Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/04/03 最終更新日:2026/04/03 JVN#89339669 NEC Atermシリーズにおける複数の脆弱性(NV26-001) 日本電気株式会社が提供するAtermシリーズには、複数の脆弱性が存在します。 影響を受けるモデルは広範囲に及びます。 詳細は、開発者が提供する情報を確認してください。 日本電気株式会社が提供するAtermシリーズには、次の複数の脆弱性が存在します。 権限チェックの欠如(CWE-862) CVE-2026-4309 パストラバーサル(CWE-22) CVE-2026-4619 OSコマンドインジェクション(CWE-78) CVE-2026-4620、CVE-2026-4622 セキュリティ上問題のある隠し機能(CWE-912) CVE-2026-4621 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 装置固有の情報を取得され、結果として、設定を変更される(CVE-2026-4309) 任意のファイルを上書きされる(CVE-2026-4619) 任意のOSコマンドを実行される(CVE-2026-4620、CVE-2026-4622) telnetサービスを有効化される(CVE-2026-4621) 機種によって対策は異なります。 詳細は、開発者が提供する情報をご確認ください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 日本電気株式会社 該当製品あり 2026/04/03 本件に関する脆弱性情報は以下の方々から報告され、JPCERT/CCが開発者との調整を行いました。 CVE-2026-4309 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方からIPAに報告されました。 報告者:三井物産セキュアディレクション株式会社 塚本 泰三 氏 CVE-2026-4619、CVE-2026-4620、CVE-2026-4621、CVE-2026-4622 この脆弱性情報は、下記の方からJPCERT/CCに報告されました。 報告者:株式会社ゼロゼロワン 早川 宙也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000049
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/27 最終更新日:2026/03/27 JVN#20837860 baserCMSにおける複数の脆弱性 baserCMSユーザー会が提供するbaserCMSには複数の脆弱性が存在します。 baserCMS 5.2.3より前のバージョン baserCMSユーザー会が提供するbaserCMSには、次の複数の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-30879 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:P/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.2 CVSS:3.0/AV:N/AC:H/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 8.1 CVE-2026-30880 SQLインジェクション(CWE-89) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:L/VA:L/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:L/A:L 基本値 7.3 CVE-2026-27697 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:L/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:L/I:L/A:N 基本値 4.6 CVE-2026-32734 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品を使用しているWebサイトにアクセスしたユーザーのWebブラウザ上で、任意のスクリプトが実行される(CVE-2026-30879、CVE-2026-32734) 攻撃者により任意のOSコマンドが実行される(CVE-2026-30880) 攻撃者により任意のSQLクエリが実行される(CVE-2026-27697) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ baserCMSユーザー会 該当製品あり 2026/03/27 baserCMSユーザー会 の告知ページ CVE-2026-30879 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 田中 凱 氏 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:VCSLab - Viettel Cyber Security quanlna2 (Le Nguyen Anh Quan) 氏、namdi (Do Ich Nam) 氏、minhnn42 (Nguyen Ngoc Minh) 氏 CVE-2026-30880 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:任興典 氏 CVE-2026-27697 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:フューチャーセキュアウェイブ株式会社 松本 守礼 氏 CVE-2026-32734 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:VCSLab - Viettel Cyber Security quanlna2 (Le Nguyen Anh Quan) 氏、namdi (Do Ich Nam) 氏、minhnn42 (Nguyen Ngoc Minh) 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000047
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/27 最終更新日:2026/03/27 JVN#48058823 WordPress用プラグインOpenStreetMapにおけるクロスサイトスクリプティングの脆弱性 MiKaが提供するWordPress用プラグインOpenStreetMapには、クロスサイトスクリプティングの脆弱性が存在します。 OpenStreetMap 6.1.15より前のバージョン MiKaが提供するWordPress用プラグインOpenStreetMapには、次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-33559 当該プラグインを有効にしている場合、ページ作成/編集権限をもったユーザが、細工したHTTPリクエストにより悪意を持ったスクリプトを埋め込む可能性があります。 このページにアクセスすると、webブラウザ上で任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク MiKa OSM – OpenStreetMap この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:高橋 直也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-33559 JVN iPedia JVNDB-2026-000045
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/27 最終更新日:2026/03/27 JVN#83788689 バッファロー製Wi-Fiルータにおける複数の脆弱性 株式会社バッファローが提供するWi-Fiルータ製品には、複数の脆弱性が存在します。 バッファロー製Wi-Fiルータ製品 影響を受ける製品、バージョンなどの詳細は、製品開発者が提供する情報を確認してください。 株式会社バッファローが提供するWi-Fiルータ製品には、次の複数の脆弱性が存在します。 脆弱なサードパーティ製コンポーネントの使用(CWE-1395) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:L/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:L/I:N/A:N 基本値 5.3 本問題はmini_httpdの脆弱性(CVE-2015-1548)に起因しています OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-27650 コードインジェクション(CWE-94) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-32669 代替パスまたはチャネルを使用した認証回避(CWE-288) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値 7.5 CVE-2026-32678 非公開機能を悪用される問題(CWE-912) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-33280 重要な機能に対する認証の欠如(CWE-306) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:N/VA:L/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:N/A:L 基本値 5.3 CVE-2026-33366 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 プロセスメモリから機微な情報が漏えいする(CVE-2015-1548) 製品上で任意のOSコマンドが実行される(CVE-2026-27650) 製品上で任意のコードが実行される(CVE-2026-32669) 攻撃者によって製品の重要な設定を不正に変更される(CVE-2026-32678) 攻撃者によってデバッグ機能へアクセスされ、結果として任意のOSコマンドが実行される(CVE-2026-33280) 攻撃者によって当該製品が強制的に再起動される(CVE-2026-33366) アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社バッファロー 該当製品あり 2026/03/27 株式会社バッファロー の告知ページ CVE-2015-1548 この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:JWP Consulting合同会社 Justus W. Perlwitz 氏 CVE-2026-27650 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:三井物産セキュアディレクション株式会社 米山 俊嗣 氏 CVE-2026-32669 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:安藤 弘治 氏、国立研究開発法人情報通信研究機構 切敷 裕大 氏 CVE-2026-32678、CVE-2026-33280、CVE-2026-33366 この脆弱性情報は、下記の方がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ゼロゼロワン 早川 宙也 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-32669 CVE-2026-32678 CVE-2026-33280 CVE-2026-33366 CVE-2026-27650 JVN iPedia JVNDB-2026-000046
