのリモートコード実行

  • CVSS: 9.5 (Critical)
  • 影響: pgadmin.org / pgAdmin 4 — versions: 6.9 〜 < 9.16 (affected)

概要

pgAdmin 4のSQL Editorにおいて、認証を欠く2つのエンドポイント(/sqleditor/close/<trans_id> および /sqleditor/initialize/sqleditor/update_connection/<sgid>/<sid>/<did>) が存在し、不正なpickleデータのデシリアライズを可能にする脆弱性が発見されました。攻撃者はFlask SECRET_KEYの知識とセッションディレクトリへの書き込み権限を事前に取得している必要がありますが、これらの前提条件が満たされた場合、非認証でリモートコード実行 (RCE) が可能となります。

推奨対応

ベンダーより提供されているパッチ(コミット f81433ae2f998f95bb17f27f53b4e99ebcc1df9c を含むバージョン)を速やかに適用してください。この修正は、影響を受けるエンドポイントに @pga_login_required デコレータを適用し、認証を必須とすることで脆弱性を解消します。

参考

CVE-2026-12045: pgAdmin 4: AIアシスタントにおける読み取り専用トランザクションのバイパス

  • CVSS: 9.4 (Critical)
  • 影響: pgadmin.org / pgAdmin 4 — versions: 9.13 〜 < 9.16 (affected)

概要

pgAdmin 4のAIアシスタント機能に、読み取り専用トランザクションをバイパスできる脆弱性が存在します。AIアシスタントは、LLMが生成するSQLクエリをBEGIN TRANSACTION READ ONLY内で実行しますが、LLMからのクエリが単一のステートメントまたは読み取り専用コマンドに制限されていませんでした。このため、COMMITENDROLLBACKABORTなどで始まる複数のステートメントを含むペイロードをプロンプトインジェクションによって挿入することで、読み取り専用トランザクションを終了させ、その後のステートメントをオートコミットモードで実行させることが可能です。これにより、データ改ざんや、特権的なデータベースユーザーの場合はデータベースサーバー上でのリモートコード実行に繋がる可能性があります。

推奨対応

ベンダーから提供されているパッチ(コミット bf4792444446f0e7ab721d23cbd6bfe6afaa7a8b を含むバージョン)を適用し、LLMが生成するクエリがSELECT, WITH, EXPLAIN, SHOW, VALUES, TABLEなどの読み取り専用ステートメントのみに制限されるよう、事前に入力検証を行うようにしてください。

参考

CVE-2026-12048: pgAdmin 4: 保存型XSSによる任意HTML注入

  • CVSS: 9.3 (Critical)
  • 影響: pgadmin.org / pgAdmin 4 — versions: 6.0 〜 < 9.16 (affected)

概要

pgAdmin 4のエラーレンダリングパスおよびプランノードレンダリングパスに保存型クロスサイトスクリプティング(XSS)の脆弱性が見つかりました。PostgreSQLサーバーから返されるテキスト(エラーメッセージやEXPLAINの計画ノード情報など)が、html-react-parserを介してサニタイズなしにレンダリングされます。これにより、攻撃者が制御するPostgreSQLサーバー、または低権限のデータベースユーザーがオブジェクト名を巧妙に作成できる環境において、任意のHTML(<iframe>タグを含む)をpgAdminのDOMに注入できる可能性があります。結果として、フィッシングページへのリダイレクトなどの悪意のある動作を引き起こす可能性があります。

推奨対応

ベンダーから提供されているパッチ(コミット 9e370d3cb67b83b3945f82969c959fad3f926517 を含むバージョン)を適用し、PostgreSQLサーバーからのテキストが適切にエスケープ処理され、HTMLとして解釈されないように修正されていることを確認してください。

参考

CVE-2026-40624: AVer PTCカメラ: 外部からのファイル/ディレクトリアクセスによるRCE

  • CVSS: 9.3 (Critical)
  • 影響: AVer / PTC500S — versions: * (affected), AVer / PTC115 — versions: * (affected), AVer / PTC500+ — versions: * (affected), AVer / PTC115+ — versions: * (affected)

概要

AVer製PTCシリーズカメラ(PTC500S, PTC115, PTC500+, PTC115+)において、入力検証の不備が存在し、リモートの非認証攻撃者が特別に細工されたWebリクエストを送信することで、任意のコード実行(RCE)を達成する可能性がある脆弱性が公開されました。この脆弱性は、外部からのファイルやディレクトリへの不正なアクセスを許容する可能性があります。

推奨対応

AVer社から提供されるファームウェアのアップデートを速やかに適用してください。詳細な情報と対策については、CISA ICSアドバイザリ(ICSA-26-169-01)を参照し、推奨されるセキュリティ対策を実施することが強く推奨されます。

参考

出典