January 21, 2026 – IoT OT Security News

Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX：コマンド・インジェクションによる RCE の恐れ

Critical Zoom Command Injection Vulnerability Enables Remote Code Execution

2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。

Anthropic Git MCP Server における複数の脆弱性：プロンプト・インジェクションによるコード実行の可能性

Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution

2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143／CVE-2025-68144／CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行／ファイル削除／機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。

Azure の Private Endpoint デプロイメントに深刻な脆弱性：クラウド・リソースへの DoS 攻撃の可能性

Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks

2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的／意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。

Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX：深刻なインフラ露出の可能性

Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server

2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。

Chrome 144 の脆弱性 CVE-2026-1220 が FIX：V8 JavaScript エンジンの競合状態

Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw

2026/01/21 gbhackers — Google は、Windows／Mac／Linux プラットフォーム向けの Chrome 144.0.7559.96／.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。

LastPass を装うフィッシング・キャンペーン：マスター・パスワード窃取を狙う偽メンテナンス通知

LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords

2026/01/21 TheHackerNews — LastPass のパスワード管理サービスを装う、アクティブなフィッシング・キャンペーンの登場について、同社はユーザーに対して警告を発している。このキャンペーンは、ユーザーを欺いてマスター・パスワードを入力させることで、その漏洩を目的としている。このキャンペーンは、2026年1月19日頃に開始された。その手口は、今後に予定されているメンテナンス通知を装うフィッシング・メールを送信するものであり、パスワード・ボルトのローカル・バックアップ作成を、24 時間以内に実施するよう促すものである。

GNU InetUtils の深刻な認証バイパスの脆弱性：ログイン時の “-f root” パラメータで root 権限の奪取

Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”

2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。