2026年07月11日の重要脆弱性: 複数の製品・サービスに影響する深刻な脆弱性 15件
/ 17 min read
Table of Contents
概要
本日、複数の製品やサービスに影響を及ぼす重要脆弱性が多数公開されました。CVSSスコア9.0以上と評価されたCriticalな脆弱性は合計15件に上り、リモートコード実行、認証バイパス、情報漏洩といった深刻な影響をもたらす可能性があります。これらの脆弱性に対する早急な対応がシステム保護の鍵となります。
CVE-2026-48939: Joomla iCagenda拡張機能におけるRCE
-
CVSS: 10.0 (Critical)
-
影響: icagenda.com / iCagenda extension for Joomla — versions: 3.2.1-4.0.7
概要
JoomlaのiCagenda拡張機能には、ファイル添付機能において任意のファイルをアップロードできる脆弱性が存在します。この脆弱性を悪用されると、攻撃者はPHPコードをアップロードし、サーバー上で実行することで、リモートコード実行(RCE)が可能となります。この問題は認証なしで悪用される可能性があります。
推奨対応
ベンダーの提供する修正済みバージョン(iCagenda 3.9.15または4.0.8以降)への速やかなアップデートを強く推奨します。詳細はiCagendaの変更ログを確認してください。
参考
CVE-2026-55500: 9routerにおける認証なしのデータベース操作
-
CVSS: 9.9 (Critical)
-
影響: decolua / 9router — versions: < 0.4.80
概要
AIルーター「9Router」のバージョン0.4.80より前のバージョンにおいて、/api/settings/databaseエンドポイントで認証なしにデータベースの完全なエクスポートとインポートが可能です。この脆弱性により、全ての認証情報、APIキー、OAuthトークン、設定を含む機密情報が漏洩したり、データベースが完全に上書きされたりするリスクがあります。
推奨対応
本脆弱性はバージョン0.4.80で修正されています。9Routerを利用している場合は、速やかにバージョン0.4.80へアップグレードすることを強く推奨します。
参考
CVE-2026-57807: WordPress OAuth SSOプラグインの認証バイパス
-
CVSS: 9.8 (Critical)
-
影響: miniOrange Security Software Pvt Ltd. / OAuth Single Sign On - SSO (OAuth Client) — versions: n/a 〜 <= 38.5.8
概要
WordPressプラグイン「OAuth Single Sign On - SSO (OAuth Client)」のバージョン38.5.8以前に、認証バイパスの脆弱性が存在します。この脆弱性は、パスワード回復機能が悪用されることで、代替パスを介した認証バイパスを可能にし、結果として攻撃者が不正にアクセスできるようになる恐れがあります。
推奨対応
本脆弱性に対する公式なパッチ情報が提供されていません。ベンダーからの情報提供を継続的に確認し、パッチが公開され次第速やかに適用してください。一時的な回避策として、プラグインの機能を制限するか、代替プラグインへの移行を検討することも重要です。
参考
CVE-2026-12761: WordPress Social Loginプラグインの認証バイパス
-
CVSS: 9.8 (Critical)
-
影響: cyberlord92 / miniOrange Social Login and Register (Discord, Google, Twitter, LinkedIn) — versions: 0 〜 <= 7.7.0
概要
WordPressプラグイン「miniOrange Social Login and Register」のバージョン7.7.0以前に、認証バイパスの脆弱性が存在します。この脆弱性は、プロフィール完了時のOTPフローにおける不適切な検証と、OTPハッシュの漏洩により、認証されていない攻撃者が管理者のアカウントを乗っ取ることを可能にします。
推奨対応
ベンダーが提供する修正済みバージョンへのアップデートを推奨します。詳細な情報と修正状況については、Wordfenceの脅威インテリジェンス情報を参照し、速やかに対応を講じてください。
参考
CVE-2026-5801: SEM-PMPにおけるSQLインジェクション
-
CVSS: 9.8 (Critical)
-
影響: Semtek Informatics Software Consulting Trade Ltd. Co. / SEM-PMP — versions: 0 〜 <= 23042026
概要
Semtek InformaticsのSEM-PMPにおいて、SQLコマンドで使用される特殊な要素の不適切な無効化、すなわちSQLインジェクションの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はSQLインジェクションを介してシステム上で任意のコマンドを実行し、深刻な情報漏洩やシステムの改ざんにつながる可能性があります。
推奨対応
トルコ国家サイバーセキュリティセンター(TR-26-0527)のアドバイザリを参照し、ベンダーからの修正パッチが提供され次第、速やかに適用することを推奨します。現時点でパッチが公開されていない場合は、緩和策の検討が必要です。
参考
