Velvet Ant Hackers Backdoor OpenSSH and PAM to Spy on Critical Infrastructure Network
2026/06/15 gbhackers — 中国由来の脅威アクター Velvet Ant に帰属し、高度に規律化された、長期にわたる侵入が明らかになった。Operation Highland は、約 10年に及ぶ静かなアクセス・キャンペーンであり、分離された重要インフラ・ネットワーク全体で、中核的な認証コンポーネントである OpenSSH バイナリと PAM モジュールの置き換えを行っていた。
Continue reading “Velvet Ant による OpenSSH と PAM のバックドア化:分離されたネットワークに 10年にわたり侵入”Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data in One Click
2026/06/15 CyberSecurityNews — Microsoft 365 Copilot Enterprise に存在する、深刻な脆弱性チェーンを悪用する攻撃者が、正規の Microsoft ドメインを指すリンクを 1 回クリックさせるだけで、企業の機密データ/MFA コード/メールの内容/カレンダーの詳細/機密ファイルを窃取できる状態にあった。
Continue reading “Microsoft 365 Copilot の深刻な脆弱性チェーン SearchLeak:ワンクリックで機密情報を流出”Jenkins RCE Flaw Exploited by Attackers in the Wild
2026/06/15 gbhackers — Jenkins に存在するリモート・コード実行 (RCE) 脆弱性 CVE-2026-53435 が、現在進行形で積極的に悪用されている。この脆弱性は、Jenkins の config.xml 処理時における安全でないデシリアライズに起因するものであり、未認証または低権限の攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許すものだ。そのため、広く利用されている CI/CD 自動化サーバに依存する組織に深刻なリスクが生じている。
Continue reading “Jenkins の RCE 脆弱性 CVE-2026-53435:デシリアライズを悪用する攻撃キャンペーンを観測”SearchJack Adware Campaign Exposes 758,000 Users to Privacy and Phishing Risks
2026/06/15 gbhackers — SearchJack と呼ばれる組織的なキャンペーンにより、23件の悪意の Chrome エクステンションが約 75.8 万人に配布され、ユーザーのデフォルト検索設定を密かに乗っ取っている。具体的には、検索結果が返される前に、脅威アクターが管理する収益化ミドルウェアを経由して、検索クエリがルーティングされてしまう。
Continue reading “Chrome の検索設定を変更する 23件のエクステンション:SearchJack キャンペーンと 75.8 万人への影響”SecSuite – AI-powered Tool for OSINT, Web and API Security Testing
2026/06/15 CyberSecurityNews — TheSecuredAnalyst プロジェクトの下で開発された、SecSuite という新たなオープンソース・セキュリティ・プラットフォームがリリースされた。このプラットフォームは、OSINT 偵察/情報収集/Web 脆弱性スキャン/API セキュリティ評価/コンプライアンス・チェック/AI 搭載分析を、単一の統合ツールキットにまとめたものである。
Continue reading “TheSecuredAnalyst が SecSuite をリリース:AI 搭載ツールにより OSINT/Web/API セキュリティ・テストに対応”Russia-Aligned Hackers Exploit Old WinRAR Vulnerability to Target Ukrainian Organizations
2026/06/15 gbhackers — 2025年7月の時点で修正された WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088 は、ウクライナを標的とする複数の侵入グループにとって、依然として強力な初期アクセス・ベクターである。2026年4月までの攻撃分析によると、この脆弱性を悪用する少なくとも 2 つの異なるキャンペーンが確認されている。1 つは SHADOW-EARTH-066 と命名された侵入グループ (CERT-UA により UAC-0226 として追跡) に帰属するコンパイル済みスティーラー・チェーンであり、もう 1 つはロシア寄りの Earth Dahu (Gamaredon) が使用する HTA ベースのスパイ活動チェーンである。
Continue reading “WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088:ロシア系脅威グループによる悪用が継続”Palo Alto Warns of GlobalProtect VPN Vulnerability Actively Exploited in the Wild
