Day: March 10, 2026

FortiManager fgtupdates の脆弱性 CVE-2025-54820 が FIX:悪意のコマンド実行の恐れ

Fortinet FortiManager fgtupdates Vulnerability Allows Attackers to Execute Malicious Commands

2026/03/10 CyberSecurityNews — Fortinet が公開したのは、FortiManager プラットフォームに存在する深刻なスタックバッファ・オーバーフローの脆弱性 CVE-2025-54820 の情報である。この脆弱性を悪用する未認証のリモート攻撃者は、不正なコマンドを実行する可能性を得る。この脆弱性 CVE-2025-54820 (CVSSv3:7.0) は、FortiManager を運用するエンタープライズ・ネットワーク管理環境内の、影響を受けるバージョンに対して深刻なリスクをもたらす。

Continue reading “FortiManager fgtupdates の脆弱性 CVE-2025-54820 が FIX:悪意のコマンド実行の恐れ”

Gogs の脆弱性 CVE-2026-25921 が FIX:未認証ユーザーによる LFS データ改竄の恐れ

Gogs Flaw Could Let Attackers Quietly Overwrite Large File Storage Data

2026/03/10 gbhackers — オープンソースのセルフホスト型 Git サービスである Gogs において、深刻なセキュリティ脆弱性が確認された。この CVE-2026-25921 (CVSS:9.3) を悪用する未認証の脅威アクターは、任意のリポジトリの Git Large File Storage (LFS) オブジェクトを密かに上書きできる。コンテンツ検証の欠如を悪用する脅威アクターは、ステルス型のソフトウェア・サプライチェーン攻撃を実行し、正規のプロジェクト・ファイルをバックドアへと置き換えることが可能になる。

Continue reading “Gogs の脆弱性 CVE-2026-25921 が FIX:未認証ユーザーによる LFS データ改竄の恐れ”

Ivanti DSM の脆弱性 CVE-2026-3483 が FIX:権限昇格を許す恐れ

Ivanti Desktop and Server Management Vulnerability Allows Attackers to Escalate Privileges

2026/03/10 CyberSecurityNews — Ivanti が公開したのは、Desktop and Server Management (DSM) ソフトウェアのセキュリティ更新である。この脆弱性を悪用するローカルで認証済みの攻撃者は、影響を受けるシステム上で権限の昇格を達成する。この脆弱性 CVE-2026-3483 (CVSS:7.8) が影響を及ぼす範囲は、DSM 2026.1 以下の全バージョンである。

Continue reading “Ivanti DSM の脆弱性 CVE-2026-3483 が FIX:権限昇格を許す恐れ”

SAP の 2026年3月 Patch Day:未検出だった Log4j CVE-2019-17571 などに対応

SAP Security Update – Patch for Multiple Vulnerabilities that Enable Remote Code Execution

2026/03/10 CyberSecurityNews — SAP は 2026年3月 Patch Day において、15件の新規 Security Note を公開した。そこには、Remote Code Execution および完全なシステム侵害につながる可能性のある、2件の Critical 脆弱性が含まれる。すべての顧客に対して SAP が強く推奨するのは、Support Portal を確認し、迅速にパッチを適用することである。最も深刻な脆弱性は CVE-2019-17571 (CVSS 9.8) であり、SAP Quotation Management Insurance (FS-QUO 800) に影響する。

Continue reading “SAP の 2026年3月 Patch Day:未検出だった Log4j CVE-2019-17571 などに対応”

Purple Team 分析レポートが公開:160 件の演習と 8,300 件の TTP 分析から見る防御の優先事項

Security Risk Advisors Releases “The Purple Perspective 2026” Report

2026/03/10 hackread — Security Risk Advisors (SRA) は、初のレポート “The Purple Perspective 2026” を公開した。この包括的な分析は、厳選された攻撃手法に対する検知/防御を実環境で検証し、サイバー・セキュリティ防御を強化するための実践的な知見と示唆を提供するものである。このレポートは、160 件以上の Purple Team 演習の実施と、8,300 件以上の Tactics, Techniques, and Procedures (TTP) の検証に基づいている。現時点での防御の実践に対する独自の視点を提示し、ユーザー組織のパフォーマンス・ベンチマークを業界を横断して実施するとともに、改善領域の特定を目的としている。

Continue reading “Purple Team 分析レポートが公開:160 件の演習と 8,300 件の TTP 分析から見る防御の優先事項”