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/26 最終更新日:2026/03/26 JVN#08057419 RATOC RAID監視マネージャー(Windows用)のインストーラーにおける複数の脆弱性 ラトックシステム株式会社が提供するRATOC RAID監視マネージャー(Windows用)のインストーラーには、複数の脆弱性が存在します。 RATOC RAID監視マネージャー(Windows用)2.00.009.260220より前のバージョン ラトックシステム株式会社が提供するRATOC RAID監視マネージャー(Windows用)のインストーラーには、次の複数の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-28760 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-32680 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 細工されたDLLファイルを一緒に置くように誘導された場合、管理者権限で任意のコードを実行される(CVE-2026-28760) 初期設定と異なるディレクトリにインストールした場合、インストール先ディレクトリに対するACLが適切な内容に設定されず、管理者権限を持たないユーザがディレクトリ内を自由に改変できる可能性がある。結果として、管理者権限を持たないユーザによってSYSTEM権限で任意のコードを実行される(CVE-2026-32680) アップデートする 開発者が提供する情報をもとに、RATOC RAID監視マネージャー(Windows用)を最新版へアップデートしてください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク ラトックシステム株式会社 RAID監視マネージャーの脆弱性に関するおしらせ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-28760 CVE-2026-32680 JVN iPedia JVNDB-2026-000044
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/26 最終更新日:2026/03/26 JVN#18035227 デジタルフォトフレームGH-WDF10Aにおけるアクセス制限不備の脆弱性 株式会社グリーンハウスが提供するデジタルフォトフレームGH-WDF10Aには、アクセス制限不備の脆弱性が存在します。 デジタルフォトフレーム GH-WDF10A すべてのバージョン 株式会社グリーンハウスが提供するデジタルフォトフレームGH-WDF10Aには、次の脆弱性が存在します。 有効なままのデバッグ機能(CWE-489) CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 7.0 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 6.8 CVE-2026-33201 管理者権限で当該機器のファイルや設定を読み書きされたり、任意のファイルを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに最新版へアップデートしてください。 ベンダ リンク 株式会社グリーンハウス デジタルフォトフレーム GH WDF10Aに関する重要なお知らせ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:髙瀬 航輝 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-33201 JVN iPedia JVNDB-2026-000042
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/25 最終更新日:2026/03/27 JVN#49524110 シャープ製ルーター製品における一部のweb APIに対する認証欠如の脆弱性 シャープ株式会社が提供する複数のルーター製品において、web APIの一部を認証なしに使用可能です。 株式会社NTTドコモ向け home 5G HR01 バージョン 38JP_0_490およびそれ以前 home 5G HR02 バージョン S5.A1.00およびそれ以前 Wi-Fi STATION SH-52A バージョン 38JP_2_03Jおよびそれ以前 Wi-Fi STATION SH-52B バージョン S3.87.15およびそれ以前 Wi-Fi STATION SH-54C バージョン S6.64.00およびそれ以前 ソフトバンク株式会社向け 5Gモバイルルーター SH-U01 バージョン S4.48.00およびそれ以前 Pocket WiFi 5G A503SH バージョン S7.41.00およびそれ以前 KDDI株式会社向け Speed Wi-Fi 5G X01 バージョン 3RJP_2_03Iおよびそれ以前 シャープ株式会社が提供する複数のルーター製品において、web APIの一部を認証なしに使用可能です。 これらのweb APIでは当該機器に関する情報を提供しています。また、管理者パスワードは当該機器に関する情報に基づいて初期設定されています。 重要な機能に対する認証の欠如(CWE-306) CVSS:4.0/AV:A/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:A/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 5.7 CVE-2026-32326 当該機器に関する情報を認証なしに取得される可能性があります。 管理者パスワードを初期設定のまま使用している場合、当該機器が不正アクセスを受ける可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 ただし、Wi-Fi STATION SH-52AとSpeed Wi-Fi 5G X01については、サポートサービスが終了しておりアップデートの提供はありません。 開発者は、ワークアラウンドの適⽤を推奨しています。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シャープ株式会社 該当製品あり 2026/03/25 シャープ株式会社 の告知ページ ソフトバンク株式会社 該当製品あり 2026/03/25 株式会社NTTドコモ 該当製品あり 2026/03/25 KDDI株式会社 該当製品あり 2026/03/26 KDDI株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:財前 匠汰 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-32326 JVN iPedia JVNDB-2026-000043 2026/03/27 KDDI株式会社のベンダステータスが更新されました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/25 最終更新日:2026/03/25 JVN#19505323 OM Workspace(Windows版)のインストーラにおけるDLL読み込みに関する脆弱性 OMデジタルソリューションズ株式会社が提供するOM Workspace(Windows版)のインストーラには、DLL読み込みに関する脆弱性が存在します。 OM Workspace(Windows版)Ver 2.4およびそれ以前のバージョン OMデジタルソリューションズ株式会社が提供するOM Workspaceは画像編集ソフトウェアです。OM Workspace(Windows版)のインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-26306 細工されたDLLファイルを危険なファイルと知らずにダウンロードしてインストーラと同じディレクトリに置き、その後、インストーラを実行した場合に本脆弱性の影響を受けます インストーラを実行している権限で、任意のコードを実行される可能性があります。 最新のインストーラを使用する OMデジタルソリューションズ株式会社から本脆弱性を修正したインストーラが提供されています。製品をインストールする際は最新版のインストーラを使用してください。 ベンダ リンク OMデジタルソリューションズ株式会社 OM Workspace のインストーラに関する脆弱性について Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCがOMデジタルソリューションズ株式会社との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-26306 JVN iPedia JVNDB-2026-000040
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/25 最終更新日:2026/03/25 JVN#90835713 山洋電気製SANUPS SOFTWAREにおける引用符で囲まれていないファイルパスの脆弱性 山洋電気株式会社が提供するSANUPS SOFTWAREは、Windowsサービスを登録しますが、登録されるプログラムのファイルパスは引用符で囲まれていません。 SANUPS SOFTWARE STANDALONE Ver.1.0.1からVer.1.1.4 SANUPS SOFTWARE Ver.2.0.0からVer.2.0.2 SANUPS SOFTWARE Ver.1.0.0からVer.1.1.4 山洋電気株式会社が提供するSANUPS SOFTWAREには、次の脆弱性が存在します。 引用符で囲まれていないファイルパス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2026-33253 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は次のバージョンで修正されています。 SANUPS SOFTWARE STANDALONE Ver.1.0.1およびVer.1.1.0からVer.1.1.4向け SANUPS SOFTWARE STANDALONE Ver.1.1.5 SANUPS SOFTWARE Ver.2.0.0からVer.2.0.2向け SANUPS SOFTWARE Ver.2.0.3 SANUPS SOFTWARE Ver.1.0.0からVer.1.1.4をご利用の場合は、Ver.3.0.1への置き換えが推奨されています。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク 山洋電気株式会社 SANUPS SOFTWARE STANDALONE/SANUPS SOFTWARE 脆弱性に伴うバージョンアップのご案内(PDF) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-33253 JVN iPedia JVNDB-2026-000041
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/17 最終更新日:2026/03/17 JVN#96706146 IBM Trusteer RapportのインストーラーにおけるDLL読み込みに関する脆弱性 IBMが提供するIBM Trusteer Rapportのインストーラーには、DLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在します。 IBM Trusteer Rapport installer バージョン 3.5.2309.290 IBMが提供するIBM Trusteer Rapportのインストーラーには、次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-2713 インストーラーを実行している管理者権限で、任意のコードを実行される可能性があります。 最新のインストーラーを使用する 開発者が提供するインストーラーの最新版を使用してください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク IBM Security Bulletin: IBM Trusteer Rapport installer affected by uncontrolled search path element vulnerability Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000038