2026/06/15 CyberSecurityNews — Palo Alto Networks Unit 42 が公表したのは、PAN-OS GlobalProtect のポータル/ゲートウェイ・コンポーネントに影響を及ぼす、深刻な認証バイパス脆弱性 CVE-2026-0257 の積極的な悪用に関する緊急の警告である。この脆弱性を悪用する未認証のリモート攻撃者は、セキュリティ制御を回避し、不正な VPN 接続を開始できる。
Continue reading “Palo Alto GlobalProtect VPN の脆弱性 CVE-2026-0257:積極的な悪用を観測”Critical Wazuh Flaw Enables Threat Actors to Alter Alerts and Remove Logs
2026/06/15 gbhackers — Wazuh Manager に存在する深刻なセキュリティ脆弱性 CVE-N/A (CVSS 10.0) を悪用する未認証の脅威アクターが、新しいインベントリ同期パイプラインにおける入力検証の弱点を突く可能性がある。それにより、アラートの改竄/フォレンジック証拠の削除/任意の OpenSearch 操作の実行などが引き起こされる恐れがある。この脆弱性は、GitHub アドバイザリ GHSA-ff9g-85jq-r3g3 として追跡され、Wazuh Manager バージョン 5.0.0-beta1 に影響を及ぼす。
Continue reading “Wazuh の脆弱性 CVE-N/A (CVSS 10.0) が FIX:危険なインジェクション・プリミティブ”Threat Actor Malware Platform Exposed via Unlocked PHP Installation Page
2026/06/15 CyberSecurityNews — PHP インストールページのミスコンフィグにより、稼働中のマルウェア配布プラットフォームの内部インフラが露出した。それにより、Potato のセキュリティ研究者は、脅威アクターのダッシュボードから管理者のアクセスを取得できる状態になった。当初は、偽のソフトウェア・ダウンロード・サイトに見えていたが、実際にはマルウェア配布に使用されるアクティブなバックエンド・システムであることが判明した。
Continue reading “脅威アクターのマルウェア・インフラが露出:原因は PHP インストールページのアンロック”Critical Splunk Enterprise Pre-Auth RCE Chain Exposes Databases
2026/06/13 gbhackers — Splunk Enterprise において、認証前リモート・コード実行 (RCE) 脆弱性 CVE-2026-20253 (CVSS 9.8) が公表された。この脆弱性は 2026年6月10日に Splunk により公開されたものであり、Splunk バージョン 10 で導入された、PostgreSQL Sidecar Service に影響を及ぼす。CVE-2026-20253 の根本原因は、PostgreSQL Sidecar Service の HTTP API エンドポイントである “/v1/postgres/recovery/backup” および “/v1/postgres/recovery/restore” に認証制御が存在しない点にある。
Continue reading “Splunk Enterprise の脆弱性 CVE-2026-20253 が FIX:認証前 RCE チェーンを確認”US Gov asks Anthropic to ban ‘foreign national’ access to Fable, Mythos
2026/06/13 BleepingComputer — Anthropic が提供する、最も高性能な 2 つの AI モデルである Fable 5 および Mythos 5 だが、全世界の全ユーザーからのアクセスが停止された。これは、米国政府から Anthropic に対して発出された、外国籍者によるアクセスを遮断するよう命じる輸出管理指令を受けての措置である。
Critical Vulnerability Chain in LangGraph Allows Attackers to Gain Full Server Control
2026/06/12 CyberSecurityNews — 人気のオープンソース AI エージェント・フレームワーク LangGraph において、攻撃者によるサーバの完全な制御を許すリモート・コード実行 (RCE) の脆弱性チェーンが発見された。この問題は、Check Point Research により特定されたものであり、機密データやワークフローを管理する AI 駆動型システムに取り込まれると、危険性が大幅に増大する可能性があるという。
Continue reading “LangGraph における深刻な脆弱性チェーン:リモート・コード実行とサーバの完全制御”Palo Alto PAN-OS Vulnerability Allows Attackers to Execute Arbitrary Commands as Root User