Ericsson 米国法人がデータ侵害を公表:サービス・プロバイダー侵害で従業員/顧客データ漏洩の恐れ

Ericsson US confirms breach after third-party provider attack

2026/03/10 SecurityAffairs — スウェーデンに本社を持つ通信大手 Ericsson Inc. は、ハッキングを受けたサービス・プロバイダーから、データ漏洩が発生したと公表した。この攻撃により、従業員や顧客の個人情報が漏洩し、多数の個人が影響を受けている。

Continue reading “Ericsson 米国法人がデータ侵害を公表:サービス・プロバイダー侵害で従業員/顧客データ漏洩の恐れ”

Microsoft 2026-03 月例アップデート:2 件のゼロデイを含む 79 件の脆弱性に対応

Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws

2026/03/10 BleepingComputer — 今日は Microsoft の 2026年3月 Patch Tuesday の日であり、合計で 79件の脆弱性に対するセキュリティ更新が公開された。そこには、2件の公開済みゼロデイ脆弱性が含まれる。今回の更新では、3件の Critical 脆弱性も修正されており、そのうち 2件は Remote Code Execution (RCE) に、1件は Information Disclosure に分類される。

Continue reading “Microsoft 2026-03 月例アップデート:2 件のゼロデイを含む 79 件の脆弱性に対応”

Anthropic が米国政府を訴えた:サプライチェーン・リスク指定の撤回と大統領権限の逸脱を主張

Anthropic Sued the U.S. Government for Labelling Claude as ‘Supply Chain Risk’

2026/03/10 CyberSecurityNews — 人工知能分野の企業である Anthropic は、米国政府による “サプライチェーン・リスク指定” を受け、前例のない訴訟を提起した。この訴訟は、3月9日 (月) にカリフォルニア州連邦裁判所へ提出され、ドナルド・トランプ政権と、ピート・ヘグセス国防長官、そして 16 の連邦機関を相手取るものである。

Continue reading “Anthropic が米国政府を訴えた:サプライチェーン・リスク指定の撤回と大統領権限の逸脱を主張”

Cloudflare Pingora の脆弱性 CVE-2026-2833/2835/2836 が FIX:リクエスト・スマグリングなどに対応

Cloudflare Pingora Flaws Enable Request Smuggling and Cache Poisoning Attacks

2026/03/10 gbhackers — Cloudflare が公表したのは、同社のオープンソース・フレームワーク Pingora に存在する、複数の HTTP リクエスト・スマグリングとキャッシュ・ポイズニングの脆弱性を修正する、最新のセキュリティ・アドバイザリである。それらの脆弱性 CVE-2026-2833/CVE-2026-2835/CVE-2026-2836 が影響を及ぼす範囲は、インターネットへ直接公開されたスタンドアロンの Pingora デプロイメント (ingress proxy) となる。

Continue reading “Cloudflare Pingora の脆弱性 CVE-2026-2833/2835/2836 が FIX:リクエスト・スマグリングなどに対応”

CISA KEV 警告 26/03/09:SolarWinds/Ivanti/Omnissa の脆弱性を登録

CISA Flags SolarWinds, Ivanti, and Workspace One Vulnerabilities as Actively Exploited

2026/03/10 TheHackerNews — 3月9日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性は、SolarWinds Web Help Desk/Ivanti Endpoint Manager/Omnissa Workspace One UEM に存在するもので、連邦政府内での悪用が確認されている。

Continue reading “CISA KEV 警告 26/03/09:SolarWinds/Ivanti/Omnissa の脆弱性を登録”

Fortinet 製品群の脆弱性 11件が FIX:FortiSwitchAXFixed/FortiManager に深刻な影響

Fortinet Security Update – Patch for Multiple Vulnerabilities That Enable Malicious Command Execution

2026/03/10 CyberSecurityNews — Fortinet が 2026年3月10日に公開したのは、FortiManager /FortiAnalyzer/FortiSwitchAXFixed/FortiSandbox などの、中核となるエンタープライズ製品群に影響を及ぼす 11件の脆弱性に対処する包括的なセキュリティ・アドバイザリである。これらの脆弱性を悪用するリモート攻撃者は、認証バイパス/バッファ・オーバーフロー/OS コマンド・インジェクション/SQL インジェクション/任意のコマンド実行/権限昇格を可能にする。

Continue reading “Fortinet 製品群の脆弱性 11件が FIX:FortiSwitchAXFixed/FortiManager に深刻な影響”