JPCERT コーディネーションセンター

Weekly Report 2026-06-03号

JPCERT-WR-2026-0603
JPCERT/CC
2026-06-03

<<< JPCERT/CC WEEKLY REPORT 2026-06-03 >>>

■05/24(日)〜05/30(土) のセキュリティ関連情報

目 次

【1】複数のOracle製品に脆弱性

【2】Atril、EvinceおよびXreaderに引数インジェクションの脆弱性

【3】Google Chromeに複数の脆弱性

【4】GitLabに複数の脆弱性

【5】Giteaに複数の脆弱性

【6】Joomla!に複数の脆弱性

【7】Sambaに複数の脆弱性

【8】Apache ForyのPyForyに信頼できないデータのデシリアライゼーションの脆弱性

【9】Roundcube Webmailに複数の脆弱性

【10】NGINXにヒープベースのバッファオーバーフローの脆弱性

【11】GitHubがGitHub Enterprise Server管理者にGPG公開鍵のローテーションを呼び掛け

※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のOracle製品に脆弱性

情報源

https://www.oracle.com/security-alerts/cspumay2026.html

概要

複数のOracle製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。

【2】Atril、EvinceおよびXreaderに引数インジェクションの脆弱性

情報源

https://github.com/mate-desktop/atril/security/advisories/GHSA-vgv2-m826-8f6f

概要

Atril、EvinceおよびXreaderには、引数インジェクションの脆弱性があります。攻撃者が、本脆弱性を悪用する細工したPDF文書をユーザーに開かせ、文書内のリンクをクリックさせることで、当該ユーザーの権限で任意のコードを実行する可能性があります。開発者および各ディストリビューションベンダーが提供する情報を確認のうえ、修正済みのバージョンや対策情報が公開されている場合は速やかな適用を推奨します。

【3】Google Chromeに複数の脆弱性

情報源

https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop_0877304591.html

概要

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】GitLabに複数の脆弱性

情報源

https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-0-1-released/

概要

GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Giteaに複数の脆弱性

情報源

https://blog.gitea.com/release-of-1.26.2/

概要

Giteaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】Joomla!に複数の脆弱性

情報源

https://www.joomla.org/announcements/release-news/5954-joomla-6-1-1-5-4-6-security-bugfix-release.html

概要

Joomla!には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Sambaに複数の脆弱性

情報源

https://www.samba.org/samba/latest_news.html#4.24.3

概要

Sambaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】Apache ForyのPyForyに信頼できないデータのデシリアライゼーションの脆弱性

情報源

https://fory.apache.org/security/#cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass

概要

Apache ForyのPyForyには、信頼できないデータのデシリアライゼーションの脆弱性(CVE-2026-48207)があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】Roundcube Webmailに複数の脆弱性

情報源

https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1

概要

Roundcube Webmailには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【10】NGINXにヒープベースのバッファオーバーフローの脆弱性

情報源

https://my.f5.com/manage/s/article/K000161377

概要

NGINX Plus、NGINX Open Sourceには、ヒープベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【11】GitHubがGitHub Enterprise Server管理者にGPG公開鍵のローテーションを呼び掛け

情報源

https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/

概要

GitHubは、2026年5月26日(現地時間)、同社の内部リポジトリーに対する不正アクセスに関する記事を更新しました。同社によると、現在も調査は継続中であるものの、予防措置として、GitHub Enterprise Serverの署名鍵を含む鍵のローテーションを実施しているとのことです。これに伴い、GitHub Enterprise Serverの管理者に対して、各インスタンスのGPG公開鍵をローテーションするよう対応を求めています。なお、GitHub Enterprise Cloudについては対応不要とされています。

■JPCERT/CCからのお願い

  • 本レポートに関するお問い合わせは ew-info@jpcert.or.jp 宛 にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
    https://www.jpcert.or.jp/wr/
  • 本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
    https://www.jpcert.or.jp/announce.html
  • JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
    https://www.jpcert.or.jp/form/

Topへ

Topへ

最新情報(RSSメーリングリストTwitter