2026/06/12 CyberSecurityNews — Palo Alto Networks は、PAN-OS に存在する新たなコマンド・インジェクションの脆弱性 CVE-2026-0273 の修正を公表した。この脆弱性を悪用する認証済みの管理者は、CLI または Web 管理インターフェイス経由で root 権限による任意のコマンドを実行できる。また、同じアドバイザリに記載される Medium の脆弱性として、CLI における権限昇格の脆弱性 CVE-2026-0272 と、トンネル・トラフィックにおけるサービス拒否 (DoS) の脆弱性 CVE-2026-0269 も修正されている。
Oracle PeopleSoft Zero-Day RCE Vulnerability Exploited by ShinyHunters
2026/06/12 gbhackers — Oracle PeopleSoft に新たに発見されたゼロデイ脆弱性が、脅威グループ ShinyHunters により積極的に悪用されていることが、Mandiant と Google Threat Intelligence Group (GTIG) による共同調査により明らかになった。この CVE-2026-35273 は CVSS スコア 9.8 (High) と評価されており、Environment Management コンポーネントに影響を与え、認証不要のリモート・コード実行を引き起こす。
Continue reading “Oracle PeopleSoft ゼロデイ脆弱性 CVE-2026-35273:ShinyHunters による攻撃キャンペーン”Google Patches 28 Chrome Vulnerabilities that Allow Attackers to Execute Malicious Code
2026/06/12 CyberSecurityNews — Google が公表したのは、28 件の脆弱性に対処する新たな Chrome セキュリティ・アップデートである。その中には、攻撃者による悪意のコード実行を許す、複数の Critical な脆弱性が含まれている。最新の Chrome Stable チャネル・アップデートでは、Windows/macOS 向けのバージョン 149.0.7827.114/.115 と、Linux 向けの 149.0.7827.114 が提供されている。
Continue reading “Chrome の 28件の脆弱性が FIX:メモリ破損の欠陥による任意のコード実行など”Survey: Organizations Take Too Long to Fix Application Vulnerabilities
2026/06/11 SecurityBoulevard — グローバルな調査レポート “2026 State of Modern Application & AI Security” により、902 人の IT/Security 専門家のうち 80% が、過去 12 カ月の間にアプリケーション・セキュリティ・インシデントの影響を受けた組織に所属し、そのうち 36% が複数回のインシデント対応を経験していることが判明した。
Continue reading “脆弱性修正までの時短は必須?AI を悪用する脅威アクターに対抗するために – Cloud Security Alliance”Chaotic Eclipse Unveils RoguePlanet Exploit Targeting Fully Patched Windows
2026/06/11 SecurityAffairs — セキュリティ研究者 Chaotic Eclipse (別名 Nightmare-Eclipse) が公開したのは、Microsoft Defender に存在するゼロデイ脆弱性 RoguePlanet に対する新たな PoC (Proof-of-Concept) エクスプロイトである。
Continue reading “Chaotic Eclipse が RoguePlanet の PoC を提供:Patch Tuesday June 後の Win 10/11 環境で検証”Claude Mythos Turning N-Days Into N-Hours With Rapid Working Exploit Creation
2026/06/11 CyberSecurityNews — 新たな調査により、先進的な LLM の中で Anthropic の Claude Mythos Preview が、N-day エクスプロイトの開発を劇的に加速させていることが明らかになった。この結果、従来は数週間を要していた開発期間が数時間へと短縮され、パッチギャップ期間におけるリスクが大幅に増大している。ゼロデイ脆弱性とは異なり、N-day 脆弱性とは、すでにパッチが公開されているが、多くのシステムで未修正のまま残存している欠陥である。
CISA tells govt agencies to patch critical exploited flaws in 3 days
2026/06/11 BleepingComputer — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Federal Civilian Executive Branch (FCEB) 機関におけるセキュリティ更新を優先するための、新たな Binding Operational Directive 26-04 である。この指令の目的は、公共部門を標的とするサイバー攻撃の脅威を低減することであり、高リスクの脆弱性に対して、場合によっては最短 3 日という短期間での修正を義務付けるものである。
