#20260322 【週まとめ】動画CMSの大量脆弱性とAIツールのRCEリスク

今週1週間（2026年3月15日〜3月22日）のセキュリティニュースを総まとめしてお届けします！ 今週は特定のコンテンツ管理システムで数十件規模の脆弱性が一挙に公開されたほか、認証基盤やAI関連ツールでの重大なリスクが多数報告されました。 ■ 今週のハイライト ・動画プラットフォーム「AVideo」とノートアプリ「SiYuan」でRCEやSQLiなど大量の脆弱性報告 ・OryエコシステムやMinIOなど、バックエンド認証・認可基盤における致命的な欠陥 ・LangflowやMLflowなど、AI・機械学習ツールでの任意のファイル書き込みとRCEリスク ・Next.jsやSpring Boot、etcdなどの主要フレームワーク・インフラのアップデート ■ テーマ別解説 ▼ 動画プラットフォームとCMSの深刻な脆弱性 オープンソースの動画プラットフォーム「AVideo」では、非常に多くの脆弱性が公開されました。 (1) CVE-2026-33478：CloneSiteプラグインのマルチチェーン攻撃による完全なリモートコード実行（RCE）。 (2) CVE-2026-33502：内部ネットワークへのアクセスを許す認証不要のSSRF。 また、プライバシー重視のノートアプリ「SiYuan」においても、マーケットプレイス機能を通じたXSSからRCEに繋がる問題（CVE-2026-33067）や、WebSocketの認証バイパスによるDoS（CVE-2026-33203）など、多数の脆弱性が報告されています。 ▼ 認証・認可基盤のセキュリティ欠陥 ID管理基盤を提供する「Ory」のエコシステム（Keto、Hydra、Kratos）において、ページネーショントークンの暗号化不備を利用したSQLインジェクションが報告されました（CVE-2026-33505など）。 また、Parse Serverでは外部認証プロバイダのバリデーションバイパス（CVE-2026-33409）、MinIOではOIDC認証時のJWTアルゴリズムの混乱脆弱性（CVE-2026-33322）など、認証周りの致命的な欠陥が目立ちました。 ▼ AI・データ処理ツールの実行環境リスク AIアプリケーション構築ツールの「Langflow」では、V2 APIにおける任意のファイル書き込みからRCEに繋がる脆弱性（CVE-2026-33309）が修正されました。また「MLflow」では、モデル展開時に細工されたtarアーカイブによってファイルが上書きされる問題（CVE-2025-15031）が発覚しています。システムモニタリングツールの「Glances」でもコマンドインジェクションや資格情報の漏洩など多数のリスクが報告されました。 ▼ 主要フレームワークのアップデート ・Next.js（CVE-2026-29057）：リライト機能におけるHTTPリクエストスマグリング。 ・Spring Boot（CVE-2026-22733）：Actuatorエンドポイントの特定のパスにおける認証バイパス。 ・etcd（CVE-2026-33413）：ネストされたトランザクションを利用したRBAC認可バイパス。 今週は影響範囲の広いバックエンド基盤から、近年導入が進むAIツールまで、多岐にわたるアップデートがリリースされています。自社の利用技術スタックを確認し、速やかなパッチ適用をお願いします。 #セキュリティ #エンジニア #ITニュース #週まとめ #脆弱性 #サイバーセキュリティ #バックエンド #AIツール Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793