Day: January 23, 2026

Node.js HackerOne における脆弱性レポートの品質を改善:Signal スコア 1.0 要件を導入してノイズを抑制

Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher

2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。

Continue reading “Node.js HackerOne における脆弱性レポートの品質を改善:Signal スコア 1.0 要件を導入してノイズを抑制”

WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り

20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access

2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS:9.8:Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。

Continue reading “WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り”

ZAP が OWASP PenTest Kit をリリース:通信のキャプチャとブラウザ内部の動作をシームレスに統合

ZAP Releases OWASP PenTest Kit Browser Extension for Application Security Testing

2026/01/23 CyberSecurityNews — Zed Attack Proxy (ZAP) チームが公開したのは、OWASP Penetration Testing Kit (PTK) のブラウザ・エクステンションを、ZAP が立ち上げたブラウザへと直接統合する、OWASP PTK アドオン バージョンの 0.2.0 alpha である。このアドオンにより、DAST/IAST/SAST/SCA/JWT Editor/Cookie Editor といった専用ツールが、手動でのセットアップを必要とせずに組み込まれ、アプリケーション・セキュリティ・テストが効率化される。すでに ZAP Marketplace から提供されており、ZAP 経由でプロキシされる Chrome/Edge/Firefox セッションに PTK が事前インストールされる。

Continue reading “ZAP が OWASP PenTest Kit をリリース:通信のキャプチャとブラウザ内部の動作をシームレスに統合”

HPE Alletra/Nimble ストレージの脆弱性 CVE-2026-23594 が FIX:リモートからの Admin 権限奪取の恐れ

HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker

2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000/Alletra 5000/Nimble Storage アレイに影響が生じている。

Continue reading “HPE Alletra/Nimble ストレージの脆弱性 CVE-2026-23594 が FIX:リモートからの Admin 権限奪取の恐れ”

CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録

U.S. CISA adds Prettier , Vite Vitejs, Versa Concerto SD-WAN, and Synacor Zimbra flaws to its Known Exploited Vulnerabilities catalog

2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier/Vite Vitejs/Versa Concerto SD-WAN オーケストレーション・プラットフォーム/Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Continue reading “CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録”

Appsmith の脆弱性 CVE-2026-22794 が FIX:偽のパスワード・リセット警告によるアカウント乗っ取り

Critical Appsmith Flaw Enables Account Takeovers

2026/01/23 InfoSecurity — Appsmith のローコード・プラットフォームの深刻な認証脆弱性が悪用され、ユーザー・アカウントの乗っ取りが発生している。この脆弱性 CVE-2026-22794 を悪用する攻撃者は、クライアント側で制御可能な HTTP ヘッダを介してパスワード・リセット・リンクを操作し、最終的にアカウント全体の侵害を可能にし得る。

Continue reading “Appsmith の脆弱性 CVE-2026-22794 が FIX:偽のパスワード・リセット警告によるアカウント乗っ取り”

AI で書いたハニーポット:Vibe Coding がもたらす脆弱性のケース・スタディとは?

What an AI-Written Honeypot Taught Us About Trusting Machines

2026/01/23 BleepingComputer — AI モデルを用いてコード作成を支援する Vibe Coding 手法が、多くのチームにとって日常的な開発プロセスの一部となっている。それにより、大きな時間短縮効果がもたらされるが、その一方では、AI が生成したコードを過度に信頼してしまうことで、セキュリティ脆弱性が入り込む余地を生み出す。AI 生成コードがセキュリティに及ぼす影響について、Intruder の経験は現実のケース・スタディとなっている。以下に示すのは、実際に起こったこと、そして、他の組織が注意すべき点である。

Continue reading “AI で書いたハニーポット:Vibe Coding がもたらす脆弱性のケース・スタディとは?”