Continue reading “CISA が連邦政府機関に通知:KEV に掲載される深刻な脆弱性を 3 日で修正せよ”HackerOne Unveils Agentic AI Platform to Discover and Validate Vulnerabilities Faster
2026/06/10 SecurityBoulevard — HackerOne が発表した H1 Platform は、AI エージェント活用を拡張し、脆弱性の実際の悪用可能性を測定し、脅威の特定/修復の優先順位付けをリスクに基づいて実施するものだ。同社 CEO である Kara Sprague によると、HackerOne コミュニティに所属する独立したセキュリティ研究者は、この H1 Platform 上で AI エージェントを活用することで、大規模なレベルで継続的に脆弱性の発見/検証/修復の優先順位付けを実施できるようになる。
Continue reading “HackerOne の自律的 AI プラットフォーム:脆弱性の発見と特定を高速化する H1 Platform とは?”Researcher Hacked Google Using AI and Earned $500,000 Bug Bounty
2026/06/11 CyberSecurityNews — セキュリティ研究者 brutecat が公表したのは、AI 駆動のファジング・パイプラインを用いることで、Google のインフラ全体にわたる $500,000 以上の報奨金に相当する脆弱性を、3 カ月足らずで発見した手法である。この調査により、約 1,500 の API に潜んでいた体系的なアクセス制御の不備が明らかにされた。
GitLab Patches Multiple Vulnerabilities Allowing Account Takeover
2026/06/11 gbhackers — GitLab が公開したのは、GitLab CE/EE の複数の脆弱性を修正するセキュリティ・アップデートである。それらを未修正で放置すると、アカウント乗っ取り/データ露出/サービス拒否を引き起こす可能性がある。管理者に推奨されるのは、該当する環境に応じて GitLab 19.0.2/18.11.5/18.10.8 へアップグレードし、これらの問題を完全に緩和することだ。
Continue reading “GitLab の複数の脆弱性が FIX:アカウント乗っ取り/データ露出などの恐れ”Anthropic’s Claude Fable 5 Jailbroken to Generate Stack Exploits
2026/06/11 CyberSecurityNews — 2026年6月9日に Anthropic が公開したのは、これまでに同社が開発した中で最も高性能な AI であり、新たな Mythos クラスに属する、初の一般提供モデル Claude Fable 5 である。このモデルは、ソフトウェア・エンジニアリング/ナレッジワーク/ビジョン分野などのベンチマークで優れた性能を示している。しかし、研究組織である Pliny the Liberator が、マルチエージェント分解/Unicode のトリック/ナラティブ・フレーミングを用いて Claude Fable 5 の安全性分類器を突破し、その過程で約 120,000 文字に及ぶシステム・プロンプトを流出させた。
Continue reading “Anthropic Fable 5 をジェイルブレイク:安全性分類器の突破とシステム・プロンプトの大量流出”PoC Exploit Released for Linux Kernel Guest-to-Host Escape Vulnerability
2026/06/11 gbhackers — Linux Kernel の深刻な脆弱性 CVE-2026-46316 に対して、PoC エクスプロイトが公開された。この脆弱性は KVM/arm64 環境に存在し、ゲストからホストへのエスケープを可能にするものであり、セキュリティ研究者 Hyunwoo Kim (V4bel) により ITScape と命名されている。
Continue reading “Linux KVM/arm64 の VM エスケープ脆弱性 CVE-2026-46316 が FIX:PoC の公開と悪用リスク”CISA Adds Cisco, Chrome, and Arista Flaws to KEV Catalog Amid Active Exploitation
2026/06/10 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、活発な悪用が報告されていることを受け、Known Exploited Vulnerabilities (KEV) カタログに 3 件の新たな脆弱性を追加したと発表した。
Continue reading “CISA KEV 警告 26/06/09:Cisco SD-WAN/Chrome V8/Arista EOS の脆弱性を追加”Shadow AI is Exposing the Same Governance Failures Cybersecurity Teams Have Ignored For Years
