2026-06-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/17 最終更新日:2026/06/17 JVN#20769211 RadiX AX6600 WiFi 6 Tri-Band Gaming RouterにおけるOSコマンドインジェクションの脆弱性 Micro-Star International Co., Ltd.が提供するRadiX AX6600 WiFi 6 Tri-Band Gaming Routerには、OSコマンドインジェクションの脆弱性が存在します。 RadiX AX6600 WiFi 6 Tri-Band Gaming Router v781521より前のファームウェアバージョン Micro-Star International Co., Ltd.が提供するRadiX AX6600 WiFi 6 Tri-Band Gaming Routerには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-53876 管理者としてWebコンソールへログインしたユーザによって、root権限で任意のコマンドが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Micro-Star International Co., Ltd. Drivers & Downloads この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 渋田 和宏 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-53876 JVN iPedia JVNDB-2026-000087
2026-06-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/16 最終更新日:2026/06/16 JVN#16937365 ThingsBoardにおけるプロトタイプ汚染の脆弱性 ThingsBoardにはプロトタイプ汚染の脆弱性が存在します。 ThingsBoard v4.3.1.2より前のバージョン ThingsBoardには次の脆弱性が存在します。 プロトタイプ汚染(CWE-1321) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-53676 当該製品にテナント管理者(TENANT_ADMIN)権限でログイン可能なユーザによって、サンドボックス内で任意のコードが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク ThingsBoard ThingsBoard Release Table Hardened remote JS executor script invocation#15600 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 今井啓貴 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-53676 JVN iPedia JVNDB-2026-000086
2026-06-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/16 最終更新日:2026/06/16 JVN#79926428 Optical Disc Archive Software(Windows版)のインストーラにおけるインストール時の不適切なファイルアクセス権設定の脆弱性 ソニー株式会社が提供するOptical Disc Archive Software(Windows版)のインストーラには、インストール時の不適切なファイルアクセス権設定の脆弱性が存在します。 Optical Disc Archive Software(Windows版)5.5.3およびそれ以前のバージョン ソニー株式会社が提供するOptical Disc Archive Software(Windows版)のインストーラには、次の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 5.4 CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2026-50255 SYSTEM権限で任意のコードを実行される可能性があります。 最新のインストーラを使用する 開発者が提供するインストーラの最新版を使用してください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク ソニー株式会社 Software: Optical Disc Archive Software(Driver) V5.5.4 (Windows) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-50255 JVN iPedia JVNDB-2026-000084
2026-06-15
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/15 最終更新日:2026/06/15 JVN#55319858 リコーおよびコニカミノルタジャパン製プリンタドライバーにおける権限昇格の脆弱性 株式会社リコーおよびコニカミノルタジャパン株式会社が提供するプリンタドライバーには、権限昇格の脆弱性が存在します。 影響を受ける製品は複数存在します。 影響を受ける製品、バージョンなどの詳細は、各製品開発者が提供する情報を確認してください。 株式会社リコー コニカミノルタジャパン株式会社 株式会社リコーおよびコニカミノルタジャパン株式会社が提供する複数のプリンタドライバーには、権限昇格の脆弱性が存在します。 権限昇格(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-50100 当該プリンタドライバーがインストールされたコンピューターにログイン可能なユーザーによって細工されたプリンタドライバーを使用されることで、管理者権限が取得される可能性があります。 最新のプリンタドライバーを使用する 各開発者が提供する情報をもとに、本件の対策が行われている最新版のプリンタドライバーを使用してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ コニカミノルタジャパン株式会社 該当製品あり 2026/06/15 コニカミノルタジャパン株式会社 の告知ページ ベンダ リンク 株式会社リコー 「リコー製ドライバーにおける権限昇格の脆弱性」によるリコー製品への影響について この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-50100 JVN iPedia JVNDB-2026-000085
2026-06-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-06-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-06-10
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-06-09
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/09 最終更新日:2026/06/09 JVN#27656135 CamViewのインストーラにおけるDLL読み込みに関する脆弱性 株式会社アルコムが提供するCamViewのインストーラにはDLL読み込みに関する脆弱性が存在します。 CamView(32ビット版)3.3.21より前のバージョン CamView(64ビット版)3.4.3より前のバージョン 株式会社アルコムが提供するCamViewのインストーラには次の脆弱性が存在します。DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう可能性があります。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2015-9268 上記のCVSS評価では、細工されたDLLファイルをインストーラと同じディレクトリに配置してインストーラを実行するように、ユーザが誘導される状況を想定しています 細工されたDLLファイルを同じディレクトリに置いた状態でインストーラを実行すると、インストーラを実行しているユーザの権限で任意のコードが実行される可能性があります。 最新のインストーラを使用する 製品をインストールする際は最新版のインストーラを使用してください。 本脆弱性を修正した以下のバージョンがリリースされています。 CamView(32ビット版)3.3.21 CamView(64ビット版)3.4.3 ベンダ リンク 株式会社アルコム PC用ソフト・アプリケーション|取扱説明書・寸法図・チラシ一覧 Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000083
2026-06-05
