Day: February 10, 2026

Fortinet FortiOS の認証バイパス脆弱性 CVE-2026-22153 が FIX:LDAP 認証回避が可能

FortiOS Authentication Bypass Vulnerability Lets Attackers Bypass LDAP Authentication

2026/02/10 CyberSecurityNews — Fortinet が公開したのは、FortiOS に存在する深刻な認証バイパスの脆弱性 CVE-2026-22153 (FG-IR-25-1052) である。この脆弱性を悪用する未認証の攻撃者は、Agentless VPN または Fortinet Single Sign-On (FSSO) ポリシーにおける LDAP 認証を回避する可能性がある。この脆弱性は fnbamd デーモンに存在し、CWE-305 (不適切な実装による認証バイパス) に分類されている。この脆弱性を悪用するためには、未認証バインド (Unauthenticated Bind) を許可する LDAP サーバ側での設定の有効化が必要条件となる。

Continue reading “Fortinet FortiOS の認証バイパス脆弱性 CVE-2026-22153 が FIX:LDAP 認証回避が可能”

SAP の脆弱性 CVE-2026-0488/0509/23687 などが FIX:CRM や S/4HANA にコード・インジェクションの恐れ

SAP Security Patch Day Fixes Critical Code Injection Flaw in SAP CRM and S/4HANA

2026/02/10 gbhackers — SAP は 2026年2月10日の Patch Day において、複数の SAP 製品に対する修正を発表し、Support Portal 経由で優先的にパッチを適用することで、SAP 環境を保護するよう顧客に呼びかけた。今月の最もリスクの高い脆弱性 CVE-2026-0488 (CVSS:9.9) は、SAP CRM および SAP S/4HANA (Scripting Editor) に影響を及ぼすコード・インジェクションの欠陥である。SAP によると、この脆弱性を悪用する低権限の認証済み攻撃者は、任意のコードの注入/実行を可能にするという。この問題は、SAP Note 3697099 として管理されている。

Continue reading “SAP の脆弱性 CVE-2026-0488/0509/23687 などが FIX:CRM や S/4HANA にコード・インジェクションの恐れ”

FortiSandbox の XSS 脆弱性 CVE-2025-52436 が FIX:マルウェア解析環境でのサンドボックス回避

FortiSandbox XSS Vulnerability Let Attackers Run Arbitrary Commands

2026/02/10 CyberSecurityNews — Fortinet が公表したのは、FortiSandbox プラットフォームに存在する深刻なクロスサイト・スクリプティング (XSS) の脆弱性に関する情報 (FG-IR-25-093) である。この脆弱性 CVE-2025-52436 (CVSS:7.9) は、影響を受けるシステム上での任意のコマンド実行を、未認証の攻撃者に対して許す可能性がある。この欠陥は、GUI コンポーネントに存在し、Web ページ生成時の入力に対する不適切な無害化 (CWE-79) に分類される。

Continue reading “FortiSandbox の XSS 脆弱性 CVE-2025-52436 が FIX:マルウェア解析環境でのサンドボックス回避”

React2Shell CVE-2025-55182 攻撃キャンペーンを観測:React 19 標的の事前認証 RCE と広範な模悪用

React2Shell Vulnerability Exploited in the Wild, Analysts Warn

2026/02/10 gbhackers — React2Shell (CVE-2025-55182) は、React Server Components に存在する、事前認証が不要なリモート・コード実行の脆弱性であり、React 19 エコシステム全体で使用されている複数の React バージョンに深刻な影響を及ぼすものだ。それに対して、WXA Internet Abuse Signal Collective (WXA IASC) が開始した、脅威リサーチ・シリーズ “To Cache A Predator” は、CVE-2025-55182 (別名:React2Shell) に関連する攻撃者のインフラと戦術を可視化するためのものだ。具体的には、グローバル・テレメトリ/エンリッチメント・データセット/ハニーポット観測などの相関を分析するものとなる。

Continue reading “React2Shell CVE-2025-55182 攻撃キャンペーンを観測:React 19 標的の事前認証 RCE と広範な模悪用”

Windows Error Reporting Service の脆弱性 CVE-2026-20817:SYSTEM レベル権限昇格の恐れ

Windows Error Reporting Service Vulnerability Let Attackers Elevate Privileges – PoC Released

2026/02/10 CyberSecurityNews — Windows Error Reporting Service に深刻なセキュリティ欠陥が発見され、標準ユーザー権限を持つ攻撃者が SYSTEM レベルの権限に昇格できることが判明した。この脆弱性 CVE-2026-20817 は、2026年1月に Microsoft により修正されたものであり、攻撃の複雑性が低くシステム全体の侵害につながる可能性があることから、Windows 環境にとって重大な脅威となる。Microsoft は 30 日以内に悪用される可能性が高い “Exploitation More Likely (悪用の可能性が高い)” と評価し、パッチ適用の緊急性を強調している。

Continue reading “Windows Error Reporting Service の脆弱性 CVE-2026-20817:SYSTEM レベル権限昇格の恐れ”

