【2026年7月13日】セキュリティ脆弱性まとめ ― 無線ルーターや工場向け機器で乗っ取り、一般利用者への影響は
2026年7月13日に公開された危険度9.0以上の脆弱性3件をまとめました。無線ルーター『Comfast』はログイン不要で乗っ取り可能ながら修正版がなく、工場向け機器『WAGO』には隠し機能、監視ツール『Centreon』にも重大な欠陥。多くは特定製品の運用者が対象です。同日のLINEの不具合や、自分の使う製品が対象かも確認できます。
目次
2026年7月13日に公開された危険度9.0以上の脆弱性3件をまとめました。無線ルーター『Comfast』はログイン不要で乗っ取り可能ながら修正版がなく、工場向け機器『WAGO』には隠し機能、監視ツール『Centreon』にも重大な欠陥。多くは特定製品の運用者が対象です。同日のLINEの不具合や、自分の使う製品が対象かも確認できます。
2026年7月13日に世界の脆弱性データベース(NVD)や日本のJVNで公開された脆弱性のうち、当サイトが単独の速報記事にしなかったものを、この記事で一日分まとめて整理します。この日は無線ルーター、工場向けの制御機器、システム監視ツールという「それぞれの製品を運用している人」向けの重大な欠陥が3件並びました。危険度の数字は高いものの、一般の消費者が普段使うスマホやWebサービスが直接狙われるものではありません。自分が使っている製品が含まれていないか、ここで確認してください。
なお、同じ7月13日に見つかった脆弱性のうち、日本の利用者数が桁違いに多く「今すぐ更新すべき」と判断したものは、単独の記事にしています。リンクを開くとiPhoneが一時的に操作できなくなるiOS版LINEの不具合(CVE-2026-3861/危険度7.1)がそれにあたります。以下は、それ以外の危険度9.0以上(10点満点)の重大な3件を、目立った順にまとめたものです。前日分は7月12日のセキュリティ脆弱性まとめにあります。
本日、個別記事にした「今すぐ確認すべき」案件
まず、この日のうちに単独記事として詳しく扱った案件を挙げておきます。日本で利用者が非常に多いため、対象なら早めに確認してください。
- ・iOS版LINEの不具合(CVE-2026-3861/危険度7.1):細工されたリンクを開くと確認画面が連続表示され、iPhoneが一時的に操作できなくなります。情報を盗まれる種類のものではなく、アプリを26.3.0以降へ更新すれば直ります。
この日の危険度9以上。ルーター・工場向け機器・監視ツールで3件
7月13日に公開された中で、危険度9.0以上の重大なものは3件でした。いずれもその製品を自分で設置・運用している人が対象で、一般の利用者が普段そのまま触れるものではありません。とはいえ、無線ルーターは家庭や店舗にも入り込むため、順に見ていきます。危険度は10点満点です。
| CVE番号 | 製品 | 何が起きる | 危険度 | 攻撃の前提 | 状態 |
|---|---|---|---|---|---|
| CVE-2026-15511 | Comfast CF-WR631AX | 命令の注入 →機器の乗っ取り | 9.8 | ログイン不要 | 修正版なし 悪用報告なし |
| CVE-2026-4769 | WAGO System I/O Field | 隠し機能で 内部への侵入 | 9.8 | ログイン不要 (起動直後のみ) | 対応調整中 悪用報告なし |
| CVE-2026-14453 | Centreon (open-tickets) | 命令の混入 →プログラム実行 | 9.6 | 要ログイン | 修正あり 悪用報告なし |
CVE-2026-15511: 無線ルーター「Comfast CF-WR631AX」を、ログインなしで乗っ取り
Comfast(コムファスト)は、中国メーカーの小規模オフィス・家庭向け無線ルーターやアクセスポイントのブランドです。今回の欠陥は、機器の管理機能のうち画像ファイルを受け取る処理(`system_wl_upload_pic_file`という内部処理)で、外部から渡された文字列を十分に検査せず、そのまま機器内部の命令として実行してしまうものです(OSコマンドインジェクションと呼ばれる手口)。ログインは一切不要で、機器の管理者権限ごと乗っ取られる恐れがあり、危険度は9.8。困ったことに、メーカーは問い合わせに応じておらず、修正版の見込みが立っていません。日本ではあまり流通していないブランドですが、この機種を使っている場合は、インターネットから直接アクセスできない設定にするか、別の機器への置き換えを検討してください。
CVE-2026-4769: 工場向け機器「WAGO System I/O Field」に、起動直後だけ開く隠し口