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/05 最終更新日:2026/06/05 JVN#70631953 複数のTP-LINK製品における重要情報の平文送信の脆弱性 TP-Link Systems Inc.が提供する複数の製品には、重要情報の平文送信の脆弱性が存在します。 Tapo L535E hardware version v3.0 region EU / US ファームウェア 1.4.1 Build 251016 Rel.204554より前のバージョン Tapo L535E hardware version v1.0 region JP ファームウェア 1.4.1 Build 251016 Rel.204554より前のバージョン Tapo P300 hardware version v1.0 region EU ファームウェア 1.4.2 Build 251219 Rel.142654より前のバージョン Tapo P300 hardware version v1.0 region JP ファームウェア 1.4.0 Build 260416 Rel.014037より前のバージョン Tapo D100C hardware version v1.0 region EU / JP / US ファームウェア 1.3.1 Build 260421 Rel.031658より前のバージョン D100Cは、Tapoカメラに同梱されているチャイムで、以下のTapo製品にも同梱されています。 D130、D210、D235、D225、TD21、TDB21およびTD25 TP-Link Systems Inc.が提供する複数の製品には、次の脆弱性が存在します。 重要情報の平文送信(CWE-319) CVSS:4.0/AV:A/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N 基本値 7.3 CVSS:3.0/AV:A/AC:H/PR:N/UI:R/S:U/C:H/I:H/A:L 基本値 6.7 CVE-2026-34126 中間者攻撃(man-in-the-middle attack)やBluetoothスニッフィングによって、第三者に通信内容を傍受、改ざんされたり、初期化中にデバイスを不正に制御されたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク TP-Link Systems Inc. Security Advisory: Bluetooth Communication Uses Unencrypted Transmission During Initial Setup on Tapo L535E, P300 and D100C (CVE-2026-34126) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:合同会社エルプラス eyegrep 氏、izurina 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000082
2026-06-03
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/03 最終更新日:2026/06/03 JVN#24733221 WordPress用プラグインZoho Mail for WordPressにおけるクロスサイトリクエストフォージェリの脆弱性 Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、クロスサイトリクエストフォージェリの脆弱性が存在します。 Zoho Mail for WordPress 1.6.2より前のバージョン Zohoが提供するWordPress用プラグインZoho Mail for WordPressには、次の脆弱性が存在します。 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-8174 管理者権限を持ったユーザが、当該プラグインを有効にしているサイトにログインしている状態で細工されたページにアクセスした場合、意図しないPOSTリクエストを送信させられ設定内容を改ざんされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Zoho Zoho Mail for WordPress この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:阿部 則夫 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000081
2026-06-01
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/06/01 最終更新日:2026/06/01 JVN#67883085 ServerView Agents for Windowsにおける複数の脆弱性 エフサステクノロジーズ製のServerView Agents for Windowsには、複数の脆弱性が存在します。 ServerView Agents for Windows V11.60.04およびそれ以前のバージョン エフサステクノロジーズ株式会社が提供するServerView Agents for Windowsはサーバ管理ソフトウェアです。ServerView Agents for Windowsには、次の複数の脆弱性が存在します。 重要なリソースに対する不適切なアクセス権の割り当て(CWE-732) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-27788 権限昇格(CWE-268) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-32325 当該製品がインストールされたサーバにログイン可能な攻撃者によって、SYSTEM権限を取得される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ワークアラウンドを実施する 開発者はアップデートを適用するまでの間、ワークアラウンドの適用を推奨しています。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エフサステクノロジーズ株式会社 該当製品あり 2026/06/01 エフサステクノロジーズ株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-27788 CVE-2026-32325 JVN iPedia JVNDB-2026-000077
2026-05-28
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/28 最終更新日:2026/05/28 JVN#01719116 Jupyter Serverにおけるオープンリダイレクトの脆弱性 Jupyter Development Teamが提供するJupyter Serverには、オープンリダイレクトの脆弱性が存在します。 Jupyter Server 2.17.0およびそれ以前のバージョン Jupyter Development Teamが提供するJupyter Serverには、次の脆弱性が存在します。 オープンリダイレクト(CWE-601) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:N/VI:N/VA:N/SC:H/SI:N/SA:N 基本値 6.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:H/I:N/A:N 基本値 7.4 CVE-2025-61669 細工されたURLにアクセスすることで任意のウェブサイトにリダイレクトされ、フィッシングなどの被害にあう可能性があります。 アップデートする 製品開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Jupyter Development Team Open redirection vulnerability in `next` query parameter CVSS評価値は、本件に対して採番されたCVE-2025-61669の情報に基づいています。 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAと開発者へ報告し、JPCERT/CCが開発者と公表の調整を行いました。 報告者:株式会社サイバーディフェンス研究所 岩崎 徳明 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000080
2026-05-25
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/25 最終更新日:2026/05/25 JVN#80890147 NEC AtermシリーズにおけるOSコマンドインジェクションの脆弱性(NV26-003) 日本電気株式会社が提供するAtermシリーズには、OSコマンドインジェクションの脆弱性が存在します。 MR51FN Ver.3.4.0より前のバージョン CM51FD Ver.1.2.0より前のバージョン 日本電気株式会社が提供するAtermシリーズには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:A/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:A/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.8 CVE-2026-8652 管理者としてWebコンソールにログインできる第三者によって、任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2026/05/25 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 加藤 創 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000079 2026/05/25 [詳細情報]を更新しました
2026-05-25
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/25 最終更新日:2026/05/25 JVN#69049186 NEC Atermシリーズにおけるクロスサイトスクリプティングの脆弱性(NV26-002) 日本電気株式会社が提供するAtermシリーズには、クロスサイトスクリプティングの脆弱性が存在します。 WX1800HP Ver.3.2.2より前のバージョン WX5400HP Ver.2.1.0より前のバージョン WX7800T8 Ver.1.5.1より前のバージョン WX11000T12 Ver.1.4.0より前のバージョン WX3000HP2 Ver.1.3.2より前のバージョン WX4200D5 Ver.1.3.5より前のバージョン GX621A1 Ver.3.2.2より前のバージョン SH621A1 Ver.3.2.2より前のバージョン 19000T12BE Ver.1.1.0より前のバージョン 日本電気株式会社が提供するAtermシリーズには、次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:A/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:A/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N 基本値 3.8 CVE-2026-6059 当該製品のWeb管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2026/05/25 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社サイバーディフェンス研究所 岩崎 徳明 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000078 2026/05/25 [詳細情報]を更新しました
