### Ivanti Xtraction の脆弱性 **Ivanti** は、**Ivanti Xtraction** (**CVE-2026-8043**、CVSSスコア: 9.6) の重大な脆弱性に対処しました。この脆弱性は、情報漏洩やクライアントサイド攻撃を達成するために悪用される可能性があります。 **Ivanti** によると、「Ivanti Xtraction バージョン 2026.2 より前のバージョンにおけるファイル名の外部制御により、リモートで認証された攻撃者が機密ファイルを読み取り、Webディレクトリに任意のHTMLファイルを書き込むことが可能になり、情報漏洩やクライアントサイド攻撃につながる可能性があります。」 ### Fortinet の脆弱性 **Fortinet** は、**FortiAuthenticator** および **FortiSandbox**、**FortiSandbox Cloud**、**FortiSandbox PaaS** に影響を与える、コード実行につながる可能性のある2つの重大な脆弱性に関するアドバイザリをリリースしました。 * **CVE-2026-44277** (CVSSスコア: 9.1): **FortiAuthenticator** における不適切なアクセス制御の脆弱性であり、認証されていない攻撃者が細工されたリクエストを介して不正なコードまたはコマンドを実行できる可能性があります。これは FortiAuthenticator バージョン 6.5.7、6.6.9、および 8.0.3 で修正されています。 * **CVE-2026-26083** (CVSSスコア: 9.1): **FortiSandbox**、**FortiSandbox Cloud**、**FortiSandbox PaaS** WEB UI における認証の欠如の脆弱性であり、認証されていない攻撃者が HTTP リクエストを介して不正なコードまたはコマンドを実行できる可能性があります。これは FortiSandbox バージョン 4.4.9 および 5.0.2、FortiSandbox Cloud バージョン 5.0.6、FortiSandbox PaaS バージョン 4.4.9 および 5.0.2 で修正されています。 ### SAP のセキュリティパッチ **SAP** は、2つの重大な脆弱性に対する修正プログラムをリリースしました。 * **CVE-2026-34260** (CVSSスコア: 9.6): **SAP S/4HANA** における SQL injection の脆弱性。 * **CVE-2026-34263** (CVSSスコア: 9.6): **SAP Commerce cloud** の設定における認証チェックの欠如。 **Onapsis** は、**CVE-2026-34263** は「過度に寛容なセキュリティ設定と不適切なルール順序により、認証されていないユーザーが悪意のある設定アップロードとコードインジェクションを実行できるようになり、結果として任意のサーバーサイドコード実行につながる」と述べています。 **CVE-2026-34260** に関しては、攻撃者が悪意のある SQL ステートメントを注入し、アプリケーションの機密性および可用性に影響を与える可能性があります。**Pathlock** は、「低権限の認証済み攻撃者がユーザー制御の入力経由で悪意のある SQL コードを注入し、機密性の高いデータベース情報を公開したり、アプリケーションをクラッシュさせたりする可能性がある」と指摘しています。 ### VMware Fusion の権限昇格 **Broadcom** は、**VMware Fusion** (**CVE-2026-41702**、CVSSスコア: 7.8) における、ローカル権限昇格につながる可能性のある高深刻度の脆弱性に対するパッチをリリースしました。この問題はバージョン 26H1 で修正されています。 **Broadcom** によると、「VMware Fusion には、SETUID バイナリによって実行される操作中に発生する TOCTOU (Time-of-check Time-of-use) の脆弱性が含まれています。ローカルの非管理者権限を持つ悪意のあるアクターは、この脆弱性を悪用して、Fusion がインストールされているシステムで root 権限に昇格する可能性があります。」 ### n8n における複数の脆弱性 **n8n** に影響を与える5つの重大な脆弱性のセットが修正されました。 * **CVE-2026-42231** (CVSSスコア: 9.4): n8n の Webhook ハンドラで使用される xml2js ライブラリの脆弱性で、細工された XML payload を介したプロトコル汚染を可能にし、ワークフローを作成または変更する権限を持つ認証済みユーザーが n8n ホスト上でリモートコード実行を達成できるようにします。（n8n バージョン 1.123.32、2.17.4、および 2.18.1 で修正済み） * **CVE-2026-42232** (CVSSスコア: 9.4): ワークフローを作成または変更する権限を持つ認証済みユーザーが、XML Node を介してグローバルなプロトコル汚染を達成し、プロトコル汚染を悪用する他のノードと組み合わせることでリモートコード実行につながる可能性があります。（n8n バージョン 1.123.32、2.17.4、および 2.18.1 で修正済み） * **CVE-2026-44791** (CVSSスコア: 9.4): CVE-2026-42232 のバイパスであり、n8n ホスト上でリモートコード実行につながる可能性があります。（n8n バージョン 1.123.43、2.20.7、および 2.22.1 で修正済み） * **CVE-2026-44789** (CVSSスコア: 9.4): ワークフローを作成または変更する権限を持つ認証済みユーザーが、HTTP Request Node の検証されていないページネーションパラメータを介してグローバルなプロトコル汚染を達成し、n8n ホスト上でリモートコード実行につながる可能性があります。