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/16 最終更新日:2026/03/16 JVN#46373837 GROWIのOpenAIスレッド・メッセージ APIにおける権限チェック欠如の脆弱性 株式会社GROWIが提供するGROWIのOpenAIスレッド・メッセージ APIには、権限チェック欠如の脆弱性が存在します。 GROWI v7.4.5およびそれ以前のバージョン 株式会社GROWIが提供するGROWIには、次の脆弱性が存在します。 OpenAIスレッド・メッセージ APIにおける権限チェック欠如(CWE-862) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:L/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:L 基本値 8.3 CVE-2026-25083 攻撃者が共有AIアシスタントの識別子を把握している場合、本脆弱性の影響を受けます 当該製品にログインしたユーザが、他のユーザのAIアシスタントのスレッド・メッセージを閲覧したり、改ざんしたりする可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 本脆弱性は、次のバージョンで修正されています。 GROWI v7.4.6 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社GROWI 該当製品あり 2026/03/16 この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:GMOサイバーセキュリティby イエラエ株式会社 ⼩⽥切祥 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25083 JVN iPedia JVNDB-2026-000039
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/16 最終更新日:2026/03/16 JVN#22152812 OpenLiteSpeedおよびLSWS EnterpriseにおけるOSコマンドインジェクションの脆弱性 LiteSpeed Technologiesが提供するOpenLiteSpeedおよびLSWS Enterpriseには、OSコマンドインジェクションの脆弱性が存在します。 OpenLiteSpeed すべてのバージョン LSWS Enterprise すべてのバージョン LiteSpeed Technologiesが提供するOpenLiteSpeedおよびLSWS Enterpriseには次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-31386 管理権限を有するユーザーによって、任意のOSコマンドを実行される可能性があります。 ワークアラウンドを実施する 開発者は以下のワークアラウンドの適用を推奨しています。 WebAdminコンソールが使用するポートへのアクセスを制限し、信頼できるIPアドレスからのみ接続を許可する ベンダ リンク LiteSpeed Technologies Inc. OpenLiteSpeed LiteSpeed Web Server この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社みずほフィナンシャルグループ 中山大介 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-31386 JVN iPedia JVNDB-2026-000037
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/09 最終更新日:2026/03/09 JVN#17307628 複数のデジタルアーツ製品における不適切なファイルアクセス権設定の脆弱性 デジタルアーツ株式会社が提供する複数の製品には、不適切なファイルアクセス権設定の脆弱性が存在します。 デジタルアーツ株式会社向け i-フィルター 10(Windows版のみ) Ver.10.02.00より前のバージョン i-フィルター 6.0 Ver.6.00.57より前のバージョン i-フィルター for ネットカフェ Ver.6.10.57より前のバージョン i-フィルター for マルチデバイス(Windows版のみ) Ver.6.00.57より前のバージョン i-フィルター for ZAQ(Windows版のみ) Ver.6.00.57より前のバージョン i-フィルター for プロバイダー Ver.2.00.30より前のバージョン i-FILTER ブラウザー&クラウド MultiAgent for Windows Ver.4.93R13より前のバージョン DigitalArts@Cloud Agent(Windows向け) Ver.1.70R01より前のバージョン 株式会社オプティム向け Optimal Biz Web Filtering Powered by i-FILTER (Windows版) 4.93R13より前のバージョン インヴェンティット株式会社向け MobiConnect i-FILTER ブラウザーオプション MultiAgent for Windows Ver.4.93R13より前のバージョン 富士通株式会社向け i-FILTER ブラウザー&クラウド MultiAgent for Windows Ver.4.93R13より前のバージョン デジタルアーツ株式会社が提供する複数の製品には、次の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.8 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:N/I:H/A:N 基本値 5.5 CVE-2026-28267 非管理者権限のユーザによって、システムディレクトリやバックアップ用ディレクトリにファイルの作成や上書きをされる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク デジタルアーツ株式会社 コンシューマ向け:重要なお知らせ|弊社セキュリティ製品の脆弱性に関するお知らせ(PDF) ビジネス向け:重要なお知らせ|弊社セキュリティ製品の脆弱性に関するお知らせ(PDF) 株式会社オプティム OPTiM Biz管理サイト:関連サービス一覧(注:ログイン後に利用製品の関連サービスを確認) インヴェンティット株式会社 mobiconnect FILTERブラウザーオプション(要ログイン) 富士通株式会社 4.93R13(2026/3/9リリース)(要ログイン) この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-28267 JVN iPedia JVNDB-2026-000036 2026/03/09 「影響を受ける製品」の誤字を修正しました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/09 最終更新日:2026/03/09 JVN#11676807 Qsee ClientのインストーラにおけるDLL読み込みに関する脆弱性 Qseeが提供するQsee ClientのインストーラにはDLL読み込みに関する脆弱性が存在します。 Qsee Client バージョン 1.0.1およびそれ以前 Qseeが提供するQsee Clientのインストーラは、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう可能性があります。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-30896 管理者権限で任意のコードを実行される可能性があります。 製品の使用を停止する 開発者によると当該製品の開発は終了しているとのことです。製品の使用停止が推奨されています。 ベンダ リンク Qsee Download Qsee APP Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-30896 JVN iPedia JVNDB-2026-000035
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/05 最終更新日:2026/03/05 JVN#23669411 django-allauthにおけるオープンリダイレクトの脆弱性 django-allauthには、オープンリダイレクトの脆弱性が存在します。 django-allauth 65.14.1より前のバージョン django-allauthはDjangoアプリケーションにユーザー認証を導入するためのパッケージです。django-allauthには、次の脆弱性が存在します。 オープンリダイレクト(CWE-601) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-27982 django-allauthには、SAML IdPによるSSOが有効化されている場合(デフォルトでは無効)、オープンリダイレクトの脆弱性が存在します。これにより、攻撃者が細工したURLを介してユーザーを任意の外部ウェブサイトへリダイレクトさせる可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク allauth django-allauth 65.14.1 released この脆弱性情報は、下記の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:株式会社フォアーゼット 蔀 綾人 氏、GMOサイバーセキュリティbyイエラエ株式会社 船引 敬佑 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-27982 JVN iPedia JVNDB-2026-000034
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/05 最終更新日:2026/03/05 JVN#63765888 EC-CUBEにおける多要素認証をバイパスされる脆弱性 株式会社イーシーキューブが提供するEC-CUBEには、多要素認証(MFA:Multi-Factor Authentication)をバイパスされる脆弱性が存在します。 EC-CUBE 4.1系 4.1.2-p5より前のバージョン EC-CUBE 4.2系 4.2.3-p2より前のバージョン EC-CUBE 4.3系 4.3.1-p1より前のバージョン 株式会社イーシーキューブが提供するEC-CUBEには、次の脆弱性が存在します。 代替パスまたは代替チャネルを使用した認証回避(CWE-288) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:H/A:N 基本値 4.9 CVE-2026-30777 EC-CUBEの管理者用IDとパスワードを取得した第三者によって、二要素認証を回避し、管理画面へ不正ログインされる可能性があります。 修正ファイルを適用する 開発者が提供する情報をもとに修正ファイルを適用してください。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社イーシーキューブ 該当製品あり 2026/03/05 株式会社イーシーキューブ の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-30777 JVN iPedia JVNDB-2026-000033