2026-05-20
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/20 最終更新日:2026/05/20 JVN#56484285 Movable Typeにおける権限チェックの欠如の脆弱性 シックス・アパート株式会社が提供するMovable Typeには、権限チェックの欠如の脆弱性が存在します。 Movable Type / Movable Type Advanced 9.1.1およびそれ以前(9.1系) 9.0.7およびそれ以前(9.0系) 8.8.3およびそれ以前(8.8系) 8.0.10およびそれ以前(8.0系) Movable Type Premium / Movable Type Premium(Advanced Edition) 9.1.1およびそれ以前(9.1系) 9.0.7およびそれ以前(9.0系) 2.15およびそれ以前(Movable Type 8.8.4およびそれ以前同梱版、またはMovable Type 8.0.11およびそれ以前同梱版) シックス・アパート株式会社が提供するMovable Typeには、次の脆弱性が存在します。 権限チェックの欠如(CWE-862) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-44392 特定の状況下において管理権限のないユーザが当該製品にサインインすると、意図しないアップデート処理が実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シックス・アパート株式会社 該当製品あり 2026/05/20 シックス・アパート株式会社 の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-44392 JVN iPedia JVNDB-2026-000076
2026-05-15
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/15 最終更新日:2026/05/15 JVN#69128376 Musetheque V4 情報公開 for IPKNOWLEDGEにおける複数の脆弱性 富士通Japan株式会社が提供するMusetheque V4 情報公開 for IPKNOWLEDGEには、複数の脆弱性が存在します。 Musetheque V4 情報公開 for IPKNOWLEDGE V4L1 リビジョン番号 rev2203.0およびそれ以前 富士通Japan株式会社が提供するMusetheque V4 情報公開 for IPKNOWLEDGEには、次の複数の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-24662 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:N 基本値 8.1 CVE-2026-28761 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 細工された内容を含むファイルをアップロードされた場合、当該製品にログインした状態のユーザがファイルの情報を表示するページにアクセスした際に、ウェブブラウザ上で任意のスクリプトを実行される(CVE-2026-24662) 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、当該製品に対して意図しない操作をさせられる(CVE-2026-28761) アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 本脆弱性は次のバージョンで修正されています。 Musetheque V4 情報公開 for IPKNOWLEDGE V4L1 リビジョン番号 rev2603.1 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 富士通Japan株式会社 該当製品あり 2026/05/15 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティbyイエラエ株式会社 飯村望 氏、小田切祥 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24662 CVE-2026-28761 JVN iPedia JVNDB-2026-000054
2026-05-14
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/14 最終更新日:2026/05/14 JVN#14434132 WPS Officeで使用される名前付きパイプに対するアクセス制御不備の脆弱性 WPS株式会社が提供するWPS Officeは、内部で使用している名前付きパイプに対するアクセス制御が不十分です。 WPS Office2(2020年版)Ver.11.2.0.10707およびそれ以前 WPS Office2(2025年版)Ver.11.2.0.10715およびそれ以前 WPS Cloud Ver.11.2.0.10715およびそれ以前 WPS Cloud Pro Ver.11.2.0.10716およびそれ以前 KINGSOFT PDF Pro Ver.11.2.0.10715およびそれ以前 WPS株式会社が提供するWPS Officeには、バックグラウンドで動作し一定の機能を提供するサービスプログラムが含まれています。このサービスプログラムは、名前付きパイプを使ってWPS Officeに含まれている他のプログラムと通信します。 これらプログラム間の通信で使われる名前付きパイプには適切なACLが設定されておらず、管理者権限を持たない一般ユーザがアクセス可能です。 危険なメソッドや関数に対する不適切な保護(CWE-749) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2018-6400 管理者権限を持たない一般ユーザーによって、SYSTEM権限で任意のプログラムを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク WPS株式会社 Windows向けソフトウェアの脆弱性に関するお知らせ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000074
2026-05-13
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/13 最終更新日:2026/05/13 JVN#35567473 GUARDIANWALL MailSuiteにおけるスタックベースのバッファオーバーフローの脆弱性 緊急 キヤノンマーケティングジャパン株式会社が提供するGUARDIANWALL MailSuiteには、スタックベースのバッファオーバーフローの脆弱性が存在します。 GUARDIANWALL MailSuite(オンプレミス版)Ver 1.4.00からVer 2.4.26まで GUARDIANWALL Mailセキュリティ・クラウド(SaaS版)2026年4⽉30⽇のメンテナンスより前のバージョン キヤノンマーケティングジャパン株式会社が提供するGUARDIANWALL MailSuiteには、次の脆弱性が存在します。 pop3wallpasswdコマンドにおけるスタックベースのバッファオーバーフロー(CWE-121) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-32661 pop3wallpasswdがgrdnwwwユーザ権限で実行される構成の場合、本脆弱性の影響を受けます 開発者によると、GUARDIANWALL MailSuite(オンプレミス版)において本脆弱性を悪用した攻撃が既に確認されているとのことです。 攻撃者によって当該製品のWebサービスに細工されたリクエストを送信された場合、任意のコードを実行される可能性があります。 パッチを適用する 開発者が提供する情報をもとにパッチを適用してください。 なお、GUARDIANWALL Mailセキュリティ・クラウド(SaaS版)は2026年4月30日のメンテナンスで修正済みです。 ワークアラウンドを実施する 開発者はパッチを適用するまでの間、ワークアラウンドの適用を推奨しています。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ キヤノンマーケティングジャパン株式会社 該当製品あり 2026/05/13 キヤノンマーケティングジャパン株式会社 の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT-AT-2026-0013GUARDIANWALL MailSuiteにおけるスタックベースのバッファオーバーフローの脆弱性に関する注意喚起 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-32661 JVN iPedia JVNDB-2026-000072 2026/05/13 [関連文書]を追加しました 2026/05/13 キヤノンマーケティングジャパン株式会社のベンダステータスが更新されました
2026-05-13
