JFrog Researchers Uncover RCE Exploit for Existing Redis Database Vulnerability
2026/01/17 SecurityBoulevard — 今週、Redis データベースに存在する脆弱性 CVE-2025-62507 の分析結果が公開された。この脆弱性に対するリモートコード実行 (RCE) エクスプロイトへの経路が発見され、当初の想定よりも深刻である可能性が示されている。複数の ID を指定して XACKDEL コマンドを実行することでスタック・オーバーフローが引き起こされ、結果としてリモートコード実行 (RCE) に至る可能性があることが、JFrog の研究者たちにより明らかにされた。
Continue reading “Redis の脆弱性 CVE-2025-62507:RCE エクスプロイトの可能性を JFrog が実証”Mandiant Releases Rainbow Tables Enabling NTLMv1 Admin Password Hacking
2026/01/17 CyberSecurityNews — Google 傘下の Mandiant が公開したのは、Net-NTLMv1 向けの包括的な Rainbow Table データセットである。それにより、レガシー認証プロトコルが抱えるセキュリティ・リスクの実証が大幅に推進されることになる。このデータセットにより Mandiant が強調するのは、Net-NTLMv1 から直ちに移行する必要があるという、ユーザー組織に対する緊急のメッセージである。Net-NTLMv1 は、1999 年の時点で暗号学的に破られており、遅くとも 2012 年からは安全でないことが広く知られている、非推奨のプロトコルである。
Continue reading “NTLMv1 Admin パスワード・ハッキング:Mandiant の Rainbow Table による検証が不可欠”Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover
2026/01/17 gbhackers —Meta の Conversions API Gateway に存在する、2 件の深刻なクロスサイト・スクリプティング (XSS) 脆弱性がセキュリティ研究者たちにより発見された。これらの欠陥を悪用する攻撃者は、ユーザー操作を一切必要とせずに Facebook アカウントの大規模な乗っ取りが可能となる。この脆弱性は、Meta 管理下ドメインである “facebook.com” や “meta.com” に影響するだけではなく、オープンソースの Gateway インフラをデプロイしている、最大 1 億件とも言われるサードパーティ環境にも波及する可能性がある。
Continue reading “Meta Conversions API Gateway における 2 件の深刻な脆弱性:アカウント乗っ取りの可能性”Google’s Vertex AI Vulnerability Enables Low-Privileged Users to Gain Service Agent Roles
2026/01/17 CyberSecurityNews — Google Vertex AI のデフォルト・コンフィグには、低権限ユーザーが Service Agent ロールを乗っ取ることで権限昇格を可能にしてしまう問題が存在する。XM Cyber の研究者により、Vertex AI Agent Engine/Ray on Vertex AI における 2 つの攻撃ベクターが特定されているが、Google はこれらを「想定された動作 (Working as Intended)」と位置付けており、防御責任はユーザー側にあるとの見解を示している。
Continue reading “Google Vertex AI デフォルト・コンフィグによるセキュリティ・リスク:Service Agent ロールの不正取得”
IoT OT Security News 