skip to content
今日の脆弱性
Table of Contents

概要

本日、CVSSスコア9.0以上のCriticalな重要脆弱性が15件公開されました。特にWordPress関連のプラグインやテーマ、MariaDBサーバー、Rclone、そしてAIモデル提供エンジンvLLMにおいて、リモートコード実行、任意のファイルアップロード、PHPオブジェクトインジェクション、権限昇格といった重大な脆弱性が報告されています。迅速な情報収集と対策が急務です。

CVE-2026-57719: WordPress Aimogen Pro plugin - Arbitrary File Upload

  • CVSS: 10.0 (Critical)
  • 影響: CodeRevolution / Aimogen Pro — versions: 0 〜 <= 2.8.3 (affected)

概要

WordPressプラグインAimogen Pro (バージョン2.8.3以下) に、危険な種類のファイルを無制限にアップロードできる脆弱性が存在します。この脆弱性を悪用されると、攻撃者が悪意のあるファイルをアップロードし、システム上で任意のコード実行やその他の深刻な影響を引き起こす可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。詳細な対応策はベンダーのアドバイザリを参照し、セキュリティを強化してください。

参考

CVE-2026-57811: WordPress Realtyna Organic IDX plugin plugin - Remote Code Execution (RCE)

  • CVSS: 10.0 (Critical)
  • 影響: Realtyna / Realtyna Organic IDX plugin — versions: 0 〜 <= 5.2.0 (affected)

概要

WordPressプラグインRealtyna Organic IDX plugin (バージョン5.2.0以下) に、リモートコード実行 (RCE) につながるコード生成の不適切な制御の脆弱性が確認されました。この脆弱性により、リモートからのコードインクルージョンが可能となり、システムが攻撃者の制御下に置かれる危険性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。システムの完全性を保護するため、迅速な対応が求められます。

参考

CVE-2026-49261: MariaDB server unsafe parameter handling in wsrep_notify_cmd

  • CVSS: 10.0 (Critical)
  • 影響: MariaDB / server — versions: >= 10.6.1, < 10.6.27 (affected), >= 10.11.1, < 10.11.18 (affected), >= 11.4.1, < 11.4.12 (affected), >= 11.8.1, < 11.8.8 (affected), = 12.3.1 (affected)

概要

MariaDBサーバのwsrep_notify_cmdパラメータ処理に安全でない挙動があり、攻撃者がjoinerノードの名前に埋め込まれたシェルコマンドを実行できる脆弱性です。これにより、任意のコマンドがMariaDBサーバが動作するシステム上で実行される可能性があり、極めて危険です。

推奨対応

影響を受けるバージョンを使用している場合は、バージョン10.6.27、10.11.18、11.4.12、11.8.8、または12.3.2以降に速やかにアップグレードしてください。アップグレードが困難な場合は、ワークアラウンドとしてwsrep_notify_cmdを無効にすることを検討してください。

参考

CVE-2026-57710: WordPress WoowBot Pro Max plugin - Arbitrary File Upload

  • CVSS: 9.9 (Critical)
  • 影響: quantumcloud / WoowBot Pro Max — versions: 0 〜 <= 14.1.7 (affected)

概要

WordPressプラグインWoowBot Pro Max (バージョン14.1.7以下) に、危険な種類のファイルを無制限にアップロードできる脆弱性が存在します。この脆弱性を利用されると、攻撃者が悪意のあるファイルをアップロードし、結果としてリモートコード実行など、システムに深刻な影響を与える可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、ベンダーからの修正パッチを速やかに適用するか、最新バージョンへの更新を検討してください。詳細についてはベンダーのアドバイザリを確認し、必要なセキュリティ対策を実施してください。

参考

CVE-2026-57401: WordPress SureDash plugin - Arbitrary File Deletion

  • CVSS: 9.9 (Critical)
  • 影響: Brainstorm Force / SureDash — versions: 0 〜 <= 1.8.0 (affected)

概要

WordPressプラグインSureDash (バージョン1.8.0以下) に、任意のファイル削除につながるパス・トラバーサル脆弱性が存在します。パス名が制限されたディレクトリに適切に制限されていないため、攻撃者がシステム上の意図しないファイルを削除できる可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。不正なファイル操作からシステムを保護するため、早期の対応が重要です。

参考

CVE-2026-11913: Drupal Mother May I - Critical

  • CVSS: 9.8 (Critical)
  • 影響: Drupal / Mother May I — versions: . (affected)

概要

DrupalのMother May IモジュールにCriticalな脆弱性 (SA-CONTRIB-2026-045) が報告されました。詳細な影響は記述されていませんが、CVSSスコアが9.8であることから、リモートからのコード実行や機密情報の漏洩など、システムに深刻な影響を与える可能性があります。

推奨対応

Mother May Iモジュールを使用している場合は、DrupalのセキュリティアドバイザリSA-CONTRIB-2026-045を確認し、ベンダーが提供する修正パッチを速やかに適用してください。このモジュールが不要な場合は無効化または削除も検討してください。

参考

CVE-2026-12535: Drupal Formatter Field - PHP object injection

  • CVSS: 9.8 (Critical)
  • 影響: Drupal / Formatter Field — versions: 0.0.0 〜 < 2.0.0 (affected)

概要

DrupalのFormatter Fieldモジュール (バージョン2.0.0未満) に、PHPオブジェクトインジェクションの脆弱性 (SA-CONTRIB-2026-048) が確認されました。動的に決定されるオブジェクト属性の不適切な制御により、攻撃者が悪意のあるオブジェクトを注入し、結果的にコード実行やデータ改ざんを行う可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかに最新バージョン2.0.0以降にアップグレードしてください。DrupalのセキュリティアドバイザリSA-CONTRIB-2026-048を参照し、詳細な修正手順を確認してください。

