2026Q2 脆弱性トピック

2026.04.06

脆弱性(OSS以外のものも含む)に関するトピックを集めています。最新の情報でディストリビューション側で対応できていないものも、こちらには載せています。適宜更新していきます。

2026Q1脆弱性トピックはこちら

2025Q4脆弱性トピックはこちら

2025Q3脆弱性トピックはこちら

2025Q2脆弱性トピックはこちら

2026/04/17

NGINX UIの脆弱性(Critical: CVE-2026-33032)が悪用されている模様

  • bleepingcomputerより
  • NGINXのWebUIであるNGINX UIの脆弱性(CVE-2026-33032)が現在も活発に悪用されているそうです。
  • CVE-2026-33032
    • CVSS
      • Base Score: 9.8 Critical
      • Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • バージョン2.3.5以前のnginx-uiにおいて、MCP(Model Context Protocol)連携機能は、/mcpおよび/mcp_messageという2つのHTTPエンドポイントを公開しています。/mcpエンドポイントではIPアドレスによるホワイトリスト制限と認証(AuthRequired()ミドルウェア)の両方が必須とされていますが、/mcp_messageエンドポイントに対してはIPホワイトリスト制限のみが適用されます。しかも、デフォルトのIPホワイトリストは空の状態となっており、ミドルウェアはこの状態を「すべて許可(allow all)」として扱います。したがって、ネットワーク上の攻撃者は認証を経ることなく、すべてのMCPツールを実行できてしまいます。これには、nginxの再起動、設定ファイルの作成・変更・削除、および設定の自動再読み込みの実行などが含まれ、結果としてnginxサービスの完全な乗っ取りが可能となります。

Windows Defenderでのローカル権限昇格の脆弱性「RedSun」

  • bleepingcomputerより
  • Windows Defenderの脆弱性によるローカル権限昇格の脆弱性「RedSun」のPoCが公開されています。
  • Nightmare-EclipseがPoCと説明を公開しています。
  • 以下、説明(機械翻訳)
    • 通常であれば、私はPoC(概念実証)コードを公開するだけで、あとは各自にその仕組みを解読させるようにしています。しかし、今回ばかりはそうはいきません。あまりにも滑稽すぎるからです。Windows Defenderが、ある悪意あるファイルに「クラウドタグ」が付与されていることを検知した際――どのような馬鹿げた、そして笑える理由によるものかは定かではありませんが――本来ならシステムを保護すべきこのアンチウイルスソフトは、なんと、検知したそのファイルを元の保存場所へと上書きし直すのが「良策」だと判断してしまうのです。このPoCは、まさにこの挙動を悪用することでシステムファイルを上書きし、管理者権限の奪取を可能にしています。
  • 実際にPoCを確認した人によると、Windows10, Windows 11 と Windows Server 2019+で2026/04のパッチ適用済みにもかかわらず、ローカル権限昇格が可能だったそうです。cldapi.dllがあるシステムはすべて影響を受ける模様です。

2026/04/08

WordPressプラグインのNinja Formの脆弱性(CVE-2026-0740)

  • Wordefenceより
  • WordPress プラグインの「Ninja Forms File Uploads」に重大な脆弱性があり、認証なしで任意のファイルをアップロードできてしまうため、リモートコード実行につながる可能性があります。
  • CVE-2026-0740
    • CVSS
      • Base Score: 9.8 Critical
      • Vector:  CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
    • バージョン 3.3.26 までのすべてのバージョンにおいて、’NF_FU_AJAX_Controllers_Uploads::handle_upload’ 関数でのファイルタイプの検証機能が不完全なため、任意のファイルアップロード・コード実行の可能性があります。

2026/04/07

Windowsのゼロデイ脆弱性「BlueHammer」の攻撃コードがリークされる

  • リークサイトはこちら
  • 攻撃者がSYSTEM権限または管理者権限を取得できるようになる、Windows権限昇格の脆弱性を悪用するコードが公開されたそうです。まだ修正パッケージは出ていません。
  • リークサイトにあるGitHubからダウンロードしたファイルに含まれるexeファイルを念の為にvirustotalでスキャンしましたが、3つのEDRがマルウェアと検知しました(Win32/Vigorf.A)。興味本位でダウンロードしないことをおすすめします。

「GPUBreach」GPUへのRawhammer攻撃で特権昇格

  • トロント大学の発表のサイトより
  • GPUページテーブルを 破損させることで任意のGPUメモリの読み書き権限を取得し、NVIDIAドライバで新たに発見されたメモリ安全性の脆弱性を悪用することで、その権限をCPU側の権限昇格へと連鎖させることができるそうです。
  • サイトではデモのビデオも公開されています。

2026/04/06

FortiClient Enterprise Management Server (EMS)の脆弱性(Critical: CVE-2026-35616)

  • Fortinet PSIRTより
  • FortiClient EMSに脆弱性が出ています。悪用も観測されている模様です。
  • CVE-2026-35616
    • CVSS
      • Base Score: 9.1 Critical
      • Vector: v3.1: AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H/E:F/RL:O/RC:C
    • FortiClient EMSに不完全なアクセス制御の問題が見つかりました。これにより、細工されたリクエストを通じて認証されていない攻撃者が認証されていないコードやコマンドを実行できる可能性があります。
タイトルとURLをコピーしました