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/03/04 最終更新日:2026/03/04 JVN#56544509 UPS Multi-UPS Management Console(MUMC)における複数の脆弱性 Dell Inc.が提供するUPS Multi-UPS Management Console(MUMC)には、複数の脆弱性が存在します。 UPS Multi-UPS Management Console(MUMC)バージョン 01.06.0001(A03) 本件は2013年1月にリリースされた上記バージョンに対して報告されました。 Dell Inc.が提供するUPS Multi-UPS Management Console(MUMC)には、次の複数の脆弱性が存在します。 引用符で囲まれていないファイルパス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2026-26033 不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-26034 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される(CVE-2026-26033) 不正なDLLが読み込まれ、SYSTEM権限で任意のコードを実行される(CVE-2026-26034) 製品の使用を停止する 当該製品はサポートが終了しているため、使用停止を推奨します。 ベンダ リンク Dell Inc. Dell UPS ULNM and MUMC Management Software - Release 3.0 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-26033 CVE-2026-26034 JVN iPedia JVNDB-2026-000032
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/27 最終更新日:2026/03/02 JVN#80500630 intra-mart Accel PlatformのIM-LogicDesignerモジュールにおける信頼できないデータのデシリアライゼーションの脆弱性 株式会社エヌ・ティ・ティ・データ・イントラマートが提供するintra-mart Accel PlatformのIM-LogicDesignerモジュールには、信頼できないデータのデシリアライゼーションの脆弱性が存在します。 intra-mart Accel Platform 2017 Spring(8.0.4)から2025 Autumn(8.0.27) 開発者によると、次の製品・サービスも本脆弱性の影響を受けるとのことです。 Accel-Mart Plusで提供しているintra-mart Accel Platform Accel-Mart Quick DPS for Sales クラウド intra-mart Accel Platform for LGWAN(IM-LGWAN) 株式会社エヌ・ティ・ティ・データ・イントラマートが提供するintra-mart Accel PlatformのIM-LogicDesignerモジュールには、次の脆弱性が存在します。 インポート機能における信頼できないデータのデシリアライゼーション(CWE-502) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-27776 IM-LogicDesignerをセットアップしている場合、本脆弱性の影響を受けます 当該製品に管理者権限でログインしたユーザによって細工したファイルをインポートされた場合、任意のコードを実行される可能性があります。 パッチを適用する 開発者が提供する情報をもとに、パッチを適用してください Accel-Mart Quick、DPS for Sales クラウド、intra-mart Accel Platform for LGWAN(IM-LGWAN)は2026年2月のメンテナンスで修正済みです。 詳細は、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社エヌ・ティ・ティ・データ・イントラマート 該当製品あり 2026/02/27 株式会社エヌ・ティ・ティ・データ・イントラマート の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:相模 政孝 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-27776 JVN iPedia JVNDB-2026-000030 2026/03/02 [影響を受けるシステム]と[対策方法]に「intra-mart Accel Platform for LGWAN(IM-LGWAN)」の情報を追加しました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/27 最終更新日:2026/02/27 JVN#41357120 複数のソリトンシステムズ製品のインストーラにおけるインストール時の不適切なファイルアクセス権設定の脆弱性 株式会社ソリトンシステムズが提供する複数の製品のインストーラには、インストール時の不適切なファイルアクセス権設定の脆弱性が存在します。 Soliton SecureBrowser for OneGate V1.0.0 Soliton SecureBrowser II V2.0.0からV2.0.14 Soliton SecureWorkspace(旧称WrappingBox)V1.0.0からV1.4.7 株式会社ソリトンシステムズが提供する複数の製品のインストーラには、次の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 5.4 CVSS:3.0/AV:L/AC:H/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2026-27653 SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社ソリトンシステムズ 該当製品あり 2026/02/27 株式会社ソリトンシステムズ の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-27653 JVN iPedia JVNDB-2026-000031
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/26 最終更新日:2026/02/26 JVN#48498976 FinalCode Clientのインストーラーにおける複数の脆弱性 デジタルアーツ株式会社が提供するFinalCode Clientのインストーラーには、複数の脆弱性が存在します。 FinalCode Ver.5、5.43R01より前のバージョン FinalCode Ver.6、6.51R01より前のバージョン デジタルアーツ株式会社が提供するFinalCode Clientのインストーラーには、次の複数の脆弱性が存在します。 インストール時のアクセス権設定が不適切(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-23703 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-25191 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 管理者権限を持っていないユーザーによって、SYSTEM権限で任意のコードを実行される(CVE-2026-23703) 細工されたDLLファイルとインストーラーを同じディレクトリに置いてインストーラーを実行するよう誘導された場合、任意のコードがインストーラーの実行権限で実行される(CVE-2026-25191) 最新のインストーラーを使用する 開発者から本脆弱性を修正したインストーラーが提供されています。 製品をインストールする際は最新版のインストーラーを使用してください。 また、すでに当該製品をインストールしてある場合も、インストール先ディレクトリのアクセス権設定を修正するために、最新のインストーラーを使用して上書きインストールをしてください。 ベンダ リンク デジタルアーツ株式会社 重要なお知らせ|弊社セキュリティ製品の脆弱性に関するお知らせ(PDF) Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-23703 CVE-2026-25191 JVN iPedia JVNDB-2026-000029
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/25 最終更新日:2026/02/25 JVN#79096585 LANSCOPE エンドポイントマネージャー オンプレミス版におけるパストラバーサルの脆弱性 エムオーテックス株式会社が提供するLANSCOPE エンドポイントマネージャー オンプレミス版には、パストラバーサルの脆弱性が存在します。 LANSCOPE エンドポイントマネージャー オンプレミス版 Ver.9.4.7.3以前のサブマネージャーサーバー なお、LANSCOPE エンドポイントマネージャー クラウド版は本脆弱性の影響を受けません。 エムオーテックス株式会社が提供するLANSCOPE エンドポイントマネージャー オンプレミス版には、次の脆弱性が存在します。 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-25785 当該製品がインストールされているWindowsシステム上の任意のファイルを改ざんされ、結果としてシステム上で任意のコードが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに最新版へアップデートしてください。 ベンダ リンク エムオーテックス株式会社 【重要なお知らせ】LANSCOPE エンドポイントマネージャー オンプレミス版 サブマネージャーに対するリモートコード実行の脆弱性について(CVE-2026-25785) この脆弱性情報は、次の方が製品開発者に直接報告し、製品開発者との調整を経て、製品利用者への周知を目的にJVNでの公表に至りました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 古川 和祈 氏、多木 優馬 氏、竹田 広太 氏、加倉井 一平 氏、千田 雅明 氏、デニス ファウストヴ 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25785 JVN iPedia JVNDB-2026-000026
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/20 最終更新日:2026/02/20 JVN#69531868 ジョブログ集計/分析ソフトウェア RICOHジョブログ集計ツールのインストーラにおけるDLL読み込みに関する脆弱性 株式会社リコーが提供するジョブログ集計/分析ソフトウェア RICOHジョブログ集計ツールのインストーラにはDLL読み込みに関する脆弱性が存在します。 ジョブログ集計/分析ソフトウェア RICOHジョブログ集計ツール Ver.1.3.7より前のバージョン 株式会社リコーが提供するジョブログ集計/分析ソフトウェア RICOHジョブログ集計ツールのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-26050 管理者権限で任意のコードを実行される可能性があります。 最新のインストーラを使用する 開発者が提供するインストーラの最新版を使用してください。 ベンダ リンク 株式会社リコー ジョブログ集計/分析ソフトウェア RICOHジョブログ集計ツール Ver.1.3.7 / ダウンロード Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-26050 JVN iPedia JVNDB-2026-000028