WAGO(ワゴ)は、工場やプラントの設備を制御する産業用機器を手がけるドイツのメーカーです。今回の欠陥は、対象機器に文書化されていない診断用の隠し機能があり、電源を入れた直後のごく短い時間だけ、ログインなしで内部の処理にアクセスできてしまうというものです(隠し機能という分類の問題)。危険度は9.8と高いものの、悪用できるのは機器の起動直後に限られるため、実際に狙うには再起動の瞬間に機器へ到達する必要があります。対象は制御システムを扱う技術者に限られ、一般の利用者とは接点がありません。ドイツのCERT@VDEが窓口となって対応を調整中で、該当機器を運用している場合はメーカーの案内に従ってください。
CVE-2026-14453: システム監視ツール「Centreon」で、ログイン後にプログラム実行
Centreon(サントレオン)は、サーバーやネットワーク機器の稼働状況をまとめて見張る、企業向けのシステム監視ツール(フランス製)です。今回の欠陥は、問い合わせ連携の追加機能(open-tickets)で、入力された文字列を検査せずに画面表示の仕組み(Smarty)へ渡していたため、細工した文字列を通じてサーバー上で任意のプログラムを実行できるものです(テンプレート挿入と呼ばれる手口)。危険度は9.6ですが、悪用にはCentreonへのログインが必要で、いきなり外部から乗っ取られるものではありません。バージョン24.10.14および25.10.9で修正されています。監視基盤としてCentreonを運用している場合は、最新版への更新を確認してください。
そのほか、条件つきで注意したい欠陥
この日は上記の3件のほかにも、危険度8.8のネットワーク機器の欠陥が公開されました。いずれも悪用には機器へのログインが必要で、いきなり乗っ取られるものではありません。Tenda(テンダ)のルーター「CH22」(CVE-2026-15543)は、設定画面の証明書一覧を扱う処理でバッファあふれ(想定より大きなデータを送り込んでプログラムを誤作動させる欠陥)が起きます。ルーター向けの改造ファーム「Tomato(Shibby版)」は、電源管理の連携部品(apcupsd)で2件(CVE-2026-15544・CVE-2026-15545)の同種の欠陥が見つかりました。Tomatoはすでに開発が引き継がれた古いファームで、後継版(FreshTomato)への移行が推奨されます。いずれも日本での利用は限定的で、該当機器を使っている場合のみ注意してください。
また、日本のJVNでは同日、ファイルをダウンロードする定番ツール「GNU Wget」の欠陥(CVE-2026-15146/危険度5.9)も公表されました。古い方式(FTP)で接続した際に、通信の宛先を検証せず攻撃者に横取りされる恐れがあるものですが、危険度は中程度で、現在の一般的な使い方(HTTPSでの取得)では基本的に発火しません。開発・運用でWgetを古い方式で使っている場合のみ、配布元の更新情報を確認してください。
まとめ。今日、一般利用者が動くべきものは
7月13日に公開された危険度9.0以上の3件は、いずれも特定の製品を自分で設置・運用している人が対象で、一般の消費者が使うスマホやWebサービスが直接狙われるものではありません。普段の利用者がこの一覧のために今すぐ何かをする必要は基本的にありません。強いて言えば、Comfastの無線ルーター(危険度9.8)は修正版がなく、ログイン不要で乗っ取られるため、該当機種を家庭や店舗で使っている場合は置き換えを検討してください。
この日、一般の利用者にいちばん関係が深いのは、単独記事にしたiOS版LINEの不具合(CVE-2026-3861)です。情報を盗まれる種類ではありませんが、アプリを最新版へ更新すれば直るので、こちらは早めに済ませておくと安心です。実際に攻撃が観測されている脆弱性は、米政府CISAの警告リスト(KEVダッシュボード日本語版)で追えますが、この日の3件はいずれもまだ登録されていません。自分でサーバーやAIの仕組みを運用している場合は、導入した部品の欠陥をまとめて点検するオープンソース部品(サプライチェーン)の点検の仕組みもあわせて検討してください。前日分の一覧は7月12日のまとめを参照してください。
参照元
- ▸NVD - CVE-2026-15511(Comfast CF-WR631AX)
- ▸NVD - CVE-2026-4769(WAGO System I/O Field)
- ▸CERT@VDE - WAGO Advisories
- ▸NVD - CVE-2026-14453(Centreon open-tickets)
- ▸NVD - CVE-2026-15543(Tenda CH22)
- ▸NVD - CVE-2026-15544(Shibby Tomato)
- ▸NVD - CVE-2026-15545(Shibby Tomato)
- ▸JVN - JVNVU94203999(GNU Wget/CVE-2026-15146)

堀川 慎
Backend Engineer / AWS / Django / Go