トップ/記事一覧/【2026年7月7日】セキュリティ脆弱性まとめ ― Dell・Red Hat・Kubernetes基盤など6件、一般利用者への影響は
cve-digest-2026-07-07-cover-ja

【2026年7月7日】セキュリティ脆弱性まとめ ― Dell・Red Hat・Kubernetes基盤など6件、一般利用者への影響は

2026年7月7日に公開された脆弱性のうち、個別速報にしなかったものを一日分まとめました。Dell PowerProtect Data DomainやRed Hat SSSDなど計6件を、ログインの要否で『自分に関係するか』を判定できる一覧に整理。この日は企業サーバー向けが中心で、一般利用者向けの緊急案件はありませんでした。運用者が優先すべき案件を解説します。

ニュース2026年7月8日公開 本日更新
目次
この記事のポイント

2026年7月7日に公開された脆弱性のうち、個別速報にしなかったものを一日分まとめました。Dell PowerProtect Data DomainやRed Hat SSSDなど計6件を、ログインの要否で『自分に関係するか』を判定できる一覧に整理。この日は企業サーバー向けが中心で、一般利用者向けの緊急案件はありませんでした。運用者が優先すべき案件を解説します。

2026年7月7日に世界の脆弱性データベース(NVD)で公開された脆弱性のうち、当サイトが単独の速報記事にしなかったものを、この記事で一日分まとめて整理します。単独記事にしなかったのは、いずれも悪用に有効なアカウントや特定の設定が必要だったり、対象が企業向けの限られた製品だったりして、無差別に一般の利用者へ及ぶものではないためです。数字の上での危険度は高くても、「誰でも・どこからでも」刺さるものではありません。自分が使っている製品が含まれていないか、ここで確認してください。

この日の脆弱性は、企業のLinuxサーバーやIT基盤で使われる製品に集中しました。一般の消費者が普段使うスマホやWebサービスが直接狙われるものはありません。危険度は10点満点です。

7月7日の脆弱性一覧

CVE番号製品種類危険度攻撃の前提
CVE-2026-53481Dell PowerProtect
Data Domain
経路をたどる
(パストラバーサル)
9.8ログイン不要
(社内装置)
CVE-2026-53483Dell PowerProtect
Data Domain
認証不備9.8ログイン不要
(社内装置)
CVE-2026-14474Red Hat SSSD既定設定の不備8.8要ログイン
+設定不備
CVE-2026-11610Red Hat 389
Directory Server
メモリ破壊8.8要ログイン
CVE-2026-44938Rancher Fleet保護機能の回避8.8要・書き込み権限
CVE-2026-13696HAVELSAN
Liman MYS
命令の注入
(LDAP)
8.8要ログイン

ログイン不要だが、対象は企業のバックアップ装置

CVE-2026-53481 / CVE-2026-53483: Dell PowerProtect Data Domain

Dell PowerProtect Data Domainは、企業のデータセンターに置かれる大容量バックアップ装置です。今回の2件はいずれも危険度9.8で、ログイン不要で悪用できる筋の良さがあります。CVE-2026-53481はファイルの保存場所をたどって不正な操作をするパストラバーサル、CVE-2026-53483は認証の不備で、いずれも装置を乗っ取られる恐れがあります(Dell DSA-2026-278)。ただし、この装置は家庭や個人が持つものではなく、通常は社内のバックアップ網に置かれて外部公開されません。狙えるのは社内ネットワークに入り込めた攻撃者に限られます。とはいえバックアップ装置は身代金要求型ウイルス(ランサムウェア)の最優先の標的です。乗っ取られると、いざという時の「最後の砦」が真っ先に潰されます。Data Domainを運用する組織は、Dellの更新を最優先で適用してください。実際の攻撃が観測されれば、当サイトでも単独で扱う可能性があります。

悪用に権限や設定不備が要る、企業向けLinux基盤の脆弱性

残りは、企業のLinuxサーバーや基盤ソフトで使われる製品です。いずれも悪用に有効なアカウントや特定の条件が必要で、無差別のスキャンで刺さるものではありません。

CVE-2026-14474: Red Hat SSSD の設定不備を突く管理者昇格

SSSDは、多数のLinuxマシンをまとめて認証管理するための基盤ソフトです。この欠陥(危険度8.8)は、sudo(一時的に管理者権限で命令を実行する仕組み)の設定で検索範囲が未指定だと、攻撃者が不正なsudo権限を紛れ込ませて全SSSD参加ホストで管理者権限を奪えるという筋です。ただし成立には、①有効なアカウント(LDAPのどこかに書き込める権限)と、②設定の不備(検索範囲の未指定)の両方が重なることが前提です。無差別に刺さるものではありませんが、条件が合う環境では影響が大きいため、Red Hat系Linuxの管理者は設定と更新を確認してください。

CVE-2026-11610: Red Hat 389 Directory Server のメモリ破壊

389 Directory Serverは、社内のユーザー情報などを管理するディレクトリサーバー(住所録のような役割のサーバー)です。この欠陥(危険度8.8)は、細工した通信でサーバーのメモリを壊す種類で、実際に起きるのは主にサービスの停止(サーバーが落ちる)です。悪用には有効なアカウント(社内ドメインの利用者権限)が必要で、外部から誰でも突けるものではありません。ディレクトリ基盤を運用する組織は更新を確認してください。

CVE-2026-44938: Kubernetes向け「Rancher Fleet」の保護機能の回避

Rancher Fleetは、コンテナ基盤Kubernetesの設定をGit経由でまとめて配布するツールです。この欠陥(危険度8.8)は、Fleetが監視するリポジトリに書き込み(git push)できる攻撃者が、安全性を強制するラベルを上書きして保護機能を弱められる、というものです。成立には内部の書き込み権限が前提で、外部からの無認証攻撃ではありません。Kubernetesを運用する開発・運用チームが対象です。該当する場合は更新を確認してください。

CVE-2026-13696: サーバー管理ソフト「HAVELSAN Liman MYS」(海外製)

Liman MYSは、トルコのHAVELSAN社が提供するサーバー管理システムです。この欠陥(危険度8.8)は、ログインした状態で不正な入力を送り込むLDAPインジェクション(CWE-90)です。悪用にはログインが必要で、しかもこの製品は国内でほとんど使われていないニッチな海外プロダクトです。国内の一般的な利用者が関係する場面はまずありませんが、記録として掲載します。

まとめ。7月7日は一般利用者向けの緊急案件なし

7月7日に公開された上記の脆弱性は、すべて企業のサーバーやIT基盤を運用する立場の人が対象で、一般の消費者が今すぐ何かをする必要はありません。運用者にとっては、無認証で狙われうるDell PowerProtect Data Domainの2件が最優先です。バックアップ装置は攻撃者に真っ先に狙われるため、社内利用でも早めの更新をおすすめします。

実際に攻撃されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)で日々確認できます。この日の翌日(7月8日)には、より広く影響するJoomlaのページ作成ツールの乗っ取りの脆弱性など、一般の利用者にも関わる案件が出ています。あわせて確認してください。

参照元

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go