【2026年7月9日】セキュリティ脆弱性まとめ ― CoreWCF・Bitwarden・Snowflakeなど7件、一般利用者への影響は
2026年7月9日16時時点で公開された脆弱性のうち、危険度(CVSS)9.0以上の「重大」評価がついたものを網羅的にまとめました。CoreWCF・Bitwarden・Snowflakeなど計7件を、ログインの要否で『自分に関係するか』を判定できる一覧に整理。同日のFluentd・Repomixの脆弱性は既存の単独記事を参照しています。
目次
2026年7月9日16時時点で公開された脆弱性のうち、危険度(CVSS)9.0以上の「重大」評価がついたものを網羅的にまとめました。CoreWCF・Bitwarden・Snowflakeなど計7件を、ログインの要否で『自分に関係するか』を判定できる一覧に整理。同日のFluentd・Repomixの脆弱性は既存の単独記事を参照しています。
2026年7月9日16時時点で世界の脆弱性データベース(NVD)や日本のJVNに公開された脆弱性のうち、危険度(CVSS)が9.0以上、いわゆる「重大(Critical)」と判定されたものを、この記事で網羅的に整理します。CVE番号で検索して訪れる読者が多いことを踏まえ、当サイトの判断で対象を絞らず、7月9日に「重大」評価がついた脆弱性は原則としてすべてここに掲載しています。まだ日付が変わりきっていない時間帯の公開のため、この時刻以降に新たに判明したものは後日この記事に追記します。多くが「特定の権限を持つ人しか悪用できない」「限られた製品を自分で運用している人だけが対象」など、無差別に一般の利用者へ及ぶものではないのも事実です。とはいえ条件がそろえば実害につながります。自分が使っている製品が含まれていないか、ここで確認してください。
なお、同じ7月9日に見つかった脆弱性のうち、影響が広く「今すぐ更新すべき」と判断したAIコード整理ツールRepomixの深刻なSSRFは単独の記事にしています。またCVE-2026-44024(ログ収集基盤Fluentd)は、当サイトで先に単独記事にしているため、この一覧では重複を避けて割愛しています。以下は、それ以外の「重大」評価がついた脆弱性の一覧です。
7月9日の脆弱性一覧
「攻撃の前提」の欄が、そのまま「自分に関係するか」の判断材料になります。ログイン不要のものは影響が広く、権限や利用者の操作が要るものは対象が限られます。危険度は10点満点です。
| CVE番号 | 製品 | 種類 | 危険度 | 攻撃の前提 | 状態 |
|---|---|---|---|---|---|
| CVE-2026-54782 | CoreWCF | 認証バイパス (SAML) | 10.0 | ログイン不要 (要:SAML連携) | 悪用報告なし |
| CVE-2026-9074 | IBM API Connect | SQL インジェクション | 9.1 | ログイン不要 | 悪用報告なし |
| CVE-2026-15062 | Snowflake Snowpark | SQL インジェクション | 9.6 | 要ログイン (低権限) | 悪用報告なし |
| CVE-2026-60104 | Bitwarden Server | 認可不備 (鍵漏えい) | 9.3 | 要ログイン (組織メンバー) | 悪用報告なし |
| CVE-2026-54527 | JupyterLab Git拡張 | XSS | 9.3 | 要ログイン +閲覧誘導 | 悪用報告なし |
| CVE-2026-47646 | Dynamics 365 Customer Voice | XSS (なりすまし) | 9.3 | 要:リンク クリック誘導 | 悪用報告なし |
| CVE-2026-59873 | node-tar | リソース枯渇 (DoS) | 9.2 | 悪意あるファイル 展開 | 悪用報告なし |
ログイン不要で狙われうるもの(前提のハードルが低い)
ここに挙げるのは、攻撃者がログインせずに仕掛けられる種類です。ただし対象はいずれも、自分でサーバーやツールを立てて動かしている人に限られます。一般の消費者が普段使うスマホアプリやWebサービスが直接狙われるものではありません。
CVE-2026-54782: .NET向け通信基盤「CoreWCF」でSAML認証が丸ごと突破可能に(危険度10.0=満点)
CoreWCFは、Windows専用だった通信基盤WCF(Windows Communication Foundation)を.NET向けに移植したオープンソース版で、企業の.NETシステムでSOAP通信の土台としてよく使われています。今回の欠陥は、SAML 1.1/2.0の認証トークンを検証する処理で、署名の検証や発行元の鍵確認が正しく行われていないというもので、無認証の攻撃者が管理者を含む任意の利用者になりすませてしまいます。危険度はCVSSの上限に達する10.0。同時にSAML実装まわりの関連する不備が複数件公開されており、SAML連携を使ってCoreWCFを運用している場合は影響が大きくなります。バージョン1.8.1・1.9.1以降で修正されているため、該当する開発チームは最優先で更新してください。
CVE-2026-9074: 企業のAPI管理基盤「IBM API Connect」のパスワード再設定機能にSQLインジェクション
IBM API Connectは、企業が社内外に公開するAPIをまとめて管理・保護するゲートウェイ製品です。今回の欠陥は、パスワード再設定の機能にSQLインジェクションがあり、無認証の攻撃者がデータベースを不正操作できるというものです(危険度9.1)。対象はバージョン10.0.8.0〜10.0.8.9、および12.1.0.0〜12.1.0.3で、IBMからセキュリティ情報が公開されています。企業のAPI基盤という性質上、突破されれば背後のシステム全体に影響が及びかねません。該当バージョンを使っている企業は速やかな更新が必要です。