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/20 最終更新日:2026/02/20 JVN#20049394 WordPress用プラグインSurvey Makerにおけるクロスサイトスクリプティングの脆弱性 Ays Proが提供するWordPress用プラグインSurvey Makerには、クロスサイトスクリプティングの脆弱性が存在します。 Survey Maker 5.1.7.7およびそれ以前のバージョン Ays Proが提供するWordPress用プラグインSurvey Makerには、次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:L/I:L/A:N 基本値 6.1 CVE-2026-26370 ユーザーのウェブブラウザ上で、任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク Ays Pro Survey Maker この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 熊丸 匠伍 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-26370 JVN iPedia JVNDB-2026-000027
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/17 最終更新日:2026/02/17 JVN#68650996 Joomla! CMSにおけるクロスサイトスクリプティングの脆弱性 Joomla! Projectが提供するJoomla! CMSには、クロスサイトスクリプティングの脆弱性が存在します。 Joomla! CMS バージョン 4.0.0から5.4.1、6.0.0から6.0.1 Joomla! Projectが提供するJoomla! CMSには、次の脆弱性が存在します。 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N/ 基本値 4.8 CVE-2025-63082 ページ内に細工されたデータが仕込まれ、ユーザがそのページを閲覧した場合、ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ソフトウェアを最新版へアップデートしてください。 ベンダ リンク Joomla! Project [20260101] - Core - Inadequate content filtering for data URLs この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:スズキ株式会社 杉山 聖 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000025
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/13 最終更新日:2026/02/13 JVN#84622767 FileZenにおけるOSコマンドインジェクションの脆弱性 緊急 株式会社ソリトンシステムズが提供するFileZenには、OSコマンドインジェクションの脆弱性が存在します。 FileZen V5.0.0からV5.0.10までのバージョン FileZen V4.2.1からV4.2.8までのバージョン なお、FileZen Sは本脆弱性の影響を受けません。 株式会社ソリトンシステムズが提供するFileZenには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-25108 FileZenウイルスチェックオプションが有効な場合、本脆弱性の影響を受けます 開発者によると、本脆弱性を悪用した攻撃が既に確認されています。 当該製品にログインしているユーザによって細工したHTTPリクエストを送信された場合、任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版にアップデートしてください。 開発者は、本脆弱性を修正した次のファームウェアをリリースしています。 FileZen V5.0.11 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ 株式会社ソリトンシステムズ 該当製品あり 2026/02/13 株式会社ソリトンシステムズ の告知ページ この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT-AT-2026-0004FileZenにおけるOSコマンドインジェクションの脆弱性(CVE-2026-25108)に関する注意喚起 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25108 JVN iPedia JVNDB-2026-000023 2026/02/13 [詳細情報]を更新し、[関連文書]を追加しました
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/12 最終更新日:2026/02/12 JVN#88690363 M-Audio製M-Track Duo HDインストーラにおける任意のDLL読み込みの脆弱性 M-Audioが提供するM-Track Duo HDのインストーラには、DLL読み込みに関する脆弱性が存在します。 M-Track Duo HD 1.0.0 M-Audioが提供するM-Track Duo HDのインストーラには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:P/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 7.1 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-25676 管理者権限で任意のコードを実行される可能性があります。 問題の起きないインストーラを使用する 開発者が提供する情報をもとに、最新版のインストーラを使用してください。 ベンダ リンク M-Audio M-Track Duo HD Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25676 JVN iPedia JVNDB-2026-000024
Threat Intelligence
IPA
CVE
危険度: high
緊急度: high
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/09 最終更新日:2026/02/09 JVN#55395471 沖電気工業製品およびそのOEM製品における引用符で囲まれていないファイルパスの脆弱性 沖電気工業株式会社が提供する製品およびそのOEM(株式会社リコー、村田機械株式会社)製品がWindowsサービスを登録する際、登録されるプログラムのファイルパスが引用符で囲まれていません。 影響を受ける製品は多岐に渡ります。詳細については「ベンダ情報」を参照してください。 沖電気工業株式会社が提供する製品およびそのOEM(株式会社リコー、村田機械株式会社)製品のConfiguration Toolには、次の脆弱性が存在します。 引用符で囲まれていない検索パス(CWE-428) CVSS:4.0/AV:L/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 6.7 CVE-2026-24466 システムドライブ直下への書き込み権限を有するユーザによって、SYSTEM権限で任意のコードを実行される可能性があります。 開発者が提供する情報を確認してください。 ベンダ リンク 沖電気工業株式会社 当社製ユーティリティーにおけるWindowsサービスの実行ファイルパスが引用符で囲まれていないことによる脆弱性への対応について セキュリティ情報:SA-2026-0001 株式会社リコー 「Windowsサービスの実行ファイルパスが引用符で囲まれていないことによる脆弱性」によるリコー製品への影響について 村田機械株式会社 Windows サービスの実行ファイルパスが引用符で囲まれていないことによる脆弱性への対応 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24466 JVN iPedia JVNDB-2026-000022
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/05 最終更新日:2026/02/05 JVN#46925341 web2pyにおけるオープンリダイレクトの脆弱性 web2pyには、オープンリダイレクトの脆弱性が存在します。 web2py バージョン 2.27.1-stable+timestamp.2023.11.16.08.03.57およびそれ以前 web2pyには、次の脆弱性が存在します。 オープンリダイレクト(CWE-601) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:N/VA:N/SC:N/SI:L/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:C/C:N/I:L/A:N 基本値 4.7 CVE-2026-25198 本件はJVN#02158640の追加修正です 細工された URL にアクセスすることで、任意のウェブサイトにリダイレクトされる可能性があります。結果として、フィッシングなどの被害にあう可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 ベンダ リンク web2py Commit b4e1ddb Releases web2py Web Framework この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ブロードバンドセキュリティ 志賀 拓馬 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-25198 JVN iPedia JVNDB-2026-000021
