🔴 重要情報セキュリティ
JVN、NEC Atermシリーズやdnsmasqなど複数製品の脆弱性を公開
共有:
広告
要約
JVNは2026年5月26日にウェブサイトを更新し、NEC AtermシリーズのルーターにおけるOSコマンドインジェクションとクロスサイトスクリプティングの脆弱性、dnsmasqにおける複数の脆弱性、SGLangにおける複数の脆弱性、Linuxカーネルにおける複数の脆弱性など、計6件の新たな脆弱性情報を公開しました。これらの脆弱性は、管理者権限の奪取、任意のコード実行、情報漏えい、サービス運用妨害などの深刻な影響を及ぼす可能性があり、関連製品の利用者には速やかなアップデートが求められます。
ポイント
- 1NEC AtermシリーズのMR51FN、CM51FD、WXシリーズ、GX621A1、SH621A1、19000T12BEにOSコマンドインジェクション(CVE-2026-8652)およびクロスサイトスクリプティング(CVE-2026-6059)の脆弱性が確認され、任意のOSコマンド実行やスクリプト実行の恐れがある。
- 2dnsmasq 2.92rel2より前のバージョンに、ヒープベースのバッファオーバーフロー、DNSSEC検証時の無限ループ、ヒープメモリの境界外読み書き、DHCPv6処理時のヒープメモリ境界外書き込み、送信元検証バイパスなど、複数の脆弱性(CVE-2026-2291、CVE-2026-4890、CVE-2026-4891、CVE-2026-4892、CVE-2026-4893、CVE-2026-5172)が存在し、サービス運用妨害、キャッシュポイズニング、情報漏えい、権限昇格の危険性がある。
- 3SGLangには、細工されたJinja2テンプレートによる任意のコード実行(CVE-2026-5760)、ZeroMQソケットにおける任意のコード実行(CVE-2026-7301)、パストラバーサルによる任意のファイル書き込み(CVE-2026-7302)、custom_logit_processorフィールドにおける任意のコード実行(CVE-2026-7304)の複数の脆弱性が確認されており、認証されていない攻撃者によるコード実行やファイル書き込みのリスクがある。
- 4Linuxカーネルには、ローカルの認証済みユーザーによる権限昇格の脆弱性(CVE-2026-43284、CVE-2026-43500、CVE-2026-31431)が存在する。
- 5これらの脆弱性に対しては、各開発元が提供する最新版へのアップデートが推奨されており、SGLangの一部の脆弱性についてはサービスのインターフェースへのアクセス制限やネットワーク分離などのワークアラウンドも有効である。
💡インサイト
今回のJVNによる脆弱性情報の公開は、家庭用IoT機器から企業の基幹システム、そして最先端のAI開発基盤に至るまで、現代社会を支える多様なレイヤーに深刻なセキュリティリスクが潜んでいることを明確に示しました。特に、多数のネットワーク機器に組み込まれているdnsmasqや、AI開発で利用されるSGLangのようなライブラリの脆弱性は、一つの脆弱性が広範囲に影響を及ぼすソフトウェアサプライチェーン攻撃の脅威を象徴しています。 個人ユーザーは家庭内ネットワークへの侵入リスクに、企業はサーバー乗っ取りやAIシステムの悪用といった事業継続を脅かすリスクに直面しており、迅速なアップデート対応が不可欠です。 今後の展望として、自社製品が利用するソフトウェア部品を正確に把握するSBOM(ソフトウェア部品表)の重要性が増すとともに、AI関連の脆弱性が急増する中で、AIシステムそのものに対するセキュリティ対策が新たな市場トレンドとなることが予測されます。
#脆弱性#セキュリティ#NEC Aterm#dnsmasq#SGLang#Linuxカーネル#サイバーセキュリティ
ソースURL
https://jvn.jp/広告
共有:
このようなニュースを自動で受け取りませんか?
気になるWebページを登録するだけで、変更をAIが記事にしてお届けします
無料で始める