GitLab Fixes Flaws That Could Allow Attackers to Hijack User Sessions
2026/04/23 gbhackers — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する 11 件の脆弱性に対処する緊急セキュリティ・パッチである。このアドバイザリに含まれるのは、悪意のコード実行/リクエスト偽造/ユーザー・セッション・トークン窃取を可能とする 3 件の深刻な脆弱性である。
Continue reading “GitLab CE/EE の脆弱性 CVE-2026-4922/5816/5262:ユーザーセッションが乗っ取りの可能性”Vercel Confirms Security Breach – Set of Customer Account Compromised
2026/04/23 CyberSecurityNews — Vercel が公開したのは、内部システムへの不正アクセスを引き起こす、深刻なセキュリティ・インシデントの内容である。この攻撃は、同社の従業員が使用していたサードパーティ製 AI 生産性ツール Context.ai の侵害に起因するものである。2026年4月19日に Vercel は、最初のセキュリティ情報公開を行い、Context.ai に属する侵害済み Google Workspace OAuth アプリケーションが悪用され、攻撃者が内部環境への足掛かりを確立したことを認めた。
Continue reading “Vercel がセキュリティ侵害を公表:Context.ai 経由の不正アクセスが判明”Attackers Exploit LMDeploy Flaw in the Wild Within 12 Hours of Advisory
2026/04/23 gbhackers — LMDeploy のビジョン言語モジュールに存在する、深刻なサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が、情報公開からわずか 12時間 30分後に実環境攻撃で悪用されるという事実が確認された。つまり、PoC コードに依存することなく、この攻撃は実行された。2026年4月21日に GitHub は、セキュリティ・アドバイザリ GHSA-6w67-hwm5-92mq で脆弱性を公開し、その後に CVE-2026-33626 (CVSS:7.5:High) が割り当てられた。
Continue reading “LMDeploy の SSRF 脆弱性:アドバイザリ公開から 12 時間半で実環境での悪用が発生”Fake TradingView AI Agent Site is Delivering Needle Stealer Malware via Fake TradingClaw
2026/04/23 CyberSecurityNews — 人気の金融プラットフォーム TradingView を装う新たなマルウェア・キャンペーンが、トレーダーを騙してデータ窃取ツールをダウンロードさせるという事例が確認されている。この攻撃者は、AI 駆動のトレーディング・アシスタント TradingClaw を装い、偽物を宣伝する Web サイトを構築している。このサイトはドメイン “tradingclaw[.]pro” で運用され、正規の AI トレーディング製品の外観を忠実に模倣しているが、正規のスタートアップ “tradingclaw[.]chat” とは無関係である。
Continue reading “TradingView を装うマルウェア・キャンペーン:Needle Stealer の配信と認証情報の窃取”
IoT OT Security News 