skip to content
今日の脆弱性
Table of Contents

概要

本日、日本のエンジニア・開発者向けに、CVSSスコア9.0以上の特に重大な脆弱性15件をまとめました。Adobe ColdFusionにおける複数件の任意コード実行、Joomla拡張機能での認証なしファイルアップロードによるRCE、Coolifyにおける権限昇格とコマンドインジェクションなどが含まれており、広範囲の製品に影響を及ぼす可能性があります。速やかな情報収集と対策が強く推奨されます。

CVE-2025-41115: Incorrect privilege assignment

  • CVSS: 10.0 (Critical)
  • 影響: Grafana / Grafana Enterprise — versions: 12.0.0 〜 < 12.2.1 (affected)

概要

Grafana EnterpriseおよびGrafana CloudのSCIMプロビジョニング機能(バージョン12.x)において、ユーザーID処理に脆弱性が存在します。SCIMが有効かつ設定されている場合、悪意のあるSCIMクライアントが数値の外部IDを持つユーザーをプロビジョニングすることで、内部ユーザーIDが上書きされ、なりすましや権限昇格につながる可能性があります。

推奨対応

本脆弱性は、enableSCIM および user_sync_enabled の両方の機能フラグが有効な場合にのみ適用されます。影響を受けるユーザーは、ベンダーのセキュリティアドバイザリを確認し、速やかにパッチを適用してください。

参考

CVE-2026-48282: ColdFusion | Improper Limitation of a Pathname to a Restricted Directory (‘Path Traversal’) (CWE-22)

  • CVSS: 10.0 (Critical)
  • 影響: Adobe / ColdFusion — versions: 0 〜 <= 2023.20 (affected)

概要

Adobe ColdFusionのバージョン2025.9、2023.20およびそれ以前に、不適切なパス名制限(Path Traversal)の脆弱性が存在します。この脆弱性を悪用されると、現在のユーザーのコンテキストで任意のコード実行が可能になります。ユーザーとのインタラクションは不要です。CISAのKnown Exploited Vulnerabilitiesカタログにも追加されており、活発な悪用が確認されています。

推奨対応

アドビが提供するセキュリティパッチを速やかに適用してください。詳細については、ベンダーアドバイザリを参照し、システムを最新の状態に保つことが不可欠です。

参考

CVE-2026-56290: Joomla Extension - joomlack.fr - Unauthenticated file upload in Page Builder CK extension < 3.6.0

  • CVSS: 10.0 (Critical)
  • 影響: joomlack.fr / JoomlaCK.fr Page Builder CK extension for Joomla — versions: 1.0-3.6.0 (affected)

概要

Joomla拡張機能「Page Builder CK」のバージョン3.6.0未満に、認証なしで任意のファイルをアップロードできる脆弱性が存在します。この脆弱性を悪用されると、実行可能なファイルをアップロードされ、完全なリモートコード実行(RCE)につながる可能性があります。CISAのKnown Exploited Vulnerabilitiesカタログにも追加されており、活発な悪用が確認されています。

推奨対応

Page Builder CK拡張機能をバージョン3.6.0以降に速やかにアップデートしてください。ベンダーのパッチ情報およびセキュリティアドバイザリを確認し、対策を講じてください。

参考

CVE-2026-48908: Joomla Extension - joomshaper.com - Remote Code Execution in SP Pagebuilder extension for Joomla < 6.6.2

  • CVSS: 10.0 (Critical)
  • 影響: joomshaper.net / SP Page Builder extension for Joomla — versions: 1.0.0-6.6.1 (affected)

概要

Joomla拡張機能「SP Page Builder」のバージョン6.6.2未満に、認証されていないユーザーが任意のファイルをアップロードできる脆弱性が存在します。この脆弱性を悪用されると、PHPコードのアップロードと実行が可能となり、リモートコード実行(RCE)につながります。CISAのKnown Exploited Vulnerabilitiesカタログにも追加されており、活発な悪用が確認されています。

推奨対応

SP Page Builder拡張機能をバージョン6.6.2以降に速やかにアップデートしてください。ベンダーのリリースノートおよびセキュリティアドバイザリを確認し、対策を講じてください。