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/04 最終更新日:2026/02/04 JVN#45405689 Movable Typeにおける複数の脆弱性 シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性が存在します。 Movable Type ソフトウェア版 Movable Type / Movable Type Advanced 9.0.4から9.0.5まで(9.0系) 8.8.0から8.8.1まで(8.8系) 8.0.2から8.0.8まで(8.0系) Movable Type Premium / Movable Type Premium(Advanced Edition) 9.0.4(MTP 9.0系) 2.13およびそれ以前(MTP 2系) 開発者によると、すでにサポートが終了している7系および8.4系も本脆弱性の影響を受けるとのことです。 Movable Type クラウド版 Movable Type 9.0.5(9系) 8.8.1(8系) Movable Type Premium 9.0.5(9系) 2.12(MTP 2系) シックス・アパート株式会社が提供するMovable Typeには、次の複数の脆弱性が存在します。 コメント編集画面における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-21393 サイトのエクスポート機能における格納型クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:N 基本値 5.4 CVE-2026-22875 アップロードするファイルの検証が不十分(CWE-434) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:L 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L 基本値 6.5 CVE-2026-23704 数式インジェクション(CWE-1236) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:N/VA:N/SC:L/SI:L/SA:L 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:C/C:L/I:L/A:L 基本値 6.5 CVE-2026-24447 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品の管理画面にアクセスしたユーザのウェブブラウザ上で、任意のスクリプトを実行される(CVE-2026-21393、CVE-2026-22875) 製品ユーザがアップロードした不正なファイルに製品の管理者がアクセスすると、管理者のブラウザ上で任意のスクリプトが実行される(CVE-2026-23704) 当該製品に対して行われた不正な入力が、CSVファイルとしてダウンロードされるデータに混入し、ユーザが自身の環境で開いた際にコードが実行される(CVE-2026-24447) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 開発者は、本脆弱性を修正した次のバージョンをリリースしています。 Movable Type ソフトウェア版 Movable Type / Movable Type Advanced 9.0.6(9.0系) 8.8.2(8.8系) 8.0.9(8.0系) Movable Type Premium / Movable Type Premium(Advanced Edition) 9.1.0(9系) 2.14(MTP 2系) Movable Type クラウド版 Movable Type 9.1.0(9系) 8.8.2(8系) Movable Type Premium 9.1.0(9系) 2.14(MTP 2系) 詳しくは、開発者が提供する情報を確認してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ シックス・アパート株式会社 該当製品あり 2026/02/04 シックス・アパート株式会社 の告知ページ CVE-2026-21393、CVE-2026-22875 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告しました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-23704、CVE-2026-24447 この脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告しました。 上記の報告を受け、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-21393 CVE-2026-22875 CVE-2026-23704 CVE-2026-24447 JVN iPedia JVNDB-2026-000020
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/03 最終更新日:2026/05/12 JVN#94012927 エレコム無線LAN関連製品における複数の脆弱性 エレコム株式会社が提供する無線LAN関連製品には、複数の脆弱性が存在します。 CVE-2026-20704、CVE-2026-22550 WRC-X1500GS-B v1.12およびそれ以前のバージョン WRC-X1500GSA-B v1.12およびそれ以前のバージョン WRC-X3000GS2-B v1.09およびそれ以前のバージョン WRC-X3000GS2-W v1.09およびそれ以前のバージョン WRC-X3000GS2A-B v1.09およびそれ以前のバージョン WRC-X3000GST2-B v1.06およびそれ以前のバージョン WRC-X1800GS-B v1.19およびそれ以前のバージョン WRC-X1800GSA-B v1.19およびそれ以前のバージョン WRC-X1800GSH-B v1.19およびそれ以前のバージョン WRC-X6000QS-G v1.14およびそれ以前のバージョン WRC-X6000QSA-G v1.14およびそれ以前のバージョン WRC-X6000XS-G v1.12およびそれ以前のバージョン WRC-X6000XST-G v1.16およびそれ以前のバージョン WRC-XE5400GS-G v1.13およびそれ以前のバージョン WRC-XE5400GSA-G v1.13およびそれ以前のバージョン CVE-2026-24449 WRC-X1500GS-B すべてのバージョン WRC-X1500GSA-B すべてのバージョン CVE-2026-24465 WAB-S733IW2-PD v5.5.00およびそれ以前のバージョン WAB-S733IW-AC v5.5.00およびそれ以前のバージョン WAB-S733IW-PD すべてのバージョン WAB-S300IW2-PD v5.5.00およびそれ以前のバージョン WAB-S300IW-AC v5.5.00およびそれ以前のバージョン WAB-S300IW-PD すべてのバージョン エレコム株式会社が提供する無線LAN関連製品には、次の複数の脆弱性が存在します。 クロスサイトリクエストフォージェリ(CWE-352) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:L/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:L/A:N 基本値 4.3 CVE-2026-20704 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-22550 脆弱な認証情報の使用(CWE-1391) CVSS:4.0/AV:P/AC:L/AT:N/PR:N/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 5.1 CVSS:3.0/AV:P/AC:L/PR:N/UI:N/S:U/C:H/I:N/A:N 基本値 4.6 CVE-2026-24449 スタックベースのバッファオーバーフロー(CWE-121) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2026-24465 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 当該製品にログインした状態のユーザが、細工されたページにアクセスした場合、意図しない操作をさせられる(CVE-2026-20704) 当該製品にログインした状態のユーザによって任意のOSコマンドを実行される(CVE-2026-22550) 当該製品の情報から、初期パスワードを特定される(CVE-2026-24449) 細工されたパケットを処理することで、任意のコードを実行される(CVE-2026-24465) ファームウェアをアップデートし適切な設定を行う、あるいは製品の使用を停止する サポート期間中のモデルについては、ファームウェアの更新が提供されています。 開発者が提供する情報をもとに、最新版へアップデートしてください。 WAB-S733IW-PDおよびWAB-S300IW-PDのサポートは既に終了しているため、製品の使用を停止してください。 ファームウェアをアップデートした後、管理ページへのアクセスやWi-Fi接続のためのパスワードを推測の難しい堅牢なパスワードに変更してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エレコム株式会社 該当製品あり 2026/05/07 エレコム株式会社 の告知ページ CVE-2026-20704、CVE-2026-22550 これらの脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 石井 健太郎 氏 CVE-2026-24449 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:佐藤 壮 氏 CVE-2026-24465 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:株式会社ラック 飯田 雅裕 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-20704 CVE-2026-22550 CVE-2026-24449 CVE-2026-24465 JVN iPedia JVNDB-2026-000019 2026/05/12 [影響を受けるシステム]を更新しました 2026/05/12 エレコム株式会社のベンダステータスが更新されました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/03 最終更新日:2026/02/04 JVN#64883963 三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windowsにおけるインストール時の不適切なファイルアクセス権設定の脆弱性 三菱電機株式会社が提供する三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windowsには、インストール時の不適切なファイルアクセス権設定の脆弱性が存在します。 三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windows 8.0.0から8.0.2までのバージョン 三菱電機株式会社が提供する三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windowsには、次の脆弱性が存在します。 インストール時の不適切なファイルアクセス権設定(CWE-276) CVSS:4.0/AV:L/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.5 CVSS:3.0/AV:L/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2025-10314 当該製品が動作するWindowsシステムにおいてサービス実行ファイルを不正なファイルに置き換えられ、結果としてSYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク 三菱電機株式会社 三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windowsにおける悪意のあるプログラムが実行される脆弱性(PDF) ICS Advisory | ICSA-26-034-01Mitsubishi Electric FREQSHIP-mini for Windows この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000017 2026/02/04 [参考情報]にICS Advisoryのリンクを追加しました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/03 最終更新日:2026/02/04 JVN#89992160 Roland Cloud ManagerのインストーラにおけるDLL読み込みに関する脆弱性 ローランド株式会社が提供するRoland Cloud ManagerのインストーラにはDLL読み込みに関する脆弱性が存在します。 Roland Cloud Manager ver.3.1.19およびそれ以前 ローランド株式会社が提供するRoland Cloud Managerのインストーラは、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-24694 インストーラを実行している権限で、任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、Roland Cloud Managerを最新版にアップデートしてください。 なお、本脆弱性の影響を受けるのはインストーラの起動時のみです。すでに製品をインストール済みの場合は影響を受けません。 ベンダ リンク ローランド株式会社 Roland Cloud Manager (Windows版) インストーラーに関する重要なお知らせ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24694 JVN iPedia JVNDB-2026-000016 2026/02/04 [ベンダ情報]の誤記を修正しました
