GitLab の脆弱性群が FIX:高深刻度の XSS や DoS の可能性に対応

GitLab Security Flaw Allows Cross-Site Scripting and Unauthenticated DoS

2026/05/14 gbhackers — GitLab が公開したのは、大規模な脆弱性群に対する緊急セキュリティ・アップデートである。これらの新規の脆弱性を悪用する脅威アクターは、開発者セッションの乗っ取り、未認証攻撃による CI/CD パイプラインの完全な停止などを可能にする。

Continue reading “GitLab の脆弱性群が FIX:高深刻度の XSS や DoS の可能性に対応”

macOS のメモリ整合性保護バイパスの脆弱性:Anthropic Mythos による発見とエクスプロイト生成

Anthropic’s Mythos AI Reportedly Found macOS Vulnerabilities that Could Bypass Apple Security

2026/05/14 CyberSecurityNews — Apple macOS における 2件の脆弱性が、Anthropic の非公開 AI モデル Mythos の初期バージョンの手法を用いて発見された。これらのバグが連鎖的に悪用されると、Apple の高度なメモリ整合性保護をバイパスする権限昇格のエクスプロイトが生じ、本来はアクセス不可とされるシステム領域への不正アクセスが可能になる。サイバー・セキュリティ企業 Calif から提出された 55ページのレポートを、Apple が精査している最中であり、検証が完了後にパッチが提供される見込みである。

Continue reading “macOS のメモリ整合性保護バイパスの脆弱性:Anthropic Mythos による発見とエクスプロイト生成”

WordPress Burst Statistics の脆弱性 CVE-2026-8181 が FIX:管理者権限奪取の可能性

Critical WordPress Plugin Flaw Allows Unauthorized Access to Websites

2026/05/14 gbhackers — 広く使用されている WordPress プラグインにおける重大な脆弱性 CVE-2026-8181 (CVSS 9.8) により、20万以上の Web サイトが乗っ取りの危険にさらされており、セキュリティ・コミュニティ全体で緊急の懸念が高まっている。AI 駆動の PRISM プラットフォームを用いる Wordfence のセキュリティ研究者が、プライバシーのための分析ツール Burst Statistics プラグインの深刻な認証バイパスの脆弱性を発見した。この脆弱性を悪用する攻撃者は、正当な認証情報を必要とせずに管理者レベルのアクセスを取得できる。

Continue reading “WordPress Burst Statistics の脆弱性 CVE-2026-8181 が FIX:管理者権限奪取の可能性”

Canon GUARDIANWALL MailSuite に深刻な RCE 脆弱性:サーバ完全侵害の恐れ

Critical Canon MailSuite Vulnerability Enables Remote Code Execution Attacks

2026/05/14 CyberSecurityNews — Canon の GUARDIANWALL MailSuite において、企業ネットワークが壊滅的なリモート・コード実行 (RCE) 攻撃にさらされる危険性のある、きわめて深刻なセキュリティ脆弱性が発見された。エンタープライズ向けメール・インフラは、依然としてサイバー犯罪者にとって最も重要かつ脆弱な標的の一つである。この脆弱性を容易に悪用する脅威アクターは、影響を受ける Web サービスを完全に制御できるため、組織データを防御する観点から早急な修正と対応が最優先事項となる。

Continue reading “Canon GUARDIANWALL MailSuite に深刻な RCE 脆弱性:サーバ完全侵害の恐れ”

Deed RAT/Terndoor を用いる中国の FamousSparrow:Exchange の悪用とエネルギー企業への長期侵害

Chinese APT Exploits Microsoft Exchange to Breach Energy Sector Network

2026/05/14 gbhackers — 中国と関係する国家支援ハッカー FamousSparrow が、大手エネルギー企業の Microsoft Exchange サーバを侵害した。同一の侵入口を繰り返して再悪用した攻撃者は、数か月にわたるスパイ活動を実行し、Deed RAT/Terndoor バックドアを展開することでネットワーク全体への深いアクセスを維持した。

Continue reading “Deed RAT/Terndoor を用いる中国の FamousSparrow:Exchange の悪用とエネルギー企業への長期侵害”

Langflow の RCE 脆弱性 CVE-2026-33017 を悪用:AWS 侵害キャンペーンを Sysdig が観測

Langflow CVE-2026-33017 Exploited to Steal AWS Keys, Deploy NATS Worker

2026/05/14 gbhackers — Langflow の脆弱性 CVE-2026-33017 に対する、パッチを適用していないインスタンスが積極的に悪用されている。一連の攻撃は、単なるリモート・コード実行や AWS キーの窃取に留まらず、”KeyHunter” と呼ばれる NATS ベースのボットネット型ワーカー・プールへの参加基盤としての悪用も展開されている。

Continue reading “Langflow の RCE 脆弱性 CVE-2026-33017 を悪用:AWS 侵害キャンペーンを Sysdig が観測”

NGINX の深刻な脆弱性 CVE-2026-42945 が FIX:RCE と PoC の登場

Critical 18-Year-Old NGINX Vulnerability Enables Remote Code Execution Attacks

2026/05/14 CyberSecurityNews — NGINX のソース・コードにおいて、2008年から存在していた深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2026-42945 (CVSS 9.2) が発見された。この脆弱性に対しては、すでに PoC エクスプロイトが公開され、認証を必要としないリモート・コード実行 (RCE) が実証されている。NGINX は、世界で最も広く利用される Web サーバの 1つであるため、その影響は広範に及ぶ。

Continue reading “NGINX の深刻な脆弱性 CVE-2026-42945 が FIX:RCE と PoC の登場”

MongoDB の脆弱性 CVE-2026-8053 が FIX:セルフホスト環境で RCE の可能性

Critical MongoDB Vulnerability Allow Attackers to Execute Arbitrary Code

2026/05/14 CyberSecurityNews — MongoDB の深刻な脆弱性を悪用するリモートの攻撃者は、任意のコード実行を達成し、対象サーバを完全に制御する可能性がある。この脆弱性 CVE-2026-8053 は、MongoDB Server のデプロイメントへ直接影響するものであり、数百万件規模のデータ窃取のリスクを引き起こしている。

Continue reading “MongoDB の脆弱性 CVE-2026-8053 が FIX:セルフホスト環境で RCE の可能性”