Ivanti EPM の脆弱性 CVE-2026-1602/1603 が FIX:リモート攻撃による機密データの漏洩

Ivanti Endpoint Manager Vulnerability Lets Remote Attacker Leak Arbitrary Data

2026/02/10 CyberSecurityNews — Ivanti が公開したのは、Endpoint Manager (EPM) プラットフォームに存在する、深刻な脆弱性に対するセキュリティ更新プログラムである。新たに発見された 2 件の脆弱性 CVE-2026-1602/CVE-2026-1603 に対処するものであり、それらが悪用されると、機密データベース情報への不正アクセス/ユーザー認証情報の侵害が引き起こされる可能性がある。この更新プログラムは、バージョン 2024 SU5 として提供されており、2025年10月に事前開示されていた 11 件の Medium 深刻度の脆弱性も同時に修正するものだ。

Continue reading “Ivanti EPM の脆弱性 CVE-2026-1602/1603 が FIX:リモート攻撃による機密データの漏洩”

OpenClaw の RCE 脆弱性により 15,200 インスタンスが露出:数万規模の AI エージェントに影響

15,200 OpenClaw Control Panels with Full System Access Exposed to the Internet

2026/02/10 CyberSecurityNews — 急速に採用/普及が進む “エージェント型 AI エコシステム” における深刻なセキュリティ上の欠陥により、数万規模の個人/企業向けの AI アシスタントがパブリック・インターネット上に完全に露出した状態にある。2026年2月10日に SecurityScorecard STRIKE Threat Intelligence Team が発表した新たな調査によると、人気のフレームワーク OpenClaw (旧称 Moltbot) の 15,200 インスタンスが、リモート・コード (RCE) に対して脆弱であり、攻撃者がホスト・マシンを完全に制御できる状態にあるという。

Continue reading “OpenClaw の RCE 脆弱性により 15,200 インスタンスが露出:数万規模の AI エージェントに影響”

Chat & Ask AI に深刻なデータ漏洩:2500 万人のユーザーと 3 億件のメッセージに影響

25 Million Users Affected as AI Chat Platform Leaks 300 Million Messages

2026/02/10 gbhackers — “Chat & Ask AI” に深刻なデータ露出の脆弱性が発生した。約 3 億件のプライベート・メッセージが、外部からアクセス可能な状態になっていることが、独立系セキュリティ研究者により報告された。このモバイル・アプリは、Google Play/Apple App Store で提供され、人気を博している。この侵害により、2,500 万人以上のユーザーに影響が生じており、急成長する AI アプリ市場におけるプライバシー/データの取り扱いに関する、深刻な懸念を引き起こしている。

Continue reading “Chat & Ask AI に深刻なデータ漏洩:2500 万人のユーザーと 3 億件のメッセージに影響”

LLM 脆弱性スキャナー Augustus が登場:28 製品に対して 210+ の攻撃モード

Augustus – Open-source LLM Vulnerability Scanner With 210+ Attacks Across 28 LLM Providers

2026/02/10 CyberSecurityNews — Praetorian が公表したオープンソースの脆弱性スキャナー Augustus は、進化し続ける敵対的脅威の状況から LLM を防御するために設計されたものだ。この Augustus は、学術研究向けツールと本番環境向けセキュリティ・テストの間に存在するギャップの解消を目的として提供される。具体的には、単一のバイナリを用いることで、28 の LLM プロバイダーに対して、210 種類以上の敵対的な攻撃を実行できる。

Continue reading “LLM 脆弱性スキャナー Augustus が登場:28 製品に対して 210+ の攻撃モード”

Axios の脆弱性 CVE-2026-25639 が FIX:DoS 攻撃による Node.js サーバ・クラッシュの恐れ

Axios Vulnerability Allows Attackers to Trigger DoS and Crash Node.js Servers

2026/02/10 gbhackers — Node.js で最も広く利用される HTTP クライアント・ライブラリ Axios において、サーバをクラッシュさせ、サービス拒否 (DoS) 攻撃を引き起こし得る、深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2026-25639 は、Axios のバージョン 1.13.4 以下に影響を及ぼす。

Continue reading “Axios の脆弱性 CVE-2026-25639 が FIX:DoS 攻撃による Node.js サーバ・クラッシュの恐れ”

VoidLink マルウェア:高度なモジュール型設計と AI 支援開発を示唆する痕跡

VoidLink Malware Exhibits Multi-Cloud Capabilities and AI Code

2026/02/10 InfoSecurity — Linux ベースの Command and Control (C2) フレームワークであり、クラウドおよびエンタープライズ環境全体で、長期にわたる侵入を可能にするマルウェアについて、新たな調査結果が公開された。VoidLink として知られるマルウェアは、認証情報の窃取/データの外部送信に加えて、侵害済みシステム上での秘匿的な永続化を目的とするインプラント・バイナリを生成する。

Continue reading “VoidLink マルウェア:高度なモジュール型設計と AI 支援開発を示唆する痕跡”

Microsoft 2026-02 月例アップデート:6 件のゼロデイを含む 58 件の脆弱性に対応

Microsoft February 2026 Patch Tuesday fixes 6 zero-days, 58 flaws

2026/02/10 BleepingComputer — 今日は Microsoft の February 2026 Patch Tuesday の日であり、58 件の脆弱性に対するセキュリティ更新が公開された。この中には、すでに悪用が確認されている 6 件の脆弱性と、3 件の公表済みゼロデイ脆弱性が含まれる。今月の Patch Tuesday では、5 件の Critical 脆弱性も修正されており、その内訳は特権昇格 3 件、情報漏えい 2 件である。

Continue reading “Microsoft 2026-02 月例アップデート:6 件のゼロデイを含む 58 件の脆弱性に対応”