■05/24(日)〜05/30(土) のセキュリティ関連情報
目 次
【1】複数のOracle製品に脆弱性
【2】Atril、EvinceおよびXreaderに引数インジェクションの脆弱性
【3】Google Chromeに複数の脆弱性
【4】GitLabに複数の脆弱性
【5】Giteaに複数の脆弱性
【6】Joomla!に複数の脆弱性
【7】Sambaに複数の脆弱性
【8】Apache ForyのPyForyに信頼できないデータのデシリアライゼーションの脆弱性
【9】Roundcube Webmailに複数の脆弱性
【10】NGINXにヒープベースのバッファオーバーフローの脆弱性
【11】GitHubがGitHub Enterprise Server管理者にGPG公開鍵のローテーションを呼び掛け
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】複数のOracle製品に脆弱性
情報源
https://www.oracle.com/security-alerts/cspumay2026.html
概要
複数のOracle製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
【2】Atril、EvinceおよびXreaderに引数インジェクションの脆弱性
情報源
https://github.com/mate-desktop/atril/security/advisories/GHSA-vgv2-m826-8f6f
概要
Atril、EvinceおよびXreaderには、引数インジェクションの脆弱性があります。攻撃者が、本脆弱性を悪用する細工したPDF文書をユーザーに開かせ、文書内のリンクをクリックさせることで、当該ユーザーの権限で任意のコードを実行する可能性があります。開発者および各ディストリビューションベンダーが提供する情報を確認のうえ、修正済みのバージョンや対策情報が公開されている場合は速やかな適用を推奨します。
【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2026/05/stable-channel-update-for-desktop_0877304591.html
概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【4】GitLabに複数の脆弱性
情報源
https://docs.gitlab.com/releases/patches/patch-release-gitlab-19-0-1-released/
概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【5】Giteaに複数の脆弱性
情報源
https://blog.gitea.com/release-of-1.26.2/
概要
Giteaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【6】Joomla!に複数の脆弱性
情報源
https://www.joomla.org/announcements/release-news/5954-joomla-6-1-1-5-4-6-security-bugfix-release.html
概要
Joomla!には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【7】Sambaに複数の脆弱性
情報源
https://www.samba.org/samba/latest_news.html#4.24.3
概要
Sambaには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【8】Apache ForyのPyForyに信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://fory.apache.org/security/#cve-2026-48207-pyfory-reduceserializer-deserializationpolicy-bypass
概要
Apache ForyのPyForyには、信頼できないデータのデシリアライゼーションの脆弱性(CVE-2026-48207)があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【9】Roundcube Webmailに複数の脆弱性
情報源
https://roundcube.net/news/2026/05/24/security-updates-1.6.16-and-1.7.1
概要
Roundcube Webmailには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【10】NGINXにヒープベースのバッファオーバーフローの脆弱性
情報源
https://my.f5.com/manage/s/article/K000161377
概要
NGINX Plus、NGINX Open Sourceには、ヒープベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【11】GitHubがGitHub Enterprise Server管理者にGPG公開鍵のローテーションを呼び掛け
情報源
https://github.blog/security/investigating-unauthorized-access-to-githubs-internal-repositories/
概要
GitHubは、2026年5月26日(現地時間)、同社の内部リポジトリーに対する不正アクセスに関する記事を更新しました。同社によると、現在も調査は継続中であるものの、予防措置として、GitHub Enterprise Serverの署名鍵を含む鍵のローテーションを実施しているとのことです。これに伴い、GitHub Enterprise Serverの管理者に対して、各インスタンスのGPG公開鍵をローテーションするよう対応を求めています。なお、GitHub Enterprise Cloudについては対応不要とされています。
