Day: January 13, 2026

FortiSandbox の脆弱性 CVE-2025-67685:SSRF によるネットワーク・セグメント破壊

FortiSandbox SSRF Vulnerability Allow Attacker to proxy Internal Traffic via Crafted HTTP Requests

2026/01/13 CyberSecurityNews — Fortinet が 2026年1月13日に公開したのは、FortiSandbox アプライアンスにおけるサーバーサイド・リクエスト・フォージェリ (SSRF) の脆弱性である。この脆弱性 CVE-2025-67685 (FG-IR-25-783) は、GUI コンポーネントに存在し、CWE-918 に起因する。認証済みの攻撃者は、この脆弱性を悪用することで、内部の非TLS (プレーンテキスト) エンドポイントに対してトラフィックをプロキシする HTTP リクエストを作成できる。Fortinet は、内部ネットワークへの影響リスクを踏まえ、ユーザーに対して速やかなアップデートの適用を促している。

Continue reading “FortiSandbox の脆弱性 CVE-2025-67685:SSRF によるネットワーク・セグメント破壊”

Node.js における 7 件の脆弱性が FIX:メモリ・リーク/DoS/権限バイパスなどの恐れ

Node.js Security Release Patches 7 Vulnerabilities Across All Release Lines

2026/01/13 CyberSecurityNews — 2026年1月13日に Node.js が公表したのは、すべてのアクティブなリリース・ラインを対象とするセキュリティ・アップデートであり、メモリ・リーク/サービス拒否攻撃 (DoS) /権限バイパスにつながる可能性のある複数の脆弱性が修正されている。特に深刻度が High の脆弱性は 3 件確認されており、影響を受けるシステムに対しては直ちにアップグレードすることが強く推奨される。 

Continue reading “Node.js における 7 件の脆弱性が FIX:メモリ・リーク/DoS/権限バイパスなどの恐れ”

ServiceNow AI プラットフォームの脆弱性 CVE-2025-12420 が FIX:認証不要の権限昇格

ServiceNow Vulnerability Enables Privilege Escalation Without Authentication

2026/01/13 gbhackers — ServiceNow の AI プラットフォームで発見された、深刻な権限昇格の脆弱性 CVE-2025-12420 が、世界中の企業ユーザーに深刻なリスクをもたらしている。この脆弱性を悪用する未認証の攻撃者は、他のユーザーになりすますことでアカウントを侵害し、その権限を用いて不正な操作を実行できる。重要なビジネス・オペレーションに ServiceNow の AI 機能を利用している組織にとって、この脆弱性は深刻な脅威となる。

Continue reading “ServiceNow AI プラットフォームの脆弱性 CVE-2025-12420 が FIX:認証不要の権限昇格”

Angular の XSS 脆弱性 CVE-2026-22610 が FIX:サニタイズ・スキーマのバグと悪意のペイロード挿入

New Angular Vulnerability Enables an Attacker to Execute Malicious Payload

2026/01/13 CyberSecurityNews — Angular のテンプレート・コンパイラに、深刻なクロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2026-22610 が発見された。この脆弱性の影響が及ぶ範囲は、@angular/compiler および @angular/core パッケージの複数のバージョンとなる。この脆弱性を悪用する攻撃者は、Angular に組み込まれたセキュリティ保護を回避しながら、標的とするブラウザ内で任意の JavaScript コードを実行できる。

Continue reading “Angular の XSS 脆弱性 CVE-2026-22610 が FIX:サニタイズ・スキーマのバグと悪意のペイロード挿入”

MEXC API Automator という悪意の Chrome エクステンション:仮想通貨取引所へのアクセスを窃取

Malicious Chrome Extension Steals Wallet Login Credentials and Enables Automated Trading

2026/01/13 CyberSecurityNews — MEXC API Automator と呼ばれる悪意の Chrome エクステンションは、ブラウザ・アドオンに対する信頼を悪用し、MEXC ユーザーから仮想通貨取引所へのアクセスを窃取する。このエクステンションは、トレーディングと API キー作成を自動化するツールを装い、新たに作成された API キーを密かに乗っ取る。結果として、通常のブラウザ・セッションがアカウント乗っ取りのチャネルへと変貌する。

Continue reading “MEXC API Automator という悪意の Chrome エクステンション:仮想通貨取引所へのアクセスを窃取”

Microsoft 2026-01 月例アップデート:3件のゼロデイを含む 114件の脆弱性に対応

Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws

2026/01/13 BleepingComputer — Microsoft が公表した 2026年1月の Patch Tuesday では、114 件の脆弱性に対するセキュリティ・アップデートが提供されている。その中には、現時点で悪用されている1件の脆弱性と、公開済みの2件のゼロデイ脆弱性が含まれている。今月の Patch Tuesday では、深刻度 Critical に分類される8件の脆弱性が修正された。その内訳は、リモートコード実行の脆弱性が6件、権限昇格の脆弱性が2件である。

Continue reading “Microsoft 2026-01 月例アップデート:3件のゼロデイを含む 114件の脆弱性に対応”