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/13 最終更新日:2026/05/13 JVN#24167657 Androidアプリ「あんしんフィルター for au」における重要情報の平文送信の脆弱性 KDDI株式会社が提供するAndroidアプリ「あんしんフィルター for au」には、重要情報の平文送信の脆弱性が存在します。 Androidアプリ「あんしんフィルター for au」4.9_b0003より前のバージョン KDDI株式会社が提供するAndroidアプリ「あんしんフィルター for au」には、次の脆弱性が存在します。 重要情報の平文送信(CWE-319) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 6.3 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:L/I:L/A:N 基本値 4.8 CVE-2026-41281 中間者攻撃(man-in-the-middle attack)によって、第三者に通信内容を傍受されたり、改ざんされたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ KDDI株式会社 該当製品あり 2026/05/13 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41281 JVN iPedia JVNDB-2026-000069
2026-05-13
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/13 最終更新日:2026/05/13 JVN#98871848 Bytello Share(Windows版)のEXE形式インストーラにおけるDLL読み込みに関する脆弱性 Bytelloが提供するBytello Share(Windows版)のEXE形式インストーラにはDLL読み込みに関する脆弱性が存在します。 Bytello Share(Windows版)5.13.0.4246より前のバージョン Bytelloが提供するBytello Shareは大型ディスプレイ向けの画面ミラーリングツールです。Bytello ShareのEXE形式インストーラにはDLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう可能性があります。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-44612 上記のCVSSスコアでは、細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置いてインストーラを実行するように、ユーザが誘導される状況を想定しています 細工されたDLLファイルを同じディレクトリに置いた状態でインストーラを実行すると、インストーラを実行している権限で任意のコードを実行される可能性があります。 最新のインストーラを使用する 製品をインストールする際は最新版のインストーラを使用してください。 バージョン5.13.0.4246のインストーラは、MSI形式のインストールパッケージとして提供されています。 ベンダ リンク Bytello Downloads Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-44612 JVN iPedia JVNDB-2026-000075
2026-05-13
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-05-13
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2026-05-12
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/12 最終更新日:2026/05/19 JVN#03037325 エレコム製無線LANルーターおよび無線アクセスポイントにおける複数の脆弱性(2026年5月) エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、複数の脆弱性が存在します。 CVE-2026-25107 WRC-X3000GS2-B v1.09およびそれ以前のバージョン WRC-X3000GS2-W v1.09およびそれ以前のバージョン WRC-X3000GS2A-B v1.09およびそれ以前のバージョン WRC-X3000GST2-B v1.06およびそれ以前のバージョン WRC-X1800GS-B v1.19およびそれ以前のバージョン WRC-X1800GSA-B v1.19およびそれ以前のバージョン WRC-X1800GSH-B v1.19およびそれ以前のバージョン WRC-X6000QS-G v1.14およびそれ以前のバージョン WRC-X6000QSA-G v1.14およびそれ以前のバージョン WRC-X6000XS-G v1.12およびそれ以前のバージョン WRC-X6000XST-G v1.16およびそれ以前のバージョン WRC-XE5400GS-G v1.13およびそれ以前のバージョン WRC-XE5400GSA-G v1.13およびそれ以前のバージョン CVE-2026-35506、CVE-2026-40621、CVE-2026-42062 WRC-BE72XSD-B v1.1.1およびそれ以前のバージョン WRC-BE72XSD-BA v1.1.1およびそれ以前のバージョン WRC-BE65QSD-B v1.1.0およびそれ以前のバージョン WRC-W702-B v1.1.0およびそれ以前のバージョン CVE-2026-42948、CVE-2026-42950、CVE-2026-42961 WAB-BE187-M v1.1.10およびそれ以前のバージョン WAB-BE72-M v1.1.3およびそれ以前のバージョン WAB-BE36-M v1.1.3およびそれ以前のバージョン WAB-BE36-S v1.1.3およびそれ以前のバージョン エレコム株式会社が提供する無線LANルーターおよび無線アクセスポイントには、次の複数の脆弱性が存在します。 設定ファイルのバックアップにおけるハードコードされた暗号鍵の使用(CWE-321) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値 6.5 CVE-2026-25107 ping_ip_addrパラメータの処理におけるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-35506 特定のURLへのアクセスにおける認証欠如(CWE-288) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-40621 usernameパラメータの処理におけるOSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-42062 hostnameパラメータ処理の不備に起因する格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8 CVE-2026-42948 languageパラメータの検証欠如(CWE-754) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値 4.3 CVE-2026-42950 CSRF対策の不備(CWE-344) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-42961 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 暗号化鍵を知っている攻撃者によって、当該製品の設定ファイルを偽造される(CVE-2026-25107) 当該製品にログインしたユーザが送信した細工されたリクエストを処理することによって、任意のOSコマンドを実行される(CVE-2026-35506) 特定のURLを知っている攻撃者によって、認証無しに当該製品を操作される(CVE-2026-40621) 認証無しで任意のOSコマンドを実行される(CVE-2026-42062) 当該製品の管理者ユーザの一人が細工された入力を行った場合、その後にログインした別の管理者ユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2026-42948) 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、管理画面を操作できなくなる(CVE-2026-42950) 当該製品にログインした状態のユーザが細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2026-42961) アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エレコム株式会社 該当製品あり 2026/05/12 エレコム株式会社 の告知ページ 本件の脆弱性情報は、以下の方々によって報告され、JPCERT/CCが開発者との調整を行いました。 CVE-2026-25107、CVE-2026-42950、CVE-2026-42961 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-42948 報告者:スズキ株式会社 佐藤 信弥 氏、福井大学 二俣 圭介 氏、静岡大学 髙橋 夏生 氏、早稲田大学 佐々木 美結 氏、防衛省 富田 剛司 氏 CVE-2026-35506、CVE-2026-40621、CVE-2026-42062 報告者:株式会社ゼロゼロワン 早川 宙也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25107 CVE-2026-35506 CVE-2026-40621 CVE-2026-42062 CVE-2026-42948 CVE-2026-42950 CVE-2026-42961 JVN iPedia JVNDB-2026-000073 2026/05/19 [謝辞]を更新しました
2026-05-11
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/11 最終更新日:2026/05/11 JVN#38788367 GROWIにおけるパストラバーサルの脆弱性 株式会社GROWIが提供するGROWIには、パストラバーサルの脆弱性が存在します。 GROWI v7.5.0 およびそれ以前のバージョン なお、GROWIにメールサーバーが設定されている場合にのみ本脆弱性の影響を受けます。 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-41951 当該製品が動作するサーバ上で攻撃者の用意したESJテンプレートが実行され、任意のOSコマンドの実行やコード実行、サービスの停止につながる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 GROWI v7.5.1 詳細は開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2026/05/11 株式会社GROWI の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41951 JVN iPedia JVNDB-2026-000071