2026/06/10 InfoSecurity — 職場における AI の導入は加速し、各組織は AI ガバナンス・ポリシーの整備を急いでいる。従業員による会議の要約/レポートやメールの作成と下書き/意思決定の迅速化などのために、ChatGPT/Microsoft Copilot/Claude といったツールが日常的に利用されている。懸念されるのは、セキュリティ・チームが監視/統制の体制を整備するよりも早く、これらのツールを従業員たちが使い始めている可能性である。
Continue reading “Shadow AI が示す課題:AI 導入が加速する時代の実践的ガバナンスとは?”Path traversal flaw in AI dev platform Langflow exploited in attacks
2026/06/10 BleepingComputer — AI 開発プラットフォーム Langflow に存在する、深刻なパス・トラバーサル脆弱性 CVE-2026-5027 を積極的に悪用する攻撃者が、公開されているサーバに任意のファイルを書き込んでいる。Langflow はオープンソースのビジュアル・プラットフォームであり、従来のコーディングを置き換えるドラッグ&ドロップ・インターフェイスを用いて、AI アプリケーション/AI エージェント/検索拡張生成 (RAG) システム/MCP ベースのワークフローを構築するためのものだ。AI 開発チームに広く利用されており、GitHub 上で 149,000 以上のスターと 9,200 以上のフォークを獲得している。
Continue reading “Langflow のパス・トラバーサル脆弱性 CVE-2026-5027 :実環境での悪用を確認”Chinese Cyber Campaigns Intensify as AI Becomes Strategic Target
2026/06/10 SecurityBoulevard — AI 分野の主導権を巡る競争がグローバルで加速する中、テクノロジー企業と AI 資産を標的とする国家支援型サイバー活動の主要な発信源は中国関連の脅威アクターであると、サイバーセキュリティ企業 CrowdStrike は指摘している。
Critical OpenSSL Vulnerabilities Enable Remote Code Execution Attacks
2026/06/10 CyberSecurityNews — 2026年6月9日に公開された OpenSSL のセキュリティ・アドバイザリは、特別に細工された PKCS7 または S/MIME 署名メッセージをアプリケーションが処理した場合に発生し得る、リモート・コード実行の脆弱性について警告している。この脆弱性 CVE-2026-45447 (深刻度 High) は、PKCS7_verify 関数に存在するヒープ use-after-free バグに起因する。それにより、メモリ破壊が引き起こされ、特定のデプロイ環境では任意のコード実行に至る可能性がある。
Continue reading “OpenSSL の脆弱性 CVE-2026-45447 などが FIX:任意のコード実行の可能性”73 Microsoft Packages Weaponized in Password Stealer Attack
2026/06/10 gbhackers — Microsoft の 4 つの組織 (Azure/Azure-Samples/microsoft/MicrosoftDocs) に属する 73 のリポジトリが、105 秒という短い時間の中で、GitHub により無効化された。それぞれのリポジトリに対しては、”This repository has been disabled. Access to this repository has been disabled by GitHub Staff due to a violation of GitHub’s terms of service” という GitHub のバナーが表示された。
Continue reading “Microsoft Package 73件が武器化:サプライチェーン攻撃による侵害をGitHub が検知”Windows RDP Vulnerabilities Allow Attacker to Expose Sensitive Data
2026/06/10 CyberSecurityNews — Windows Remote Desktop Protocol (RDP) に存在する、情報漏えい脆弱性 CVE-2026-42908/CVE-2026-45639 が、2026年6月9日にリリースされた Microsoft Patch Tuesday で修正された。いずれも RDP スタックにおける境界外読み取りに起因し、深刻度 Important と評価され、CVSS v3 ベーススコアは 7.5 である。
Continue reading “Microsoft RDP の脆弱性 CVE-2026-42908/45639:機密データ漏洩の恐れ”ServiceNow Confirms Vulnerability Allowing Unauthorized Access to Customer Instance Tables
