<<< JPCERT/CC WEEKLY REPORT 2026-04-22 >>>
■04/12(日)〜04/18(土) のセキュリティ関連情報
目 次
【1】複数のCisco製品に脆弱性
【2】Arcserve製UDP ConsoleにダミーのURLへリダイレクトされる脆弱性
【3】PHP向け依存関係管理ツールComposerのPerforce VCSドライバーに複数の任意のコマンド実行につながる脆弱性
【4】Drupal coreに複数の脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のSAP製品に脆弱性
【7】複数のFortinet製品に脆弱性
【8】Cockpitにリモートコード実行の脆弱性
【9】WordPress向け複数プラグインにおける不正なコード混入
【10】JPCERT/CCとIPAが2026年1月から3月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開
【11】JPCERT/CCが2026年1月から3月分の「JPCERT/CC 四半期レポート」を公開
【12】2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
【13】Adobe AcrobatおよびReaderの脆弱性(APSB26-43)に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】複数のCisco製品に脆弱性
情報源
概要
複数のCisco製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【2】Arcserve製UDP ConsoleにダミーのURLへリダイレクトされる脆弱性
情報源
概要
Arcserveが提供するUDP Consoleには、ダミーのURLへリダイレクトされる脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.arcserve.com/s/article/P00003790?language=ja
【3】PHP向け依存関係管理ツールComposerのPerforce VCSドライバーに複数の任意のコマンド実行につながる脆弱性
情報源
https://blog.packagist.com/composer-2-9-6-perforce-driver-command-injection-vulnerabilities/
概要
PHP向け依存関係管理ツールComposerのPerforce VCSドライバーには、複数の任意のコマンド実行につながる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【4】Drupal coreに複数の脆弱性
情報源
概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2026/04/stable-channel-update-for-desktop_15.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【6】複数のSAP製品に脆弱性
情報源
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/april-2026.html
概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【7】複数のFortinet製品に脆弱性
情報源
概要
複数のFortinet製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
【8】Cockpitにリモートコード実行の脆弱性
情報源
https://github.com/cockpit-project/cockpit/security/advisories/GHSA-m4gv-x78h-3427
概要
LinuxサーバーをWebブラウザーから管理するためのGUIツールであるCockpitには、リモートコード実行の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【9】WordPress向け複数プラグインにおける不正なコード混入
情報源
https://anchor.host/someone-bought-30-wordpress-plugins-and-planted-a-backdoor-in-all-of-them/
概要
WordPress向けの複数のプラグインについて、アップデートを通じて不正なコードを含むバージョンが配信されたとの情報が公開されました。対象はEssentialPluginが提供していた30以上のプラグインで、WordPress.orgのプラグインチームは対象プラグインのクローズおよび強制セキュリティアップデートを実施しています。影響を受けたサイトでは、wp-config.phpの改ざんが確認された事例も報告されています。該当するプラグインを利用している場合は、関連する情報を参照し、強制アップデートが適用済みであること、ならびにバックドアなどの不審なファイルの設置やファイル改ざんなどの影響を受けていないことをご確認ください。
関連文書
https://patchstack.com/articles/critical-supply-chain-compromise-on-20-plugins-by-essentialplugin/
【10】JPCERT/CCとIPAが2026年1月から3月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開
情報源
概要
JPCERT/CCとIPAは2026年1月から3月分の「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。本レポートでは、ソフトウェア製品の脆弱性、Webサイトの脆弱性に関する取扱状況についてまとめています。
【11】JPCERT/CCが2026年1月から3月分の「JPCERT/CC 四半期レポート」を公開
情報源
概要
JPCERT/CCは、2026年1月から3月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。
【12】2026年4月マイクロソフトセキュリティ更新プログラムに関する注意喚起
情報源
概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトによると、今回修正された一部の脆弱性を悪用する攻撃を確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/msrc/blog/2026/04/202604-security-update
【13】Adobe AcrobatおよびReaderの脆弱性(APSB26-43)に関する注意喚起
情報源
概要
複数のアドビ製品には、脆弱性があります。アドビによると、今回修正されたAdobe AcrobatおよびAcrobat Readerの脆弱性の一部が悪用されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html
https://www.jpcert.or.jp/at/2026/at260011.html
https://helpx.adobe.com/security/products/acrobat/apsb26-43.html
■JPCERT/CCからのお願い
-
本レポートに関するお問い合わせは
ew-info@jpcert.or.jp 宛
にお願い致します。ただし、JPCERT/CCでは、提供する情報について具体的な内容そのものについてのご質問にはお答えできない場合もあります。またバックナンバーは、以下のURLからご利用いただけます。
https://www.jpcert.or.jp/wr/ -
本メーリングリストの購読申込や購読停止、また登録した電子メールアドレスの変更などにつきましては、以下のURLを参照してください。
https://www.jpcert.or.jp/announce.html -
JPCERT/CCへのセキュリティインシデントの報告方法については以下のURLを参照してください。
https://www.jpcert.or.jp/form/