CVE-2026-2397: AdamPOS MobilMen 20TにおけるSQLインジェクション
-
CVSS: 9.8 (Critical)
-
影響: Adam Retail Automation Ltd. / MobilMen 20T — versions: v3 〜 <= 10072026
概要
AdamPOSのMobilMen 20Tに、SQLインジェクションの脆弱性が存在します。SQLコマンドの特殊要素が適切に無効化されないため、攻撃者は任意のSQLクエリを実行し、データベースへの不正アクセスやデータの操作を行う可能性があります。ベンダーはこの脆弱性について対応していません。
推奨対応
ベンダーが対応していないと明記されているため、製品の使用を一時的に停止するか、外部からのアクセスを厳しく制限するなど、代替のセキュリティ対策を検討することを強く推奨します。トルコ国家サイバーセキュリティセンター(TR-26-0526)のアドバイザリも参照してください。
参考
CVE-2026-51599: MERCURY MIPC252WのRTSPサービスにおけるサービス拒否
-
CVSS: 9.8 (Critical)
-
影響: MERCURY / MIPC252W — versions: v1.0.5 Build 230306 Rel.79931n
概要
MERCURY MIPC252W v1.0.5のRTSPサービスに、入力検証の不備による脆弱性が存在します。認証されていないリモート攻撃者が、Content-Lengthヘッダーを持つRTSPリクエストをメッセージ本文なしで送信することで、対象のTCP接続を一時的に使用不能にできます。これによりサービス拒否状態が発生し、デバイスの正常な機能が妨げられる可能性があります。
推奨対応
ベンダーからの公式なパッチ情報がないため、一時的な緩和策として、RTSPサービスのアクセス元を信頼できるネットワークに限定するか、ファイアウォールで不正な形式のRTSPリクエストをブロックする設定を検討してください。引き続きベンダーからの情報に注意を払う必要があります。
参考
CVE-2026-28564: Apache IoTDBのREST認証における認証バイパス
-
CVSS: 9.8 (Critical)
-
影響: Apache Software Foundation / Apache IoTDB — versions: 1.0.0 〜 < 2.0.10
概要
Apache IoTDBのREST Basic認証において、古いキャッシュされた認証情報を受け入れてしまう脆弱性(Insufficient Session Expiration)が存在します。これにより、セッションの有効期限が適切に処理されず、認証バイパスが可能となる恐れがあります。攻撃者は古い認証情報を利用して不正にアクセスできる可能性があります。
推奨対応
本脆弱性はApache IoTDBのバージョン2.0.10で修正されています。影響を受けるバージョンのApache IoTDBを使用している場合は、速やかにバージョン2.0.10へアップグレードすることを強く推奨します。
参考
CVE-2026-40008: Apache IoTDBにおける任意クラスのインスタンス化
-
CVSS: 9.8 (Critical)
-
影響: Apache Software Foundation / Apache IoTDB — versions: 1.0.0 〜 < 2.0.10
概要
Apache IoTDBのPipe Transfer RPCに、外部から制御可能な入力をクラス選択に使用する脆弱性(Unsafe Reflection, CWE-470)が存在します。パイププロセッサが、完全修飾されたJavaクラス名を検証なしにインスタンス化してしまうため、攻撃者は任意のクラスを生成・実行することで、リモートコード実行につながる可能性があります。
推奨対応
本脆弱性はApache IoTDBのバージョン2.0.10で修正されています。影響を受けるバージョンのApache IoTDBを使用している場合は、速やかにバージョン2.0.10へアップグレードすることを強く推奨します。
参考
CVE-2026-14894: WordPress Super Formsプラグインの認証なしファイルアップロード
-
CVSS: 9.8 (Critical)
-
影響: WebRehab / Super Forms – Drag & Drop Form Builder — versions: 0 〜 <= 6.3.313
概要
WordPressプラグイン「Super Forms – Drag & Drop Form Builder」のバージョン6.3.313以前に、認証されていない状態での任意のファイルアップロードの脆弱性が存在します。これは、submit_form機能におけるファイルタイプ検証の欠如と、AJAXハンドラでの権限チェックがないことに起因し、認証されていない攻撃者によるリモートコード実行を可能にする可能性があります。
推奨対応
本脆弱性に対する修正が適用された最新バージョンへのアップデートを推奨します。Wordfenceの脅威インテリジェンス情報も確認し、詳細な対策を講じてください。特に、不明なファイルのアップロードをブロックするなどの対策も有効です。
参考
- Wordfence - Super Forms <= 6.3.313 - Unauthenticated Arbitrary File Upload
- GitHub - super-forms commit for fix
CVE-2026-50628: Apache CXF OAuth2におけるIPバインディングチェックの論理エラー
