<<< JPCERT/CC WEEKLY REPORT 2026-04-15 >>>

■04/05(日)〜04/11(土) のセキュリティ関連情報

目　次

【1】EmoCheckにファイル検索パスの制御不備の脆弱性

【2】OpenSSLに複数の脆弱性

【3】GitLabに複数の脆弱性

【4】Movable Typeに複数の脆弱性

【5】抹茶シリーズに複数の脆弱性

【6】WordPress用プラグインNinja FormsのアドオンFile Uploadsにアップロードするファイルの検証が不十分の脆弱性

【7】複数のMozilla製品に脆弱性

【8】FortinetのFortiClient EMSに不適切なアクセス制御の脆弱性

【9】JNSAが「署名保証ガイドライン第1.00版」を公開

【10】IPAが「Cross-Sector Cybersecurity Performance Goals Ver.2.0 (2025-12)[翻訳版]」を公開

【1】EmoCheckにファイル検索パスの制御不備の脆弱性

情報源

https://jvn.jp/jp/JVN00263243/

概要

JPCERT/CCが提供するEmoCheckには、ファイル検索パスの制御不備の脆弱性があります。当該製品はすでに配布終了しているため、使用の停止を推奨しています。

関連文書

https://www.jpcert.or.jp/press/2026/PR20260410.html

【2】OpenSSLに複数の脆弱性

情報源

https://jvn.jp/vu/JVNVU96083153/

概要

OpenSSLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://openssl-library.org/news/secadv/20260407.txt

【3】GitLabに複数の脆弱性

情報源

https://about.gitlab.com/releases/2026/04/08/patch-release-gitlab-18-10-3-released/

概要

GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Movable Typeに複数の脆弱性

情報源

https://jvn.jp/jp/JVN66473735/

概要

シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新すること、またはワークアラウンドを実施することで解決します。ただし、すでにサポートが終了したバージョンに関しては修正版はリリースされません。詳細は、開発者が提供する情報を参照してください。

関連文書

https://www.sixapart.jp/movabletype/news/2026/04/08-1100.html

【5】抹茶シリーズに複数の脆弱性

情報源

https://jvn.jp/jp/JVN33581068/

概要

株式会社アイシーズが提供する抹茶シリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://oss.icz.co.jp/news/?p=1386

https://oss.icz.co.jp/news/?p=1388

【6】WordPress用プラグインNinja FormsのアドオンFile Uploadsにアップロードするファイルの検証が不十分の脆弱性

情報源

https://www.wordfence.com/threat-intel/vulnerabilities/wordpress-plugins/ninja-forms-uploads/ninja-forms-file-upload-3326-unauthenticated-arbitrary-file-upload

概要

Ninja Formsが提供するWordPress用プラグインNinja FormsのアドオンFile Uploadsには、アップロードするファイルの検証が不十分の脆弱性があります。本脆弱性情報はWordfenceから公開されており、悪用されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、Wordfenceが提供する情報を参照してください。

【7】複数のMozilla製品に脆弱性

情報源

https://www.mozilla.org/en-US/security/advisories/mfsa2026-25/

概要

複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書

https://www.mozilla.org/en-US/security/advisories/

【8】FortinetのFortiClient EMSに不適切なアクセス制御の脆弱性

情報源

https://fortiguard.fortinet.com/psirt/FG-IR-26-099

概要

Fortinetが提供するFortiClient EMSには、不適切なアクセス制御の脆弱性があります。Fortinetは、今回修正された脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】JNSAが「署名保証ガイドライン第1.00版」を公開

情報源

https://www.jnsa.org/result/e-signature/2025/

概要

NPO日本ネットワークセキュリティ協会（JNSA）は、「署名保証ガイドライン第1.00版」を公開しました。本ガイドラインでは、電子署名における保証レベルの考え方を整理し、電子認証と電子署名を統一的に比較する枠組みを示しています。また、電子署名サービスの利用者に対する選択の指針や、提供事業者に対する設計・運用の指針を提供しています。

【10】IPAが「Cross-Sector Cybersecurity Performance Goals Ver.2.0 (2025-12)[翻訳版]」を公開

情報源

https://www.ipa.go.jp/security/controlsystem/cisacpgs.html

概要

独立行政法人情報処理推進機構（IPA）は、米国CISAが2025年12月に公表した「Cross-Sector Cybersecurity Performance Goals Ver.2.0」を翻訳し、同庁の了解のもと公開しました。本文書は、重要インフラ事業者に向けて、ITおよびOTにおける優先的に実施すべきサイバーセキュリティ対策を示したものです。

■JPCERT/CCからのお願い