CISA Credentials, Sensitive Data Exposed in GitHub Repository
2026/05/19 SecurityBoulevard — CISA における深刻な情報漏洩が明らかにされた。同組織の外部契約者が、Amazon Web Services (AWS) 上に保存されている、連邦政府の最高サイバーセキュリティ機関のシステムに関する認証情報および高権限政府アカウントを、不適切に公開していたことが露見した。
Continue reading “CISA の認証情報/機密データが GitHub リポジトリに漏洩:GitGuardian が指摘した問題とは?”20-Year-Old PostgreSQL Flaw Gets Public PoC Exploit for Remote Code Execution
2026/05/19 gbhackers — PostgreSQL の pgcrypto エクステンションで発見された、深刻なリモートコード実行 (RCE) の脆弱性 CVE-2026-2005 に対して PoC (proof-of-concept) エクスプロイトが公開された。セキュリティ研究者によると、この問題は約 20年前に遡るレガシーコードに起因し、攻撃者に対して権限昇格および任意のコマンド実行を許す可能性がある。
Continue reading “PostgreSQL pgcrypto の RCE 脆弱性 CVE-2026-2005:PoC が登場”Critical Apache Flink Vulnerability Enables Remote code execution Attacks
2026/05/19 CyberSecurityNews — 新たに公開された Apache Flink の深刻な脆弱性 CVE-2026-35194 により、SQL インジェクションを起点とするリモート・コード実行 (RCE) 攻撃の危険性に、分散データ処理環境がさらされている。この脆弱性は Apache Flink の SQL コード生成メカニズムに存在し、動的に生成される Java コードへ埋め込まれるユーザー入力データが、適切にサニタイズされないことに起因する。その結果、クエリ実行権限を持つ認証済みユーザーは、文字列境界をエスケープする悪意のペイロードを注入して、任意のコード実行を可能にする。
Continue reading “Apache Flink の脆弱性 CVE-2026-35194 が FIX:SQL コード生成の欠陥と任意のコード実行”Critical PostgreSQL Vulnerabilities Enables Code Execution and SQL Injections
2026/05/19 CyberSecurityNews — PostgreSQL Global Development Group が公開したのは、11 件の脆弱性に対する修正の情報である。すべてのサポート対象ブランチ向けに、PostgreSQL の 18.4/17.10/16.14/15.18/14.23 が、セキュリティ/メンテナンス・アップデートとしてリリースされた。
Continue reading “PostgreSQL の深刻な 11 件の脆弱性が修正:任意のコード実行や SQLi の恐れ”SEPPmail Gateway Flaws Expose Organizations to RCE and Email Traffic Interception
2026/05/19 gbhackers — SEPPmail Secure E-Mail Gateway に存在する複数の深刻な脆弱性により、数千の組織における暗号化電子メール通信が、リモート・コード実行 (RCE) /機密メール傍受のリスクにさらされている。これらの脆弱性は、特に DACH 地域 (ドイツ/オーストリア/スイス) で広く導入されている SEPPmail アプライアンスに影響することが判明した。
Continue reading “SEPPmail Secure E-Mail Gateway に複数の脆弱性:認証不要の RCE とトラフィック傍受”Mythos Preview Builds PoC Exploits in Automated Vulnerability Research
2026/05/19 CyberSecurityNews — Anthropic の Mythos Preview は、セキュリティ特化型 AI モデルとして、自動化された脆弱性リサーチにおける重要な転換点へ到達しつつある。単にバグを発見するだけではなく、それらを連鎖させ、実際に動作する PoC エクスプロイトを構築する段階に達している。これは、Cloudflare のセキュリティ・チームによる知見である。同社のチームは、Anthropic の招待制プロジェクト Project Glasswing に参加し、50 を超える内部リポジトリに対し、数週間にわたりこのモデルを実行した。
Continue reading “Anthropic Glasswing プロジェクト:AI によるエクスプロイト生成と問題点 – Cloudflare”Compromised GitHub Action Steals Workflow Credentials
2026/05/19 gbhackers — 広く利用されている GitHub Actions の actions-cool/issues-helper が、サプライ・チェーン攻撃により侵害され、機密性の高い CI/CD シークレットが攻撃者が管理するドメインへと流出するリスクが生じている。この攻撃は、Git タグに対する巧妙な操作を悪用するものであり、攻撃者は目に見える commit 履歴を改竄するのではなく、すべてのリリースタグを偽の commit (1c9e803) へ移動させた。この偽 commit は、リポジトリ内の正規ブランチに属していない。
Continue reading “GitHub Action を標的としたサプライ・チェーン攻撃:認証情報窃取ペイロードを確認”
IoT OT Security News 