JPCERT-WR-2026-0204
JPCERT/CC
2026-02-04
<<< JPCERT/CC WEEKLY REPORT 2026-02-04 >>>
■01/25(日)〜01/31(土) のセキュリティ関連情報
目 次
【1】ブラザー製複合機(MFP)に複数の脆弱性
【2】n8nにリモートコード実行の脆弱性
【3】Cloud Software GroupのXenServerに複数の脆弱性
【4】Firefoxに複数の脆弱性
【5】OpenSSLに複数の脆弱性
【6】複数のFortinet製品にFortiCloud SSO認証をバイパスされる脆弱性
【7】Google ChromeのBackground Fetch APIに実装不備の脆弱性
【8】Archer MR600にOSコマンドインジェクションの脆弱性
【9】React Server Componentsにサービス運用妨害(DoS)の脆弱性
【10】Microsoft Officeにセキュリティ機能をバイパスされる脆弱性
【11】Rufusに権限昇格の脆弱性
【12】IPAが「情報セキュリティ10大脅威 2026」を公表
【13】Ivanti Endpoint Manager Mobileにリモートコード実行の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】ブラザー製複合機(MFP)に複数の脆弱性
情報源
概要
ブラザー工業株式会社が提供する複数の複合機(MFP)には、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。本脆弱性の影響を受ける製品は複数のベンダーから提供されています。詳細は、各ベンダーが提供する情報を参照してください。
関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13716
https://www.konicaminolta.jp/business/support/important/260129_01_01.html
https://www.ricoh.com/products/security/vulnerabilities/vul?id=ricoh-2026-000001
【2】n8nにリモートコード実行の脆弱性
情報源
https://research.jfrog.com/vulnerabilities/n8n-expression-node-rce/
概要
n8nには、リモートコード実行の脆弱性があります。この問題は、当該ソフトウェアを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【3】Cloud Software GroupのXenServerに複数の脆弱性
情報源
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX695997
概要
Cloud Software Groupが提供するXenServerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【4】Firefoxに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2026-06/
概要
Firefoxには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【5】OpenSSLに複数の脆弱性
情報源
概要
OpenSSLには、複数の脆弱性があります。この問題は、当該ソフトウェアを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【6】複数のFortinet製品にFortiCloud SSO認証をバイパスされる脆弱性
情報源
概要
複数のFortinet製品には、FortiCloud SSO認証をバイパスされる脆弱性があります。Fortinetは、今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Fortinetは、脆弱性のあるバージョンでのFortiCloud SSO認証によるログインをサポートしなくなりました。詳細は、開発者が提供する情報を参照してください。
【7】Google ChromeのBackground Fetch APIに実装不備の脆弱性
情報源
https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_27.html
概要
Google ChromeのBackground Fetch APIには、実装不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【8】Archer MR600にOSコマンドインジェクションの脆弱性
情報源
概要
TP-Linkが提供するArcher MR600には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【9】React Server Componentsにサービス運用妨害(DoS)の脆弱性
情報源
概要
React Server Componentsには、サービス運用妨害(DoS)の脆弱性(CVE-2026-23864)があります。この問題は、当該ソフトウェアを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【10】Microsoft Officeにセキュリティ機能をバイパスされる脆弱性
情報源
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-21509
概要
Microsoft Officeには、セキュリティ機能をバイパスされる脆弱性があります。マイクロソフトは、今回修正された脆弱性を悪用する攻撃をすでに確認しているとのことです。Office 2021以降はサービス側で修正されており、アプリケーションの再起動で対策が有効になります。Office 2016およびOffice 2019は、Microsoft Updateなどを用いて更新プログラムを適用する必要があります。詳細は、開発者が提供する情報を参照してください。
【11】Rufusに権限昇格の脆弱性
情報源
https://github.com/pbatard/rufus/security/advisories/GHSA-hcx5-hrhj-xhq9
概要
Rufusには、権限昇格の脆弱性があります。この問題は、当該ソフトウェアを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【12】IPAが「情報セキュリティ10大脅威 2026」を公表
情報源
概要
独立行政法人情報処理推進機構(IPA)は、「情報セキュリティ10大脅威 2026」を公表しました。「情報セキュリティ10大脅威 2026」は、2025年に発生した社会的に影響が大きかったと考えられる情報セキュリティにおける事案から、IPAが脅威候補を選出し、情報セキュリティ分野の研究者、企業の実務担当者などのメンバーからなる「10大脅威選考会」が脅威候補に対して審議・投票を行い、決定したものです。
【13】Ivanti Endpoint Manager Mobileにリモートコード実行の脆弱性
情報源
概要
Ivantiが提供するIvanti Endpoint Manager Mobile(EPMM)には、リモートコード実行の脆弱性(CVE-2026-1281、CVE-2026-1340)があります。Ivantiはこれらの脆弱性の悪用を確認しているとのことです。この問題は、当該製品を修正済みのパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