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/02 最終更新日:2026/02/02 JVN#35265756 サイボウズ Garoonにおける複数の脆弱性 サイボウズ株式会社が提供するサイボウズ Garoonには、複数の脆弱性が存在します。 CVE-2026-20711、CVE-2026-22888 サイボウズ Garoon 5.0.0 から 6.0.3 まで CVE-2026-22881 サイボウズ Garoon 5.15.0 から 6.0.3 まで サイボウズ株式会社が提供するサイボウズ Garoonには、次の複数の脆弱性が存在します。 メールに関するクロスサイトスクリプティングの脆弱性(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:N/UI:R/S:U/C:N/I:H/A:N 基本値 6.5 CVE-2026-20711 CyVDB-3687 メッセージに関するクロスサイトスクリプティングの脆弱性(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:A/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 6.8 CVSS:3.0/AV:N/AC:L/PR:L/UI:R/S:U/C:N/I:H/A:N 基本値 5.7 CVE-2026-22881 CyVDB-3689 ポータル設定に関する不適切な入力確認(CWE-231) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:H/SC:N/SI:N/SA:N 基本値 6.9 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:N/I:N/A:H 基本値 4.9 CVE-2026-22888 CyVDB-3995 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 クロスサイトスクリプティングを悪用され、結果として任意のユーザのパスワードが変更される(CVE-2026-20711、CVE-2026-22881) ポータル設定に関するデータを改ざんされ、当該製品にアクセスできなくされる(CVE-2026-22888) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ サイボウズ株式会社 該当製品あり 2026/02/02 サイボウズ株式会社 の告知ページ CVE-2026-20711 この脆弱性情報は、次の方が開発者に報告し、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 発見者:Masato Kinugawa 氏 CVE-2026-22881、CVE-2026-22888 これら脆弱性情報は、製品利用者への周知を目的に、開発者がJPCERT/CCに報告し、JPCERT/CCが開発者との調整を行いました。 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-20711 CVE-2026-22881 CVE-2026-22888 JVN iPedia JVNDB-2026-000012
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/02 最終更新日:2026/02/02 JVN#04984838 複数のMicrosoft Office製品における信頼できない検索パスの脆弱性 複数のMicrosoft Office製品には、信頼できない検索パスの脆弱性が存在します。 Microsoft Office Deployment Tool 1.0から16.0.19426.20170までのバージョン Microsoft SharePoint Server Subscription Edition 16.0.0から16.0.19127.20442までのバージョン Microsoft SharePoint Enterprise Server 2016 16.0.0から16.0.5535.1001までのバージョン Microsoft Office 2016(64-bit edition)16.0.0から16.0.5535.1000までのバージョン Microsoft Office 2016(32-bit edition)16.0.0から16.0.5535.1000までのバージョン Microsoft SharePoint Server 2019 16.0.0から16.0.10417.20083までのバージョン 複数のMicrosoft Office製品には、次の脆弱性が存在します。 信頼できない検索パス(CWE-426、CVE-2026-20943) ローカルの攻撃者によって、認証無しで任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ リンク マイクロソフト CVE-2026-20943 - Security Update Guide - Microsoft - Microsoft Office Click-To-Run Remote Code Execution Vulnerability この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000013
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/02 最終更新日:2026/02/02 JVN#64861120 Sonatype Nexus Repositoryにおけるサーバサイドリクエストフォージェリの脆弱性 Sonatypeが提供するNexus Repositoryには、サーバサイドリクエストフォージェリの脆弱性が存在します。 Nexus Repository 3.0.0およびそれ以後のバージョン (Community EditionおよびProfessional Editionの両方が影響を受けます) Sonatypeが提供するNexus Repositoryには、次の脆弱性が存在します。 サーバサイドリクエストフォージェリ(CWE-918) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:N/VI:N/VA:N/SC:H/SI:L/SA:N 基本値 6.2 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:C/C:H/I:L/A:N 基本値 7.6 CVE-2026-0600 "remote storage URL" を、クラウドメタデータサービスやローカルネットワーク内のエンドポイントなど当該製品からのアクセスを想定していない対象に設定しておくことで、当該製品からアクセスさせることが可能です。 ソフトウェアをアップデートし、適切な設定を行う バージョン3.88.0以降ではURLバリデーション機能が提供されています。(初期状態では無効。) 当該製品をバージョン3.88.0あるいはそれ以降にアップデートし、URLバリデーション機能を適切に設定してください。 詳細については、開発者が提供する情報を参照してください。 ベンダ リンク Sonatype, Inc. CVE-2026-0600 Nexus Repository 3 - Server-Side Request Forgery - 2026-01-13 Sonatype Nexus Repository 3.88.0 Release Notes / New URL Validation to Protect Against Private Network Access Securing Nexus Repository この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000015
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/02/02 最終更新日:2026/02/02 JVN#27202136 raspap-webguiにおけるOSコマンドインジェクションの脆弱性 RaspAPが提供するraspap-webguiには、OSコマンドインジェクションの脆弱性が存在します。 raspap-webgui 3.3.6より前のバージョン RaspAPが提供するraspap-webguiには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-24788 当該アプリにログイン可能なユーザにより、任意のOSコマンドを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版にアップデートしてください。 ベンダ リンク RaspAP Releases of raspap-webgui この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:NTTセキュリティ・ジャパン株式会社 草柳太平 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24788 JVN iPedia JVNDB-2026-000014
Threat Intelligence
JVN
THREAT_INTEL
危険度: info
緊急度: medium
公開日:2026/01/30 最終更新日:2026/01/30 JVN#46722282 サポートが終了したNETGEAR製品におけるマニュアルに記載のない「TelnetEnable」機能 サポートが終了したNETGEAR製品の一部には「TelnetEnable」機能が実装されています。特定のパケットをLAN側インタフェースから受信した場合、Telnetサポートが有効になります。 NETGEAR PR2000に「TelnetEnable機能」が実装されていることが報告されました。 開発者によると、 (1) NETGEAR PR2000は日本国内で販売されたことはない (2) 本記事公表時点においてサポート提供中のNETGEAR製品には「TelnetEnable機能」は実装されていない (3) サポートを終了した製品については、影響評価などの調査は行わない とのことです。 サービスが終了したNETGEAR製品の一部には「TelnetEnable」機能が実装されています。特定のパケットをLAN側インタフェースから受信した場合、Telnetサービスが有効になります。 ドキュメントに記載されていない機能(CWE-1242) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:N/VI:H/VA:N/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:N/I:H/A:N 基本値 7.5 CVE-2026-24714 LAN側インタフェースから受信した特定のパケットを処理することで、Telnetサービスを有効にされる可能性があります。 製品の利用を停止する 開発者は、NETGEAR PR2000を含むサポート終了製品の利用停止を推奨するとのことです。 ベンダ リンク NETGEAR NETGEAR End of Service 情報セキュリティ早期警戒パートナーシップに基づき、NETGEAR PR2000に関する情報を下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:横浜国立大学 伊東実聖 氏、上園大智 氏、九鬼琉 氏、宮本岩麒 氏、佐々木貴之 氏、吉岡克成 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24714 JVN iPedia JVNDB-2026-000018