（n8n バージョン 1.123.43、2.20.7、および 2.22.1 で修正済み） * **CVE-2026-44790** (CVSSスコア: 9.4): ワークフローを作成または変更する権限を持つ認証済みユーザーが、Git Node の Push 操作で CLI フラグを注入し、攻撃者が n8n サーバーから任意のファイルを読み取れるようにし、結果として完全な侵害につながる可能性があります。（n8n バージョン 1.123.43、2.20.7、および 2.22.1 で修正済み） ### その他のベンダーからのソフトウェアパッチ 過去数週間にわたり、以下のベンダーからもセキュリティアップデートがリリースされています。 * [ABB](https://www.abb.com/global/en/company/about/cybersecurity/alerts-and-notifications) * [Adobe](https://helpx.adobe.com/security/security-bulletin.html) * [Amazon Web Services](https://aws.amazon.com/security/security-bulletins/) * [AMD](https://www.amd.com/en/resources/product-security.html#security) * [Apple](https://support.apple.com/en-us/HT201222) * [ASUS](https://www.asus.com/security-advisory/) * [Atlassian](https://confluence.atlassian.com/security/security-bulletin-april-21-2026-1770913890.html) * [Axis Communications](https://help.axis.com/en-us/security-advisories) * [AVEVA](https://www.aveva.com/en/support-and-success/cyber-security-updates/) * [Canon](https://psirt.canon/advisory-information/#id_2229656) * [Cisco](https://tools.cisco.com/security/center/publicationListing.x) * [CODESYS](https://www.codesys.com/ecosystem/security/latest-codesys-security-advisories/) * [ConnectWise](https://www.connectwise.com/company/trust/security-bulletins) * [Dell](https://www.dell.com/support/security/) * [Devolutions](https://devolutions.net/security/advisories/) * [Drupal](https://www.drupal.org/security) * [F5](https://my.f5.com/manage/s/new-updated-articles#f-f5_document_type=Security%20Advisory&aq=%40f5_original_published_date%20%3E%3D%20now-7d) * [Fortra](https://www.fortra.com/security/advisories/product-security) * [Foxit Software](https://www.foxit.com/support/security-bulletins.html) * [Fujitsu](https://security.ts.fujitsu.com/IndexProdSecurity.asp) * [GitLab](https://docs.gitlab.com/releases/patches/) * [GnuTLS](https://www.gnutls.org/security-new.html) * Google [Android](https://source.android.com/docs/security/bulletin/2026/2026-05-01) および [Pixel](https://source.android.com/docs/security/bulletin/pixel/2026/2026-05-01) * [Google Chrome](https://chromereleases.googleblog.com/) * [Google Cloud](https://cloud.google.com/support/bulletins) * [Grafana](https://grafana.com/security/security-advisories/) * [Hikvision](https://www.hikvision.com/en/support/cybersecurity/security-advisory/) * [Hitachi Energy](https://www.hitachienergy.com/in/en/products-and-solutions/cybersecurity/alerts-and-notifications) * [Honeywell](https://www.honeywell.com/us/en/product-security#security-notices) * [HP](https://support.hp.com/us-en/security-bulletins) * [HPE](https://support.hpe.com/connect/s/security)