4月のパッチチューズデーのリリースでは、**Adobe**、**Fortinet**、**Microsoft**、**SAP**の製品に影響を与える多数の深刻な脆弱性が注目されています。 ## SAP SQLインジェクションの脆弱性 リストのトップは、**SAP Business Planning and Consolidation**および**SAP Business Warehouse**に影響を与えるSQLインジェクションの脆弱性（**CVE-2026-27681**、CVSSスコア：9.9）で、任意のデータベースコマンド実行につながる可能性があります。 **Onapsis**はアドバイザリで、「脆弱なABAPプログラムにより、権限の低いユーザーが任意のSQLステートメントを含むファイルをアップロードでき、それが実行されます」と述べています。 潜在的な攻撃シナリオでは、悪意のあるアクターが影響を受けるアップロード関連の機能を利用して、BW/BPCデータストアに対して悪意のあるSQLを実行し、機密データを抽出し、データベースの内容を削除または破損させることができます。 **Pathlock**は、操作された計画数値、破損したレポート、または削除された統合データが、決算プロセス、経営層レポート、および運用計画を損なう可能性があると述べています。さらに、この問題は、巧妙なデータ盗難と明白なビジネスの中断の両方につながる現実的な経路を作成すると警告しています。 ## 活発に悪用されているAdobe Acrobat Readerの脆弱性 もう一つ言及に値するセキュリティ脆弱性は、**Adobe Acrobat Reader**における深刻なリモートコード実行の脆弱性（**CVE-2026-34621**、CVSSスコア：8.6）で、これはすでに実世界で活発に悪用されています。 現在、影響を受けるユーザーの範囲、攻撃者の特定、標的、動機など、悪用に関する詳細はほとんどわかっていません。 ## Adobe ColdFusionの脆弱性 **Adobe**はまた、**ColdFusion**バージョン2025および2023における5つの深刻な脆弱性を修正しました。これらが正常に悪用された場合、任意のコード実行、アプリケーションのサービス拒否、任意のファイルシステム読み取り、およびセキュリティ機能のバイパスにつながる可能性があります。 脆弱性は以下の通りです。 * **CVE-2026-34619**（CVSSスコア：7.7）- セキュリティ機能のバイパスにつながるパス・トラバーサル脆弱性 * **CVE-2026-27304**（CVSSスコア：9.3）- 任意のコード実行につながる不適切な入力検証の脆弱性 * **CVE-2026-27305**（CVSSスコア：8.6）- 任意のファイルシステム読み取りにつながるパス・トラバーサル脆弱性 * **CVE-2026-27282**（CVSSスコア：7.5）- セキュリティ機能のバイパスにつながる不適切な入力検証の脆弱性 * **CVE-2026-27306**（CVSSスコア：8.4）- 任意のコード実行につながる不適切な入力検証の脆弱性 ## Fortinet FortiSandboxの脆弱性 認証バイパスとコード実行につながる可能性のある2つの深刻な**FortiSandbox**の脆弱性に対する修正もリリースされました。 * **CVE-2026-39813**（CVSSスコア：9.1）- **FortiSandbox** JRPC APIにおけるパス・トラバーサル脆弱性。これにより、認証されていない攻撃者が特別に細工されたHTTPリクエストを介して認証をバイパスできる可能性があります。（バージョン4.4.9および5.0.6で修正済み） * **CVE-2026-39808**（CVSSスコア：9.1）- **FortiSandbox**におけるオペレーティングシステムコマンドインジェクションの脆弱性。これにより、認証されていない攻撃者が細工されたHTTPリクエストを介して不正なコードまたはコマンドを実行できる可能性があります。（バージョン4.4.9で修正済み） ## Microsoftの広範なパッチリリース **Microsoft**は、**Microsoft SharePoint Server**に影響を与えるなりすまし脆弱性（**CVE-2026-32201**、CVSSスコア：6.5）を含む169件のセキュリティ欠陥に対処しました。この脆弱性により、攻撃者は機密情報を表示できる可能性があります。同社は、このバグに関連する実世界での悪用に関する洞察はないものの、現在活発に悪用されていると述べています。 **Immersive**の脅威リサーチ担当シニアディレクターであるKev Breen氏は、特に内部ドキュメントストアとして使用されている**SharePoint**サービスは、二重恐喝手法を使用して身代金支払いを強制するために悪用される可能性のあるデータを盗もうとする脅威アクターにとって宝の山となり得ると指摘しました。彼は、**SharePoint**サービスにアクセスできる脅威アクターは、武器化されたドキュメントを展開したり、正規のドキュメントを感染したバージョンに置き換えたりして、組織全体に横断的に拡散できると付け加えました。 ## その他のベンダーからのソフトウェアパッチ **Microsoft**に加えて、過去数週間にわたり他のベンダーも、以下を含むいくつかの脆弱性を修正するためのセキュリティアップデートをリリースしました。 * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Broadcom](https://support.broadcom.com/web/ecx/security-advisory)（VMwareを含む） * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [Citrix](https://support.citrix.com/support-home/topic-article-list?trendingCategory=20&trendingTopicName=Latest%20Security%20Bulletin) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [D-Link](https://supportannouncement.us.dlink.com/) * [Dassault Systèmes](https://www.3ds.com/trust-center/security/security-advisories) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [dormakaba](https://www.dormakabagroup.com/en/security-advisories) * [Drupal](https://www.drupal.org/security) * [Elastic](https://discuss.elastic.co/c/announcements/security-announcements/31) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortinet](https://www.fortiguard.com/psirt) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [FUJIFILM](https://www.fujifilm.com/fbglobal/eng/company/news/notice) * [Gigabyte](https://www.gigabyte.com/us/Support/Security) * [GitLab](https://docs.gitlab.com/releases/18/patch-release-gitlab-18-10-3-released/) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-04-01)および[Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-04-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [HP](https://support.hp.com/us-en/security-bulletins) * [HP Enterprise](https://support.hpe.com/connect/s/securitybulletinlibrary?language=en_US#sort=%40hpescuniversaldate%20descending&layout=table&numberOfResults=25&f:@kmdoclanguagecode=[cv1871440]&hpe=1)（Aruba Networkingおよび[Juniper Networks](https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sort=date%20descending&f:ctype=[Security%20Advisories])を含む） * [Huawei](https://www.huawei.com/en/psirt/all-bulletins) * [IBM](https://www.ibm.com/support/pages/bulletin/) * [Ivanti](https://hub.ivanti.com/s/searchallcontent?language=en_US#q=CVE&sortCriteria=date%20descending&f-sfkbknowledgearticletypec=Security%20Advisory&f-commonlanguage=English) * [Jenkins](https://www.jenkins.io/security/advisories/) * [Lenovo](https://support.lenovo.com/us/en/product_security/ps500001-lenovo-product-security-advisories) * Linuxディストリビューション