2026/06/10 CyberSecurityNews — ServiceNow が認めたのは、顧客インスタンスのテーブルに対するクエリ実行を、未認証の攻撃者に許す可能性のある、セキュリティ脆弱性 CVE-N/A の存在である。脅威インテリジェンス・チャネルを通じて明らかになったのは、この問題により、企業環境全体におけるデータ露出や情報漏洩への懸念が高まっていることである。情報によると、不適切なアクセス制御を突く攻撃者が、適切な認証なしにバックエンドのインスタンス・テーブルに対してクエリを実行する可能性があるという。
Continue reading “ServiceNow の脆弱性 CVE-N/A:顧客インスタンス・テーブルへの不正クエリの可能性”CISA Issues Alert on Actively Exploited Google Chromium Zero-Day Flaw
2026/06/10 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、悪意の Web コンテンツを通じて任意のコード実行を可能にする、Google Chromium のゼロデイ脆弱性 CVE-2026-11645 について警告を発出した。この脆弱性は Chromium の V8 JavaScript エンジンに影響する境界外読み取りおよび書き込みの問題を含むものであり、CWE-787/CWE-125 に分類される。細工された HTML ページを、ユーザーが閲覧する際にトリガーされる欠陥であり、リモートの攻撃者に対して、ブラウザのサンドボックス内での任意のコード実行を許す可能性がある。
Continue reading “CISA KEV 警告 26/06/09:Google Chromium の脆弱性 CVE-2026-11645 を登録”Ivanti: Max severity Sentry flaw allows code execution as root
2026/06/10 BleepingComputer — セキュリティ・ソフトウェア企業 Ivanti が公開したのは、同社のセキュア・モバイル・ゲートウェイ・ソリューションである Ivanti Sentry に存在する 2 件の深刻な脆弱性に対処するためのパッチである。それらの脆弱性には、リモートの攻撃者に root 権限でのコード実行を許す最大深刻度の欠陥も含まれている。
Continue reading “Ivanti Sentry の脆弱性 CVE-2026-10520/10523 が FIX:root 権限での RCE”Fortinet FortiSandbox Vulnerability Lets Attackers Execute Unauthorized Commands
2026/06/10 gbhackers — Fortinet が公表したのは、FortiSandbox 製品における深刻な脆弱性に関する情報である。この脆弱性 CVE-2026-25089 を悪用する未認証の攻撃者は、不正なコマンド実行の可能性を手にするため、マルウェア分析のためにサンドボックスを利用する企業にとって重大な懸念となる。
Continue reading “Fortinet FortiSandbox の脆弱性 CVE-2026-25089 が FIX:OS コマンド・インジェクション”Anthropic rolls out Claude Fable 5, but it’s available for a limited time
2026/06/09 BleepingComputer — Anthropic が開始したのは、Fable と呼ばれる新しいモデルのロールアウトである。このモデルは、同社の最強 AI モデル・クラスである、Mythos と同じ基盤モデルに基づいている。周知のとおり、Anthropic が開発した Mythos と呼ばれるモデルは、世界中の企業にセキュリティ・リスクをもたらす最先端モデルである。その当時の Anthropic は、脅威アクターによる公開/非公開ソフトウェアへの攻撃を支援し得るほど、Mythos は強力であると指摘していた。
Continue reading “Anthropic が Claude Fable 5 を提供開始:Mythos モデル+強力なガードレール”OpenClaw AI agent found falling for phishing attacks, spills user data
2026/06/09 BleepingComputer — OpenClaw のメール・エージェントの 2 種類のコンフィグ設定に対するフィッシング・シミュレーションにおいて、人間であるユーザーを騙す際に用いられる、一般的な悪意の手法が有効であることが明らかになった。OpenClaw のオープンソース AI エージェント・フレームワークは、現実世界のシステムと LLM を連携させ、自律的にアクションを実行できるようにするものだ。このフレームワークは、基本的な推論および操作を行うメール・エージェントとしても利用できる。
Continue reading “OpenClaw AI エージェントとフィッシング:4 つのシナリオを 2 種類のコンフィグで試してみた”Anthropic’s Mythos Can Serve Up N-Day Exploits in Minutes or Hours