2026-05-11
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/11 最終更新日:2026/05/11 JVN#38632731 スマートフォンアプリ「くら寿司 公式アプリ」における証明書検証不備の脆弱性 株式会社EPGが提供するスマートフォンアプリ「くら寿司 公式アプリ」には、証明書検証不備の脆弱性が存在します。 Androidアプリ「くら寿司 公式アプリ」バージョン 2.0.11から3.9.10まで iOSアプリ「くら寿司 公式アプリ」バージョン 2.0.11から3.9.10まで 株式会社EPGが提供するスマートフォンアプリ「くら寿司 公式アプリ」には、次の脆弱性が存在します。 プッシュ通知に関する通信における証明書検証不備(CWE-295) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 9.1 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:N 基本値 7.4 無線LANのアクセスポイントを設置した第三者によって、中間者攻撃(man-in-the-middle attack)が行われることを想定 CVE-2026-41872 中間者攻撃(man-in-the-middle attack)が行われた場合、プッシュ通知に関する通信内容の盗聴や改ざんが行なわれる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 次のバージョンで本件の対策が行われています。 Androidアプリ「くら寿司 公式アプリ」 3.9.11 iOSアプリ「くら寿司 公式アプリ」 3.9.11 なお、開発者によると、本件の影響を受けるバージョンを使用している場合、起動時に即時アップデートを強制されるとのことです。 ベンダ リンク 株式会社EPG くら寿司 公式アプリ - Google Play のアプリ くら寿司 公式アプリ - App Store この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:SAK University 株式会社エスアイイー 小川 剛 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41872 JVN iPedia JVNDB-2026-000067
2026-05-11
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/11 最終更新日:2026/05/11 JVN#18013369 libXpmにおける境界外読み取りの脆弱性 X.Org Foundationが提供するlibXpmには、境界外読み取りの脆弱性が存在します。 libXpm 3.5.19より前のバージョン X.Org Foundationが提供するlibXpmには、XPMファイルの解析処理の不備に起因する、境界外読み取りの脆弱性が存在します。 境界外読み取り(CWE-125) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 4.6 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:N/A:L 基本値 3.3 CVE-2026-4367 不正な形式のXPMファイルを処理すると、プログラムがクラッシュする可能性があります。 アップデートする 開発者が提供する情報をもとに最新版へアップデートしてください。 ベンダ リンク X.Org Foundation X.Org Security Advisory: CVE-2026-4367: libXpm Out-of-bounds read in xpmNextWord() Fix CVE-2026-4367: Out-of-bounds read in xpmNextWord() この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:若松 直貴 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000070
2026-05-11
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/05/11 最終更新日:2026/05/11 JVN#68350834 LhazおよびLhaz+におけるパストラバーサルの脆弱性 ちとらソフトが提供するLhazおよびLhaz+には、パストラバーサルの脆弱性が存在します。 Lhaz 2.6.3 およびそれ以前のバージョン Lhaz+ 3.6.3 およびそれ以前のバージョン ちとらソフトが提供するLhazおよびLhaz+には、次の脆弱性が存在します。 パストラバーサル(CWE-22) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 4.6 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 3.3 CVE-2026-41530 フォルダ自動生成機能における書庫ファイル名の取り扱いには不備があります。 フォルダ自動生成機能を有効にした状態で、細工されたファイル名の書庫ファイルを展開すると、想定外のフォルダに展開される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 Lhaz バージョン 2.6.4 Lhaz+ バージョン 3.6.4 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ ちとらソフト 該当製品あり 2026/05/11 ちとらソフト の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMO Flatt Security株式会社 RyotaK 氏 矢野 礼伊 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41530 JVN iPedia JVNDB-2026-000068
2026-05-08
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-05-07
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-04-30
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/30 最終更新日:2026/04/30 JVN#65118274 リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)におけるオープンリダイレクトの脆弱性 リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)には、オープンリダイレクトの脆弱性が存在します。 リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)のうち特定の機種・バージョン 影響を受ける製品、バージョンなどの詳細は、製品開発者が提供する情報を確認してください。 株式会社リコーが提供するWeb Image Monitorは、レーザープリンタおよび複合機(MFP)本体内部で動作するウェブサーバです。 Web Image Monitorには、次の脆弱性が存在します。 オープンリダイレクト(CWE-601) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N 基本値 4.7 CVE-2026-41226 細工されたURLにアクセスすることで任意のウェブサイトにリダイレクトされ、結果としてフィッシングなどの被害にあう可能性があります。 アップデートする 製品開発者が提供する情報をもとに、Web Image Monitorを最新版へアップデートしてください。 ベンダ リンク 株式会社リコー 「リコー製Web Image Monitorを実装している複数のレーザープリンタおよび複合機(MFP)におけるオープンリダイレクトの脆弱性」によるリコー製品への影響について この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:Sixgen Inc Tony Kirkland 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41226 JVN iPedia JVNDB-2026-000066
2026-04-24