参考

CVE-2026-57770: WordPress Grand Photography theme - PHP Object Injection

  • CVSS: 9.8 (Critical)
  • 影響: ThemeGoods / Grand Photography — versions: 0 〜 <= 5.7.8 (affected)

概要

WordPressテーマGrand Photography (バージョン5.7.8以下) に、信頼できないデータの逆シリアル化に起因するPHPオブジェクトインジェクション脆弱性が存在します。この脆弱性を悪用されると、攻撃者が悪意のあるオブジェクトを注入し、結果としてリモートコード実行などの深刻な影響を引き起こす可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。システムの整合性を確保するため、迅速な対応が不可欠です。

参考

CVE-2026-59518: WordPress Directorist plugin - PHP Object Injection

  • CVSS: 9.8 (Critical)
  • 影響: wpWax / Directorist — versions: 0 〜 <= 8.8.2 (affected)

概要

WordPressプラグインDirectorist (バージョン8.8.2以下) に、信頼できないデータの逆シリアル化に起因するPHPオブジェクトインジェクション脆弱性が確認されました。この脆弱性を悪用されると、攻撃者が悪意のあるオブジェクトを注入し、結果としてシステム上で任意のコードを実行できる可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。不正なコード実行を防ぐため、早期の対策が重要です。

参考

CVE-2026-57813: WordPress MailOptin plugin - Privilege Escalation

  • CVSS: 9.8 (Critical)
  • 影響: properfraction / MailOptin — versions: 0 〜 <= 1.2.77.3 (affected)

概要

WordPressプラグインMailOptin (バージョン1.2.77.3以下) に、不適切な権限割り当てに起因する権限昇格の脆弱性が存在します。この脆弱性を悪用されると、攻撃者が通常のユーザー権限からより高い権限を取得し、システムを不正に操作する可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。不正な権限昇格を防ぐため、迅速な対応が不可欠です。

参考

CVE-2026-57738: WordPress 777 theme - PHP Object Injection

  • CVSS: 9.8 (Critical)
  • 影響: axiomthemes / 777 — versions: 0 〜 <= 1.13.0 (affected)

概要

WordPressテーマ777 (バージョン1.13.0以下) に、信頼できないデータの逆シリアル化に起因するPHPオブジェクトインジェクション脆弱性が存在します。攻撃者はこの脆弱性を悪用して悪意のあるオブジェクトを注入し、結果としてシステム上で任意のコードを実行する可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。潜在的なコード実行攻撃からシステムを保護するため、早期の対策が求められます。

参考

CVE-2026-57724: WordPress Kirki plugin - PHP Object Injection

  • CVSS: 9.8 (Critical)
  • 影響: Themeum / Kirki — versions: 0 〜 <= 6.0.12 (affected)

概要

WordPressプラグインKirki (バージョン6.0.12以下) に、信頼できないデータの逆シリアル化に起因するPHPオブジェクトインジェクション脆弱性が存在します。この脆弱性を悪用されると、攻撃者が悪意のあるオブジェクトを注入し、システムに深刻な影響を与える可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。システムのセキュリティを確保するため、迅速な対応が不可欠です。

参考

CVE-2026-57744: WordPress RT-Theme 18 | Extensions plugin - PHP Object Injection

  • CVSS: 9.8 (Critical)
  • 影響: stmcan / RT-Theme 18 | Extensions — versions: 0 〜 <= 2.5 (affected)

概要

WordPressプラグインRT-Theme 18 | Extensions (バージョン2.5以下) に、信頼できないデータの逆シリアル化に起因するPHPオブジェクトインジェクション脆弱性が存在します。攻撃者はこの脆弱性を悪用して悪意のあるオブジェクトを注入し、結果としてリモートコード実行などの深刻な影響を引き起こす可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、速やかにベンダーからの修正パッチを適用するか、最新バージョンへの更新を検討してください。システムを不正な操作から保護するため、迅速な対応が求められます。

参考

CVE-2026-49980: Rclone unauthenticated command execution via inline remote instantiation

  • CVSS: 9.8 (Critical)
  • 影響: rclone / rclone — versions: >= 1.46.0, < 1.74.3 (affected)

概要

Rcloneのrclone rcd --rc-serve機能において、認証なしでコマンドが実行される脆弱性です。バージョン1.46.0から1.74.3までのRcloneは、URLからのインラインリモート構成を通じてバックエンドオプションを設定でき、認証されていないGETまたはHEADリクエストによってローカルコマンドが実行される可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、バージョン1.74.3以降に速やかにアップグレードしてください。この脆弱性はCVE-2026-41179の修正を回避するため、早急なパッチ適用が必須です。

参考

CVE-2026-22778: vLLM leaks a heap address when PIL throws an error

  • CVSS: 9.8 (Critical)
  • 影響: vllm-project / vllm — versions: >= 0.8.3, < 0.14.1 (affected)

概要

vLLM (バージョン0.8.3から0.14.1未満) のマルチモーダルエンドポイントに無効な画像が送信されると、PILがエラーをスローし、ヒープアドレスがクライアントに漏洩する脆弱性です。この情報漏洩により、ASLRの保護が大幅に弱まり、他のヒープオーバーフローと組み合わされることでリモートコード実行につながる可能性があります。

推奨対応

影響を受けるバージョンを使用している場合は、バージョン0.14.1以降に速やかにアップグレードしてください。この脆弱性は他の攻撃と連鎖する可能性があるため、早期の対応が重要です。

参考

出典