参考

CVE-2026-48316: ColdFusion | Improper Input Validation (CWE-20)

  • CVSS: 10.0 (Critical)
  • 影響: Adobe / ColdFusion — versions: 0 〜 <= 2023.20 (affected)

概要

Adobe ColdFusionのバージョン2025.9、2023.20およびそれ以前に、不適切な入力検証の脆弱性が存在します。この脆弱性を悪用されると、現在のユーザーのコンテキストで任意のコード実行が可能になる可能性があります。ユーザーとのインタラクションは不要です。

推奨対応

アドビが提供するセキュリティパッチを速やかに適用してください。詳細については、ベンダーアドバイザリを参照し、システムを最新の状態に保つことが不可欠です。

参考

CVE-2026-46595: Invoking VerifiedPublicKeyCallback permissions skip enforcement in golang.org/x/crypto/ssh

  • CVSS: 10.0 (Critical)
  • 影響: golang.org/x/crypto / golang.org/x/crypto/ssh — versions: 0 〜 < 0.52.0 (affected)

概要

golang.org/x/crypto/sshのバージョン0.52.0未満に、権限バイパスの脆弱性が存在します。悪用されたSSHサーバー設定において、公開鍵以外のコールバックが渡された場合、送信元アドレス検証がスキップされる可能性があります。これにより、認証機構が意図せず回避される可能性があります。

推奨対応

golang.org/x/crypto/ssh をバージョン0.52.0以降にアップデートしてください。アップデートにより、この認証バイパスの脆弱性が修正されます。

参考

CVE-2026-34047: Coolify: WebSocket Endpoint Access Control Flaw Leading to Remote Code Execution

  • CVSS: 9.9 (Critical)
  • 影響: coollabsio / coolify — versions: < 4.0.0-beta.471 (affected)

概要

Coolifyのバージョン4.0.0-beta.471未満において、ターミナルWebSocketブートストラップルートで期待される認証ミドルウェアが適用されていませんでした。これにより、認証されたユーザーが、本来許可されていないスコープのターミナル機能にアクセスし、コマンドを実行できる可能性があり、リモートコード実行(RCE)につながります。

推奨対応

Coolifyをバージョン4.0.0-beta.471以降にアップグレードしてください。ベンダーのセキュリティアドバイザリおよびリリース情報を確認し、速やかに対応することが重要です。

参考

CVE-2026-34037: Cross-Tenant Resource Cloning via Broken Object-Level Authorization in cloneTo()

  • CVSS: 9.9 (Critical)
  • 影響: coollabsio / coolify — versions: < 4.0.0-beta.464 (affected)

概要

Coolifyのバージョン4.0.0-beta.464未満において、ResourceOperations.php内のcloneTo() LivewireアクションにBroken Object-Level Authorizationの脆弱性が存在します。これにより、認証されたユーザーが、他のチームが所有する宛先にリソースを複製し、テナントを越えたリソースにアクセスできる可能性があります。

推奨対応

Coolifyをバージョン4.0.0-beta.464以降にアップグレードしてください。ベンダーのセキュリティアドバイザリを確認し、チーム間のリソース分離を強化してください。

参考

CVE-2026-34048: Coolify: Missing authorization on terminal websocket bootstrap routes allows low-privileged members to execute commands on team servers

  • CVSS: 9.9 (Critical)
  • 影響: coollabsio / coolify — versions: < 4.0.0-beta.471 (affected)

概要

Coolifyのバージョン4.0.0-beta.471未満において、ターミナルWebSocketブートストラップルートで認証チェックのみが行われ、ターミナル認証が強制されていませんでした。これにより、権限の低いチームメンバーがターミナルルートに接続し、チームサーバー上でコマンドを実行できる可能性があります。

推奨対応

Coolifyをバージョン4.0.0-beta.471以降にアップグレードしてください。これにより、ターミナルアクセスに対する適切な権限チェックが適用されます。

参考

CVE-2026-34038: Coolify authenticated remote command injection leading to RCE and secret exfiltration

  • CVSS: 9.9 (Critical)
  • 影響: coollabsio / coolify — versions: < 4.0.0-beta.469 (affected)