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/24 最終更新日:2026/04/24 JVN#20669184 Apache ActiveMQシリーズにおけるMQTTパケット検証不備の脆弱性[AMQ-9810] The Apache Software Foundationが提供するApache ActiveMQシリーズでは、MQTTパケットの検証が適切に行われていません。 Apache ActiveMQ 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン Apache ActiveMQ All モジュール 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン Apache ActiveMQ MQTT モジュール 5.19.2より前の5.xバージョン、6.2.4より前の6.xバージョン The Apache Software Foundationが提供するApache ActiveMQシリーズではMQTTパケットの検証が適切に行われておらず、整数オーバーフローが発生して想定外の動作につながる可能性があります。 Apache ActiveMQシリーズには、次の脆弱性が存在します。 整数オーバーフローまたはラップアラウンド(CWE-190) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.3 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:L/I:L/A:N 基本値 5.4 CVE-2025-66168、CVE-2026-40046 細工されたMQTTパケットを適切に処理できず、想定外の動作が発生する可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク The Apache Software Foundation CVE-2025-66168 - MQTT control packet remaining length field is not properly validated CVE-2026-40046 - Missing fix for CVE-2025-66168: MQTT control packet remaining length field is not properly validated [AMQ-9810] Add additional validation for MQTT control packets この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がバージョン6.2.0に対する指摘として開発者とIPAに報告し、JPCERT/CCが開発者と公表の調整を行いました。 報告者:三井物産セキュアディレクション株式会社 田中 凱 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-006408
2026-04-23
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/23 最終更新日:2026/04/23 JVN#46728373 GROWIにおける、正規表現を用いたサービス運用妨害(ReDoS)の脆弱性 株式会社GROWIが提供するGROWIには、正規表現を用いたサービス運用妨害(ReDoS)の脆弱性が存在します。 GROWI v7.5.0およびそれ以前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 非効率な正規表現の使用(CWE-1333) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:H 基本値 7.5 CVE-2026-41040 攻撃者によりサービス運用妨害(DoS)攻撃を受ける可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.5.1以降 詳細は開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2026/04/23 株式会社GROWI の告知ページ この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:GMOサイバーセキュリティby イエラエ株式会社 ⼩⽥切 祥 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-41040 JVN iPedia JVNDB-2026-000064 2026/04/23 [詳細情報]の誤記を修正しました
2026-04-23
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/23 最終更新日:2026/04/23 JVN#57877356 LogonTracerにおける複数の脆弱性 一般社団法人JPCERTコーディネーションセンターが提供するLogonTracerには、複数の脆弱性が存在します。 LogonTracer v2.0.0より前のバージョン 一般社団法人JPCERTコーディネーションセンターが提供するLogonTracerは、Windowsイベントログの分析をサポートするツールです。 LogonTracerには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-33277 データベースクエリの不適切な無害化(CWE-943) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-33566 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にログインしたユーザによって、任意のOSコマンドを実行される(CVE-2026-33277) 細工されたWindowsイベントログデータをロードした場合、データベースの内容を改ざんされる(CVE-2026-33566) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、LogonTracer v2.0.0で修正されています。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 一般社団法人JPCERTコーディネーションセンター 該当製品あり 2026/04/23 一般社団法人JPCERTコーディネーションセンター の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが組織内で調整を行いました。 報告者:松橋勇輝 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-33277 CVE-2026-33566 JVN iPedia JVNDB-2026-000059
2026-04-23
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/23 最終更新日:2026/04/23 JVN#42090270 i-PRO製IP簡単設定ソフトウェアにおけるDLL読み込みに関する脆弱性 i-PRO株式会社が提供するIP簡単設定ソフトウェアには、DLL読み込みに関する脆弱性が存在します。 IP簡単設定ソフトウェア V5.20より前のバージョン i-PRO株式会社が提供するIP簡単設定ソフトウェアには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 7.0 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値 7.3 CVE-2026-34488 管理者権限で任意のコードが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに最新版へアップデートしてください。 ベンダ リンク i-PRO株式会社 アドバイザリ リリースノート、ダウンロード Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、製品利用者への周知を目的に、開発者がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-34488 JVN iPedia JVNDB-2026-000063
2026-04-23
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/23 最終更新日:2026/04/23 JVN#08026319 CMS ALAYAにおけるSQLインジェクションの脆弱性 彼方株式会社が提供するCMS ALAYAには、SQLインジェクションの脆弱性が存在します。 CMS ALAYA 7.4.1.4およびそれ以前のバージョン 彼方株式会社が提供するCMS ALAYAには、次の脆弱性が存在します。 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L 基本値 4.7 CVE-2026-40529 管理者画面にアクセス可能な第三者によって、データベース内の情報を取得されたり、改ざんされたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 彼方株式会社 該当製品あり 2026/04/23 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ファイブドライブ 千田 直人 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-40529 JVN iPedia JVNDB-2026-000062
2026-04-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/22 最終更新日:2026/04/22 JVN#00575116 Ziostation2におけるパストラバーサルの脆弱性 ザイオソフト株式会社が提供するZiostation2には、パストラバーサルの脆弱性が存在します。 Ziostation2 v2.9.8.7およびそれ以前 ザイオソフト株式会社が提供するZiostation2には、次の脆弱性が存在します。 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 7.5 CVE-2026-40062 第三者によってOS上の機微な情報が取得される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ ザイオソフト株式会社 該当製品あり 2026/04/22 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ファイブドライブ 三浦 祐太 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-40062 JVN iPedia JVNDB-2026-000058