要ログイン・利用者の操作誘導が必要なもの
ここからは、攻撃の成立に「有効なアカウント」や「利用者にリンクを踏ませる・画面を開かせる」といった一手間が必要な種類です。危険度の数字は高いものの、無差別のスキャンで刺さるものではありません。
CVE-2026-15062: クラウドデータ基盤「Snowflake」のPython SDKにSQLインジェクション複数
Snowparkは、Snowflake(クラウド上のデータウェアハウス)をPythonから操作するための公式SDKです。今回の欠陥は、列名やエクスポート先のパスに細工したSQL文を埋め込むことで、ログイン済みの低い権限を持つ利用者が本来アクセスできないはずのデータへ範囲を超えてSQLを実行できてしまうというもので、危険度9.6。悪用されると、接続元データベースの侵害や、テナントをまたいだデータの持ち出し、Snowflakeアカウント情報の閲覧につながる恐れがあります。攻撃には有効なSnowflakeアカウントが前提のため無差別ではありませんが、Snowparkでデータ基盤を運用している組織はバージョン1.53.0以降への更新が必要です。
CVE-2026-60104: パスワード管理ソフト「Bitwarden」で組織メンバーが他人の保管庫の鍵を盗める
Bitwardenは、パスワードやログイン情報をまとめて管理する、個人にも企業にも広く使われているパスワードマネージャーです。今回の欠陥は、複数端末間の暗号化を仲介する認証リクエスト機能で、リクエストに書かれたメールアドレスが本当にリクエストした本人のものかを確認していないというもので、同じ組織の低い権限のメンバーが、細工したリクエストを承認させることで他人の保管庫を開ける鍵(vault key)を盗み、アカウントを乗っ取れてしまいます(危険度9.3)。対象は自己ホスト版のBitwarden Serverを2026.6.0より前で運用している場合で、組織で自己ホストのBitwardenを使っている管理者は速やかに更新を確認してください。パスワードマネージャーという性質上、影響を受けた場合の被害は大きくなりえます。
CVE-2026-54527: データ分析環境「JupyterLab」のGit拡張機能にXSS
JupyterLab Gitは、データ分析・機械学習でよく使われる開発環境JupyterLabにGit操作を組み込む拡張機能です。今回の欠陥は、ファイル名の変更履歴を表示する画面で、細工したファイル名をそのまま画面に埋め込んでしまうというもので、悪意あるファイル名を含むリポジトリの変更履歴を利用者が閲覧すると、任意のJavaScriptが実行されてしまいます(危険度9.3)。攻撃には「細工されたリポジトリを閲覧させる」という一手間が必要ですが、外部と共有しているノートブック環境では現実的な脅威です。バージョン0.54.0で修正されています。
CVE-2026-47646: Microsoft「Dynamics 365 Customer Voice」でなりすましにつながるXSS
Dynamics 365 Customer Voiceは、Microsoftのアンケート・顧客フィードバック収集サービスです。今回の欠陥は、画面生成時に外部からの入力を適切に無害化できていないクロスサイトスクリプティング(XSS)で、攻撃者が用意したリンクを利用者に開かせることで、本来のサービスになりすました画面を表示させられる恐れがあります(危険度9.3)。悪用には利用者にリンクを踏ませる操作が必要なため、フィッシングメールなどと組み合わされる可能性があります。Microsoft公式のセキュリティ情報が公開されており、Dynamics 365 Customer Voiceの管理者・利用企業は対応状況を確認してください。
悪意あるファイルを処理させることで成立するもの
CVE-2026-59873: Node.jsの定番アーカイブ処理ライブラリ「node-tar」でリソース枯渇
node-tarは、Node.jsでtar形式の圧縮ファイルを展開・作成するための定番ライブラリで、npmパッケージのインストール処理を含め、非常に多くのプロジェクトが依存しています。今回の欠陥は、展開後のデータ量や含まれるファイル数、圧縮率に上限を設けていなかったというもので、小さく細工した圧縮ファイル(いわゆる「解凍爆弾」)を読み込ませるだけで、ディスク容量やCPUを使い果たされてしまいます(危険度9.2)。攻撃にログインや権限は不要で、外部から受け取った圧縮ファイルを展開する処理(CIパイプラインやアップロード機能など)がある場合は注意が必要です。バージョン7.5.19で修正されています。
まとめ。今日、一般利用者が今すぐ動くべきものは
7月9日16時時点で「重大」評価がついた脆弱性は7件です(このほかにAIコード整理ツールRepomixの深刻なSSRFとFluentdの脆弱性を個別記事で扱っています)。現時点でCISAのKEV(実際に攻撃された脆弱性リスト)に新たに登録されたものはなく、実際の攻撃が観測された案件もありません。一般の利用者がこの一覧のために今すぐ何かをする必要は基本的にありません。
一方、サーバーやツールを運用する立場では、危険度がCVSSの上限10.0をつけたCoreWCF(CVE-2026-54782)と、パスワードマネージャーという性質上影響が大きいBitwarden(CVE-2026-60104)は優先度高めに確認してください。この記事は7月9日16時時点の情報を元にしており、この時刻以降に新たに「重大」評価の脆弱性が判明した場合は、後日この記事に追記します。実際に攻撃されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)でも追えます。
参照元

堀川 慎
Backend Engineer / AWS / Django / Go