概要

Coolifyのバージョン4.0.0-beta.469未満において、アプリケーションデプロイ処理に認証済みリモートコマンドインジェクションの脆弱性が存在します。アプリケーションの書き込み権限を持つユーザーが、dockerfile_locationやデプロイコマンドなどのフィールドを介してリモートコード実行を実現し、デプロイログを通じて機密性の高い環境変数を漏洩させる可能性があります。

推奨対応

Coolifyをバージョン4.0.0-beta.469以降にアップグレードしてください。これにより、コマンドインジェクションの脆弱性が修正されます。

参考

CVE-2026-45499: Azure OpenAI Elevation of Privilege Vulnerability

  • CVSS: 9.9 (Critical)
  • 影響: Microsoft / Azure Open AI — versions: - (affected)

概要

Microsoft Azure OpenAIにおいて、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性を悪用されると、認証された攻撃者がネットワークを介して権限を昇格できる可能性があります。

推奨対応

Microsoftが提供するセキュリティ更新プログラムを速やかに適用してください。詳細については、Microsoft Security Response Center (MSRC) のアドバイザリを参照し、推奨される手順に従ってください。

参考

CVE-2026-57100: Microsoft Entra Provisioning Service Elevation of Privilege Vulnerability

  • CVSS: 9.9 (Critical)
  • 影響: Microsoft / Microsoft Entra Provisioning Service — versions: - (affected)

概要

Microsoft Entra Provisioning Service (SyncFabric) において、サーバーサイドリクエストフォージェリ(SSRF)の脆弱性が確認されました。この脆弱性を悪用されると、認証された攻撃者がネットワークを介して権限を昇格できる可能性があります。

推奨対応

Microsoftが提供するセキュリティ更新プログラムを速やかに適用してください。詳細については、Microsoft Security Response Center (MSRC) のアドバイザリを参照し、推奨される手順に従ってください。

参考

CVE-2026-13019: Missing Authentication

  • CVSS: 9.8 (Critical)
  • 影響: Esri / Portal for ArcGIS — versions: 0 〜 < 12.1 (affected)

概要

Esri Portal for ArcGISのバージョン12.1およびそれ以前(Windows, Linux, Kubernetes上)において、重要な機能に対する認証の欠如の脆弱性が存在します。これにより、リモートの認証されていない攻撃者が保護されていないAPIにアクセスできる可能性があります。

推奨対応

Esri Portal for ArcGISをバージョン12.1以降にアップグレードしてください。ベンダーが提供するセキュリティ情報を確認し、速やかな対応を推奨します。

参考

CVE-2026-20896: Gitea Docker image trusts spoofable reverse-proxy headers by default

  • CVSS: 9.8 (Critical)
  • 影響: Gitea / Gitea Open Source Git Server — versions: 0 〜 <= 1.26.2 (affected)

概要

Gitea Dockerイメージのバージョン1.26.2以前では、REVERSE_PROXY_TRUSTED_PROXIES=* がデフォルトで設定されています。これにより、X-WEBAUTH-USERのようなリバースプロキシ認証ヘッダーが有効になっている場合、任意のソースIPが悪意のあるユーザーをなりすますことができる可能性があります。

推奨対応

Giteaをバージョン1.26.3以降にアップグレードするか、REVERSE_PROXY_TRUSTED_PROXIES の設定を信頼できるプロキシのIPアドレスに明示的に変更してください。ベンダーのセキュリティアドバイザリを確認し、設定の再確認を行ってください。

参考

CVE-2026-26292: Gitea LFS mirror synchronization bypasses migration HTTP transport restrictions

  • CVSS: 9.8 (Critical)
  • 影響: Gitea / Gitea Open Source Git Server — versions: 0 〜 < 1.25.5 (affected)

概要

Giteaのバージョン1.25.5未満において、LFS(Large File Storage)のプッシュおよびミラー同期操作が、設定されたマイグレーションHTTPトランスポートの制限をバイパスする脆弱性が存在します。これにより、LFSリクエストに対して意図しないアクセスや操作が行われる可能性があります。

推奨対応

Giteaをバージョン1.25.5以降にアップグレードしてください。これにより、LFS操作が適切にマイグレーションHTTPトランスポートの制限に従うようになります。ベンダーのリリースノートを確認し、対策を講じてください。

参考

出典