Patch Tuesdayの分でMicrosoftが忙しい。 あと散々ひっぱられたNodeのセキュリティリリースも昨日でた模様。 Adobe、個別ページはあるけど一覧が更新されない。しょしょまつ。

1. CVE-2026-0830｜Kiro IDE
   • https://aws.amazon.com/jp/security/security-bulletins/rss/2026-001-aws/
   • https://nvd.nist.gov/vuln/detail/CVE-2026-0830
   • コマンドインジェクション。細工されたワークスペースに注意。
2. CVE-2025-55131｜Node.js
   • https://nodejs.org/en/blog/vulnerability/december-2025-security-releases
   • 情報漏洩っぽい。他にも権限バイパスやDoSなど。
3. None｜Node.js
   • https://nodejs.org/en/blog/vulnerability/january-2026-dos-mitigation-async-hooks
   • CVE見当たらないけど過度にネストされたJSONによりクラッシュするらしい。
4. CVE-2026-20805｜Desktop Windows Manager
   • https://msrc.microsoft.com/update-guide/vulnerability/CVE-2026-20805
   • https://nvd.nist.gov/vuln/detail/CVE-2026-20805
   • https://www.cisa.gov/known-exploited-vulnerabilities-catalog?search_api_fulltext=CVE-2026-20805
   • Patch Tuesdayを代表して。KEVに登録されていたので。
5. CVE-2026-0877｜Firefox
   • https://www.mozilla.org/en-US/security/advisories/mfsa2026-01/
   • https://nvd.nist.gov/vuln/detail/CVE-2026-0877
   • https://www.cisecurity.org/advisory/multiple-vulnerabilities-in-mozilla-products-could-allow-for-arbitrary-code-execution_2026-001
   • セキュリティコンポーネントにおける緩和策のバイパスが可能らしい。他にもいくつか。
6. CVE-2025-25249｜Fortinet FortiOS
   • https://fortiguard.fortinet.com/psirt/FG-IR-25-084
   • https://nvd.nist.gov/vuln/detail/CVE-2025-25249
   • RCE。他にもFortiSIEMでCVE-2025-64155など高CVSSなのがいくつか。
7. CVE-2025-66566(ESA-2026-07)｜yawkat LZ4 Java(Elasticsearch)
   • https://discuss.elastic.co/t/elasticsearch-8-19-10-9-1-10-9-2-4-security-update-esa-2026-07/384525
   • https://nvd.nist.gov/vuln/detail/CVE-2025-66566
   • 情報漏洩。Elasticsearchのアドバイザリだが、原因は先月に公開されたJavaのライブラリ？っぽい。
8. CVE-2025-68493｜Apache Struts
   • https://cwiki.apache.org/confluence/display/WW/S2-069
   • https://nvd.nist.gov/vuln/detail/CVE-2025-68493
   • XXEインジェクション。条件あり。対象バージョンも古いものだけっぽい。Strutsでの情報公開は12月？
9. CVE-2026-21409｜RICOH Streamline NX V3
   • https://www.ricoh.com/products/security/vulnerabilities/vul?id=ricoh-2025-000011
   • 情報漏洩。条件あり。
10. CVE-2025-69258｜Trend Micro Apex Central
    • https://success.trendmicro.com/ja-JP/solution/KA-0022081
    • https://nvd.nist.gov/vuln/detail/CVE-2025-69258
    • https://www.security-next.com/179501
    • コード実行。DLL周りらしい。
11. CVE-2026-22610｜Angular
    • https://github.com/angular/angular/security/advisories/GHSA-jrmj-c5cx-3cw6
    • https://nvd.nist.gov/vuln/detail/CVE-2026-22610
    • XSS。アプリケーションの実装による。
12. CVE-2025-62877｜SUSE Virtualization(Harvester)
    • https://github.com/harvester/harvester/security/advisories/GHSA-6g8q-hp2j-gvwv
    • https://nvd.nist.gov/vuln/detail/CVE-2025-62877
    • 情報漏洩。OSのデフォルトのSSHログインパスワードが漏洩する可能性があるとのこと。回避策あり。