2026/06/09 SecurityBoulevard — Anthropic の Claude Mythos Preview の Zero-day 脆弱性を検出する能力と、それを悪用するエクスプロイトを迅速に開発する能力に対して、ここ数ヶ月におけるサイバー・セキュリティ分野の焦点が当て続けられてきた。ただし、同様の能力は、すでに公開され一部のシステムではパッチ適用済みである、N-day 脆弱性に対しても悪用できる。この状況は、Anthropic が “パッチ・ギャップ” と呼ぶ状態を生み、未更新のシステムを攻撃にさらす。
Continue reading “Anthropic Mythos の性能テスト:実験として Firefox と Windows の N-Day 脆弱性を攻撃”Google patches new Chrome zero-day flaw exploited in the wild
2026/06/09 BleepingComputer — 2026年6月8日に Google が公表したのは、Chrome の新たな脆弱性に対処する緊急アップデートのリリースである。このセキュリティ・アドバイザリにおいて、「脆弱性 CVE-2026-11645 に対するエクスプロイトが実環境に存在することを認識している」と、同社は述べている。今年に入ってから修正されたゼロデイは、これで 5 件目となる。
Continue reading “Google Chrome の脆弱性 CVE-2026-11645:実環境での積極的な悪用を確認”LiteLLM Vulnerability Allows Attackers to Execute Arbitrary Commands on Servers
2026/06/09 gbhackers — LiteLLM に影響を及ぼす深刻な脆弱性チェーンが特定され、未認証でのリモートコード実行 (RCE) が可能となることが明らかとなった。2026年5月に修正された LiteLLM の脆弱性 CVE-2026-42271 が、Starlette フレームワークの脆弱性 CVE-2026-48710 と連鎖すると、認証制御のバイパスと任意のシステム・コマンド実行が可能になる。それにより、LiteLLM デプロイメントに依存する AI インフラに、深刻なリスクが生じている。
Critical Veeam Vulnerability Allows RCE Attacks on Backup Servers
2026/06/09 CyberSecurityNews — 広く展開されているエンタープライズ向けバックアップ・ソリューション Veeam Backup & Replication に影響を及ぼす深刻なセキュリティ脆弱性が開示された。この脆弱性 CVE-2026-44963 (CVSS v4:9.4:Critical) を悪用する認証済みのドメイン・ユーザーは、バックアップ・サーバ上で任意のリモート・コード実行を可能とするため、データの保護/復旧の運用を Veeam に依存する組織に深刻なリスクが生じている。
Continue reading “Veeam の深刻な脆弱性 CVE-2026-44963 が FIX:バックアップサーバに対する RCE の可能性”Apache HTTP Server 2.4.68 Patches Multiple Security Vulnerabilities
2026/06/09 gbhackers — Apache は HTTP Server バージョン 2.4.68 をリリースし、コアモジュールとコンポーネントに存在する複数のセキュリティ脆弱性に対応した。このアップデートは、バージョン 2.4.67 以下に影響を及ぼす、メモリ安全性/権限昇格/サービス拒否/入力検証の欠陥などの問題を修正するものだ。複数の中程度の脆弱性により、クラッシュ/境界外読み取り/権限の不正利用などが引き起こされる可能性がある。
Continue reading “Apache HTTP Server の複数の脆弱性が FIX:コード実行や権限昇格の恐れ”Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws
2026/06/09 BleepingComputer — Microsoft の 2026年06月 Patch Tuesday では、200 件の脆弱性に対するセキュリティ更新が提供されたが、そのうちの 3 件は、すでに情報が公開済みのゼロデイ脆弱性である。また、今回の Patch Tuesday では、Critical に分類される脆弱性が 33 件修正されているが、その内訳はリモートコード実行 28 件/権限昇格 4 件/情報漏洩 1 件となる。
Continue reading “Microsoft 2026-06 月例アップデート:Critical 4 件を含む 200 件の脆弱性に対応”Check Point VPN 0-day Vulnerability Exploited in the Wild to Deploy Ransomware
2026/06/08 CyberSecurityNews — Check Point Research が認めたのは、同社の Remote Access VPN および Mobile Access 環境に存在する深刻な認証バイパスの脆弱性 CVE-2026-50751 (CVSS:9.3) が実環境で悪用されていることである。また、侵害後の攻撃活動が Qilin ランサムウェア・グループと関連していることも明らかになった。
Continue reading “Check Point VPN のゼロデイ脆弱性 CVE-2026-50751:ランサムウェア攻撃を確認”Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts
2026/06/08 gbhackers — VMware は VMware Cloud Foundation (VCF) Operations に影響を及ぼす、複数の深刻な蓄積型クロスサイト・スクリプティング (XSS) 脆弱性を公表した。これらの欠陥を突く攻撃者は、悪意のスクリプトを注入し、管理環境を侵害する可能性がある。これらの脆弱性 CVE-2026-41722/CVE-2026-41723/CVE-2026-41724 は、2026年6月8日にアドバイザリ VMSA-2026-0004 として公開されている。一連の脆弱性の CVSS v3 基本スコアは 8.0 であり、企業環境において高いリスクをもたらすことを示している。
Continue reading “VMware VCF Operations の脆弱性 CVE-2026-41722/41723/41724 が FIX:深刻な蓄積型 XSS”New Linux Kernel Vulnerability Lets Attackers Escalate Privileges to Root
2026/06/08 CyberSecurityNews — Linux Kernel の nftables サブシステムにおける、解放後メモリ使用 (use-after-free) 脆弱性 CVE-2026-23111 に対するエクスプロイトが公表された。それにより、この脆弱性を悪用する権限を持たないローカル攻撃者は、root 権限への昇格が容易になる。影響を受けるディストリビューションとしては、Debian Bookworm/Debian Trixie/Ubuntu 22.04 LTS/Ubuntu 24.04 LTS などが挙げられる。脆弱性 CVE-2026-23111 は 2025 年初頭に発見され、2026年2月5日に Kernel コミットを通じてアップストリーム修正された。
Continue reading “Linux カーネルの新たな脆弱性 CVE-2026-23111 が FIX:root 権限昇格エクスプロイトが公開”New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks
2026/06/08 CyberSecurityNews — OpenAI は ChatGPT Lockdown Mode をリリースした。それにより、アウトバウンド・ネットワーク・アクセスを制限し、プロンプト・インジェクション攻撃によるデータ流出リスクの低減を目的とする、新しいセキュリティ機能が提供された。この機能の対象となるのは、個人用のアカウント/セルフサービス型 ChatGPT Business ユーザー/管理されたエンタープライズ・ワークスペースとなる。
Continue reading “ChatGPT Lockdown Mode:プロンプト・インジェクションによるデータ流出リスクを低減”Microsoft Warns Claude Code GitHub Action May Expose CI/CD Secrets
2026/06/08 gbhackers — Anthropic の Claude Code GitHub Action の欠陥により、AI エージェントが未信頼の GitHub コンテンツを処理する際に、CI/CD ワークフローのシークレットが意図せずに露出する可能性がある。このリスクは、エージェントがファイル読取に使用する一部のツールが、Bash のようなサブプロセス実行パスとは異なりサンドボックス化されていないことに起因する。特に Read ツールは “/proc/self/environ” へのアクセスが可能であるため、ANTHROPIC_API_KEY などを含む環境変数や、ランナー上で利用可能な認証情報を返す状態になっていた。
Critical Redis Vulnerability Could Let Attackers Execute Code and Hijack Servers
2026/06/08 gbhackers — Redis で発見された深刻な脆弱性 CVE-2026-23631 に、DarkReplica という名称が付けられた。この脆弱性を悪用する攻撃者は、レプリケーション・サブシステムにおける複雑な解放後メモリ使用 (use-after-free) 条件を操作することで、認証済み環境に対するリモート・コード実行 (RCE) を可能にする。
OWASP CVE Lite CLI – New Tool to Scan for Vulnerabilities in Your Projects
2026/06/06 CyberSecurityNews — OWASP Incubator Project として正式に認定された CVE Lite CLI は、開発者の端末上で依存関係セキュリティを実現するために設計された、オープンソースの無料脆弱性スキャナである。OWASP Top 10 を策定した同組織の支援を受け、Sonu Kapoor によりメンテナンスされる CVE Lite CLI は、開発者のセキュリティ・ワークフローにおける長年の課題である「高速で実行できるローカル・ファーストの修復ガイダンスの欠如」に対応するものだ。
IoT OT Security News 
You must be logged in to post a comment.