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/27 最終更新日:2026/01/27 JVN#03776126 beat-access Windows版におけるDLL読み込みに関する脆弱性 富士フイルムビジネスイノベーション株式会社が提供するbeat-access Windows版にはDLL読み込みに関する脆弱性が存在します。 beat-access Windows版 バージョン 3.0.3およびそれ以前 富士フイルムビジネスイノベーション株式会社が提供するbeat-access Windows版には、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:P/PR:L/UI:P/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 5.4 CVSS:3.0/AV:L/AC:L/PR:L/UI:R/S:U/C:H/I:H/A:H 基本値 7.3 CVE-2026-21408 SYSTEM権限で任意のコードを実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、最新版(バージョン 4.0.0以降)へアップデートしてください。 ベンダ リンク 富士フイルムビジネスイノベーション株式会社 弊社ソフトウェアbeat-access Windows版における脆弱性のお知らせ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-21408 JVN iPedia JVNDB-2026-000011
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/23 最終更新日:2026/01/23 JVN#67560152 複数のASUSTeK COMPUTER製ルーターにおけるコマンドインジェクションの脆弱性 ASUSTeK COMPUTER INC.が提供する複数のルーターにはコマンドインジェクションの脆弱性が存在します。 AiCloud機能を持つルーター製品のうち、以下のファームウェアシリーズで稼働するもの。 3.0.0.4_382 シリーズ 3.0.0.4_386 シリーズ 3.0.0.4_388 シリーズ 3.0.0.6_102 シリーズ ASUSTeK COMPUTER INC.が提供する複数のルーターには、ルーターに搭載されたAiCloud機能において、任意のコマンドが実行される脆弱性が存在します。 コマンドインジェクション(CWE-77) CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 9.3 CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H 基本値 9.8 CVE-2025-2492 当該製品上で管理者権限で任意のコマンドが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアを最新版へアップデートしてください。 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク ASUSTeK COMPUTER INC. ASUS Security Advisory この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:情報通信研究機構 サイバーセキュリティ研究所 NICTER 解析チーム JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE JVN iPedia JVNDB-2026-000010
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/21 最終更新日:2026/01/21 JVN#65211823 ServerView Agents for WindowsのインストーラーにおけるDLL読み込みに関する脆弱性 エフサステクノロジーズ株式会社が提供するServerView Agents for Windowsのインストーラーには、DLLを読み込む際の検索パスに問題があり、意図しないDLLを読み込んでしまう脆弱性が存在します。 ServerView Agents for Windows V11.50.06およびそれ以前 エフサステクノロジーズ株式会社が提供するServerView Agents for Windowsのインストーラーには、次の脆弱性が存在します。 ファイル検索パスの制御不備(CWE-427) CVSS:4.0/AV:L/AC:L/AT:N/PR:N/UI:A/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.4 CVSS:3.0/AV:L/AC:L/PR:N/UI:R/S:U/C:H/I:H/A:H 基本値 7.8 CVE-2026-24016 インストーラーを実行している管理者権限で、任意のコードを実行される可能性があります。 最新のインストーラーを使用する 開発者が提供するインストーラーの最新版を使用してください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ エフサステクノロジーズ株式会社 該当製品あり 2026/01/21 エフサステクノロジーズ株式会社 の告知ページ Japan Vulnerability Notes JVNTA#91240916Windows アプリケーションによる DLL 読み込みやコマンド実行に関する問題 この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 松本 一真 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-24016 JVN iPedia JVNDB-2026-000009
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/21 最終更新日:2026/01/21 JVN#86850670 Ruijie Networks製AP180シリーズにおけるOSコマンドインジェクションの脆弱性 Ruijie Networks Co., Ltd.が提供するAP180シリーズには、OSコマンドインジェクションの脆弱性が存在します。 下記モデルのAP_RGOS 11.9(4)B1P8より前のファームウェアバージョン AP180(JA) V1.xx AP180(JP) V1.xx AP180-AC V1.xx AP180-PE V1.xx AP180(JA) V2.xx AP180-AC V2.xx AP180-PE V2.xx AP180-AC V3.xx AP180-PE V3.xx Ruijie Networks Co., Ltd.が提供するAP180シリーズには、次の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.6 CVSS:3.0/AV:N/AC:L/PR:H/UI:N/S:U/C:H/I:H/A:H 基本値 7.2 CVE-2026-23699 当該製品にログインしたユーザにより細工されたリクエストを送信された場合、任意のOSコマンドが実行される可能性があります。 アップデートする 開発者が提供する情報をもとに、ファームウェアのアップデートを行ってください。 ワークアラウンドを実施する アップデートを適用できない場合、次の軽減策を実施してください。 ACL/whitelistを設定し、当該製品へのアクセスを信頼できるIPアドレスからのみに制限する 詳細は、開発者が提供する情報を確認してください。 ベンダ リンク Ruijie Networks Co., Ltd. ダウンロード この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:BabyPhD ドー・タイン 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-23699 JVN iPedia JVNDB-2026-000008 2026/01/21 [謝辞]を更新しました
Threat Intelligence
IPA
CVE
危険度: medium
緊急度: medium
Threat Intelligence
IPA
CVE
危険度: high
緊急度: high
Threat Intelligence
JVN
CVE
危険度: medium
緊急度: medium
公開日:2026/01/16 最終更新日:2026/01/16 JVN#08087148 TOA製ネットワークカメラ TRIFORA 3シリーズにおける複数の脆弱性 TOA株式会社が提供するネットワークカメラ TRIFORA 3シリーズには、複数の脆弱性が存在します。 影響を受ける製品およびバージョンは広範囲に及びます。詳細は後述の[ベンダ情報]で開発者が提供する情報を確認してください。 TOA株式会社が提供するネットワークカメラ TRIFORA 3シリーズには、次の複数の脆弱性が存在します。 OSコマンドインジェクション(CWE-78) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:H/VA:H/SC:N/SI:N/SA:N 基本値 8.7 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:H/A:H 基本値 8.8 CVE-2026-20759 クロスサイトスクリプティング(CWE-79) CVSS:4.0/AV:N/AC:L/AT:N/PR:H/UI:P/VC:N/VI:N/VA:N/SC:L/SI:L/SA:N 基本値 4.8 CVSS:3.0/AV:N/AC:L/PR:H/UI:R/S:C/C:L/I:L/A:N 基本値 4.8 CVE-2026-20894 パストラバーサル(CWE-22) CVSS:4.0/AV:N/AC:L/AT:N/PR:L/UI:N/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N 基本値 7.1 CVSS:3.0/AV:N/AC:L/PR:L/UI:N/S:U/C:H/I:N/A:N 基本値 6.5 CVE-2026-22876 想定される影響は各脆弱性により異なりますが、次のような影響を受ける可能性があります。 「モニタリングユーザー」あるいはそれ以上の権限でログインしたユーザによって、任意のOSコマンドを実行される(CVE-2026-20759) 「管理者」権限を持ったユーザが細工した設定を行った後に別の「管理者」権限のユーザが設定画面にアクセスすると、そのユーザのウェブブラウザ上で任意のスクリプトを実行される(CVE-2026-20894) 「モニタリングユーザー」あるいはそれ以上の権限でログインしたユーザによって、システム上の任意のファイルを閲覧される(CVE-2026-22876) アップデートする 開発者が提供する情報をもとに、最新版へアップデートしてください。 ベンダ ステータス ステータス最終更新日 ベンダの告知ページ TOA株式会社 該当製品あり 2026/01/16 TOA株式会社 の告知ページ この脆弱性情報は、情報セキュリティ早期警戒パートナーシップに基づき下記の方がIPAに報告し、JPCERT/CCが開発者との調整を行いました。 報告者:GMOサイバーセキュリティ byイエラエ株式会社 井餘田 笙悟 氏 JPCERT 緊急報告 JPCERT REPORT CERT Advisory CPNI Advisory TRnotes CVE CVE-2026-20759 CVE-2026-20894 CVE-2026-22876 JVN iPedia JVNDB-2026-000007