2026-04-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/22 最終更新日:2026/04/22 JVN#45563482 LiveOn MeetのWindows PC用クライアントインストーラおよびプラグインインストーラにおける任意のDLL読み込みの脆弱性 ジャパンメディアシステム株式会社が提供するLiveOn MeetのWindows PC用LiveOn Meetクライアントインストーラおよびキヤノンネットワークカメラ用プラグインインストーラには、DLL読み込みに関する脆弱性が存在します。 Windows PC用LiveOn Meetクライアントインストーラ Downloader5Installer.exe Ver.1.0.0.0 Downloader5InstallerForAdmin.exe Ver.1.0.0.0 キヤノンネットワークカメラ用プラグインインストーラ CanonNWCamPlugin.exe Ver.1.0.0.0 CanonNWCamPluginForAdmin.exe Ver.1.0.0.0 ジャパンメディアシステム株式会社が提供するLiveOn MeetはWeb会議システムです。LiveOn MeetのWindows PC用LiveOn Meetクライアントインストーラおよびキヤノンネットワークカメラ用プラグインインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-32679 細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受けます インストーラを実行している権限で、任意のコードを実行される可能性があります。 最新のインストーラを使用する 開発者から本脆弱性を修正したインストーラが提供されています。最新版のインストーラを使用してください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。 ベンダ リンク ジャパンメディアシステム株式会社 LiveOn Meet の Windows PC⽤クライアントインストーラおよびプラグインインストーラにおける任意の DLL 読み込みの脆弱性(PDF) Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-32679 JVN iPedia JVNDB-2026-000061
2026-04-22
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/22 最終更新日:2026/04/22 JVN#37524771 DeepL Chrome拡張機能におけるクロスサイトスクリプティングの脆弱性 DeepL Chrome拡張機能にはクロスサイトスクリプティングの脆弱性が存在します。 DeepL Chrome拡張機能 v1.22.0からv.1.23.0まで Web版のDeepLアプリケーションは本脆弱性の影響を受けません。 DeepL Chrome拡張機能には次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2026-40451 ユーザのWebブラウザ上で任意のスクリプトが実行されたり、ユーザが閲覧中のWebページに不正なHTMLが挿入されたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク DeepL Cross-Site Scripting (XSS) in DeepL Chrome Extension この脆弱性情報は、下記の方からの報告により、JPCERT/CCが開発者との調整を行いました。 報告者:サイボウズ株式会社 湯浅 潤樹 氏(JPCERT/CCに報告) 報告者:GMOサイバーセキュリティ byイエラエ株式会社 山崎 啓太郎 氏(情報セキュリティ早期警戒パートナーシップに基づきIPAに報告) JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-40451 JVN iPedia JVNDB-2026-000060
2026-04-22
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-04-20
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/20 最終更新日:2026/04/20 JVN#63376363 SKYSEA Client ViewおよびSKYMEC IT Managerにおける不適切なファイルアクセス権設定の脆弱性 Sky株式会社が提供するSKYSEA Client ViewおよびSKYMEC IT Managerには、不適切なファイルアクセス権設定の脆弱性が存在します。 SKYSEA Client View Ver.21.200.07jおよびそれ以前 SKYMEC IT Manager Ver.2024.005.10aおよびそれ以前 Sky株式会社が提供するSKYSEA Client ViewおよびSKYMEC IT Managerは、IT資産管理用ツールです。 SKYSEA Client ViewおよびSKYMEC IT Managerには、次の脆弱性が存在します。 インストールフォルダにおける不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-39454 管理者権限を持たない一般ユーザによって、当該製品のインストールフォルダ内のファイルを改変されたり任意のファイルを設置されたりする可能性があります。 結果として、管理者権限で任意のコードを実行される可能性があります。 アップデートする、あるいはパッチを適用する 当該製品を最新版にアップデートするか、パッチを適用してください。 詳細は、製品開発者が提供する情報を確認してください。 ベンダ リンク Sky株式会社 【重要】不適切なファイルアクセス権設定の脆弱性(CVE-2026-39454) この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者が製品利用者への周知を目的にJPCERT/CCに報告したものです。 報告者:日本電気株式会社 松本 隆志 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-39454 JVN iPedia JVNDB-2026-000051
2026-04-17
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/17 最終更新日:2026/04/17 JVN#78422311 CubeCartにおける複数の脆弱性 CubeCart Limitedが提供するCubeCartには、複数の脆弱性が存在します。 CubeCart 6.6.0より前のバージョン CubeCart Limitedが提供するCubeCartには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-21719 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値 6.3 CVE-2026-34018 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:N/A:N 基本値 2.7 CVE-2026-35496 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 管理権限を持つユーザにより、任意のOSコマンドが実行される(CVE-2026-21719) 攻撃者により、製品上で任意のSQLを実行させられる(CVE-2026-34018) 管理権限を持つユーザにより、本来アクセスできない上位のディレクトリのファイルが読み取られる(CVE-2026-35496) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 CubeCart 6.6.0 ベンダ リンク CubeCart Limited CubeCart 6.6.0 Released — The Biggest Update in Years この脆弱性情報は、下記の方が製品開発者に直接報告した後、情報セキュリティ早期警戒パートナーシップに基づき IPA に報告し、JPCERT/CC が開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 佐藤 元 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-21719 CVE-2026-34018 CVE-2026-35496 JVN iPedia JVNDB-2026-000057
2026-04-16
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/16 最終更新日:2026/04/17 JVN#88396700 Arcserve製UDP ConsoleにおけるダミーのURLへリダイレクトされる脆弱性 Arcserveが提供するUDP Consoleには、オフラインアクティベーションの通信がダミーのURLへリダイレクトされる脆弱性が存在します。 UDP Console バージョン10.3 Arcserveが提供するUDP Consoleには、次の脆弱性が存在します。 通信チャネルの不適切に指定された接続先(CWE-941) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:L/I:L/A:L 基本値 6.3 CVE-2026-40118 ユーザが当該製品のアクティベーションサーバーのホスト名にダミーのURLを設定すると、そのダミードメインと意図せず通信してしまい、情報が漏えいする可能性があります。 パッチを適用する Arcserveが提供する情報をもとに、修正パッチを適用してください。 ベンダ リンク Arcserve P00003790 | Arcserve UDP 10.3 | UDP Console Offline Activation Vulnerability この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、IPAがArcserveへ報告し、JPCERT/CCがArcserveと公表の調整を行いました。 報告者:安藤 慎吾 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-40118 JVN iPedia JVNDB-2026-000056 2026/04/17 [ベンダ情報]を更新しました
2026-04-15