-
CVSS: 9.8 (Critical)
-
影響: Apache Software Foundation / Apache CXF — versions: 4.2.0 〜 < 4.2.2, 0 〜 < 4.1.7
概要
Apache CXFのOAuth2におけるOAuthRequestFilterのIPバインディングチェックに論理エラーが存在します。このセキュリティ機能が意図せず逆のチェックを行い、本来拒否すべきIPアドレスからの正当なリクエストを拒否し、同時に任意の他のIPアドレスからのリクエストを許可してしまいます。これにより、セキュリティ制御が迂回される可能性があります。
推奨対応
本脆弱性はApache CXFのバージョン4.2.2および4.1.7で修正されています。影響を受けるバージョンのApache CXFを使用している場合は、速やかにこれらの修正バージョンへアップグレードすることを推奨します。
参考
CVE-2026-52924: LinuxカーネルSCTP実装におけるUse-after-free
-
CVSS: 9.8 (Critical)
-
影響: Linux / Linux — versions: 4.15 (affected), 5bbbbe32a43199c2b9ea5ea66fab6241c64beb51 〜 < 84b7a319105db2f917ccdcf502bdc866082b1285 (affected) など多数
概要
LinuxカーネルのSCTP実装において、Stale Cookie ERROR処理時にuse-after-freeの脆弱性が存在します。アソシエーションがCOOKIE_WAIT状態へロールバックされる際、ストリームスケジューラの状態(stream->out_curr)が適切に無効化されず、解放済みのメモリを指したままになることがあります。これにより、後続の操作でuse-after-freeが発生し、カーネルクラッシュにつながる可能性があります。
推奨対応
本脆弱性に対する修正が適用された最新のカーネルバージョンへのアップデートを推奨します。使用しているLinuxディストリビューションのセキュリティ情報を確認し、提供されているパッチを速やかに適用してください。特に84b7a319105db2f917ccdcf502bdc866082b1285コミットを含むバージョンへの更新が求められます。
参考
CVE-2026-15282: WordPress Instant Appointmentプラグインの認証なしファイルアップロード
-
CVSS: 9.8 (Critical)
-
影響: tenteeglobal / Instant Appointment — versions: 0 〜 <= 1.2
概要
WordPressプラグイン「Instant Appointment」のバージョン1.2以前に、insapp_upload_image_as_attachment機能におけるファイルタイプ検証の欠如により、認証されていない状態での任意のファイルアップロードの脆弱性が存在します。この脆弱性を悪用されると、攻撃者はサーバー上に任意のファイルをアップロードし、リモートコード実行を可能にする恐れがあります。
推奨対応
本脆弱性に対する修正が適用された最新バージョンへのアップデートを推奨します。Wordfenceの脅威インテリジェンス情報も確認し、詳細な対策を講じてください。特に、アップロードされるファイルの拡張子や内容を厳しく制限するなどの対策も有効です。
参考
CVE-2026-14544: HPLIPにおける不完全な修正と特権昇格
-
CVSS: 9.8 (Critical)
-
影響: Red Hat / Red Hat Enterprise Linux 6, 7, 8, 9, 10
概要
HPLIP(HP Linux Imaging and Printing Software)において、CVE-2026-8631に対する不完全な修正に起因する脆弱性が存在します。この脆弱性は、特別に細工された印刷データ処理パスでの整数オーバーフローを介して、リモート攻撃者が特権昇格や任意のコード実行を行う可能性を秘めています。
推奨対応
Red Hat Enterprise Linuxの各バージョンについて、Red Hatが提供するセキュリティアドバイザリ(CVE-2026-14544)を速やかに確認し、修正プログラムを適用することを強く推奨します。
参考
CVE-2026-13461: PayRangeアプリのJavaScriptインジェクション
-
CVSS: 9.6 (Critical)
-
影響: PayRange / PayRange — versions: 7.0.7
概要
PayRangeアプリのバージョン7.0.7に、JavaScriptインジェクションの脆弱性が存在します。この脆弱性は、SSLバイパス脆弱性と組み合わせることで悪用される可能性があり、攻撃者はWebViewサンドボックスを回避し、ユーザーのデバイス上で危険な操作を実行する恐れがあります。これには機密情報の窃取や不正な機能の実行が含まれる可能性があります。
推奨対応
PayRangeアプリの最新バージョンへのアップデートを強く推奨します。同時に、SSLバイパス対策を含め、アプリのセキュリティ設定やデバイス全体のセキュリティ対策を見直すことが重要です。CERT/CCの勧告も参照してください。
参考
- CERT/CC Vulnerability Note VU#152953
- CWE-94: Improper Control of Generation of Code (‘Code Injection’)