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/15 最終更新日:2026/04/15 JVN#62079296 GROWIにおける格納型クロスサイトスクリプティングの脆弱性 株式会社GROWIが提供するGROWIには、格納型クロスサイトスクリプティングの脆弱性が存在します。 GROWI v7.4.6 およびそれより前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-26291 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.4.7 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2026/04/15 株式会社GROWI の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:齋藤徳秀 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-26291 JVN iPedia JVNDB-2026-000055
2026-04-15
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2026-04-15
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium
2026-04-13
Threat Intelligence
IPA CVE
危険度: high
緊急度: high
2026-04-10
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/10 最終更新日:2026/04/10 JVN#00263243 EmoCheckにおけるDLL読み込みに関する脆弱性 一般社団法人JPCERTコーディネーションセンターが提供するEmoCheckにはDLL読み込みに関する脆弱性が存在します。 EmoCheck すべてのバージョン 一般社団法人JPCERTコーディネーションセンターが提供するEmoCheckはマルウェア「Emotet」の感染確認ツールです。EmoCheckには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう可能性があります。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-28704 細工されたDLLファイルを危険なファイルと知らずにダウンロードしてEmoCheckと同じディレクトリに置き、その後、EmoCheckを実行した場合に本脆弱性の影響を受けます プログラムを実行している権限で、任意のコードを実行される可能性があります。 製品の使用を停止する EmoCheckはすでに配布終了しているため、使用停止を推奨します。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 一般社団法人JPCERTコーディネーションセンター 該当製品あり 2026/04/10 一般社団法人JPCERTコーディネーションセンター の告知ページ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが組織内で調整を行いました。 報告者:Powder Keg Technologies株式会社 島田凌 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-28704 JVN iPedia JVNDB-2026-000053 2026/04/10 一般社団法人JPCERTコーディネーションセンターのベンダステータスが更新されました
2026-04-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/08 最終更新日:2026/04/08 JVN#66473735 Movable Typeにおける複数の脆弱性 シックス・アパート株式会社が提供するMovable Typeには複数の脆弱性が存在します。 Movable Type / Movable Type Advanced 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系) 8.8.2 およびそれ以前(8.8系) 8.0.9 およびそれ以前(8.0系) Movable Type Premium / Movable Type Premium Advanced Edition 9.1.0 およびそれ以前(9.1系) 9.0.6 およびそれ以前(9.0系) Movable Type Premium / Movable Type Premium Advanced Edition / Movable Type Premium MT8ベース 2.14 およびそれ以前 リスティングフレームワークを利用した管理画面を持つ、またはData APIを利用しているMovable Typeが本脆弱性の影響を受けるため、以下のサポートが終了した製品も影響を受けます。 Movable Type 5.1 から 5.18(5.1系すべて) Movable Type 5.2 および 5.2.1 から 5.2.13(5.2系すべて) Movable Type 6.0 および 6.0.1 から 6.8.8(6系すべて) Movable Type 7 r.4207 から r.5510(7系すべて) Movable Type 8.4.0 から 8.4.4(8.4系すべて) Movable Type Premium 1.0 から 1.68(MTP 1系すべて) シックス・アパート株式会社が提供するMovable Typeには、次の複数の脆弱性が存在します。 コードインジェクション(CWE-94) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-25776 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3 CVE-2026-33088 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 任意のPerlコードが実行される(CVE-2026-25776) 任意のSQLが実行される(CVE-2026-33088) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 Movable Type 9.1.1(クラウド版のみ) 9.0.7 8.8.3 8.0.10 Movable Type Premium 9.1.1 / 9.0.7 2.15 ワークアラウンドを実施する Data API を経由する攻撃については、以下の方法でData APIを利用不可とすることにより回避することができます。 mt-data-api.cgiを削除する(CGI) Movable Typeの環境変数RestrictedPSGIAppにdata_apiを設定する(PSGI、MT 6.2以降) Movable Typeの環境変数DataAPIScriptに推測不可能な文字列を設定する(MT 6.0、6.1) 詳細は開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シックス・アパート株式会社 該当製品あり 2026/04/08 シックス・アパート株式会社 の告知ページ CVE-2026-25776 この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、開発者がJPCERT/CCに報告しました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 小田切祥 氏 CVE-2026-33088 この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告しました。 上記の報告を受け、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25776 CVE-2026-33088 JVN iPedia JVNDB-2026-000050
2026-04-08
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/08 最終更新日:2026/04/08 JVN#33581068 抹茶シリーズにおける複数の脆弱性 株式会社アイシーズが提供する抹茶シリーズには、複数の脆弱性が存在します。 CVE-2026-24913、CVE-2026-33273 抹茶請求書 2.6.6およびそれ以前のバージョン CVE-2026-27787 抹茶SNS 1.3.9およびそれ以前のバージョン 株式会社アイシーズが提供する抹茶シリーズには、次の複数の脆弱性が存在します。 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-24913 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-27787 アップロードするファイルの検証が不十分(CWE-434) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:L/I:L/A:L 基本値 4.7 CVE-2026-33273 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にログイン可能なユーザによって、データベース内の情報を取得されたり、改ざんされたりする(CVE-2026-24913) 当該製品を使用しているサイトにアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2026-27787) 当該製品の管理者によって、任意のファイルを作成され、結果としてサーバ上で任意のコードを実行される(CVE-2026-33273) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク 株式会社アイシーズ 抹茶請求書 2.6.7リリースのお知らせ 抹茶SNS 1.3.10リリースのお知らせ CVE-2026-24913、CVE-2026-27787 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 近川健太 氏 CVE-2026-33273 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者: 馬場 将次 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24913 CVE-2026-27787 CVE-2026-33273 JVN iPedia JVNDB-2026-000052
2026-04-08
Threat Intelligence
IPA CVE
危険度: medium
緊急度: medium