Google API Key の削除には 23 分を要する:設計上の特性と運用上のリスク 

Deleted Google API Keys Remain Active up to 23 Minutes, Study Finds

2026/05/21 hackread — 削除された Google API keys が、23分間にわたって有効であり続け、その後の認証に成功する可能性があることが、Aikido Security の新たな調査により明らかになった。この調査結果は、10回の制御試験を 2日間にわたり実施して得られたものである。

Continue reading “Google API Key の削除には 23 分を要する:設計上の特性と運用上のリスク ”

GitHub 内部リポジトリへの攻撃:武器化された VS Code エクステンションが従業員の端末を侵害

GitHub Internal Repositories Breached Via Weaponized VS Code Extension

2026/05/21 CyberSecurityNews — 2026年5月18日に GitHub の従業員の端末が、悪意の Visual Studio Code エクステンションを介した攻撃により侵害され、内部ソースコード・リポジトリからデータが流出するという深刻な事態が生じた。この攻撃は、5月18日 (月) に GitHub のセキュリティ・チームが、従業員エンドポイント上の不審な活動を特定したことで発覚し、同日に封じ込められた。

Continue reading “GitHub 内部リポジトリへの攻撃:武器化された VS Code エクステンションが従業員の端末を侵害”

NGINX 1.31.0 のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) を検出:ASLR バイパスによる RCE の可能性

New NGINX 0-Day RCE “nginx-poolslip” Threatens Millions of Servers

2026/05/21 gbhackers — 新たに発見された NGINX のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) が悪用されると、数百万台のサーバが潜在的なリモート・コード実行 (RCE) 攻撃の危険にさらされる可能性がある。この脆弱性により、世界中のサイバーセキュリティ・コミュニティにおいて、深刻な懸念が引き起こされている。この脆弱性は、世界中の Web サイトの推定 30〜40% で利用されている、Web サーバ・ソフトウェア NGINX のバージョン 1.31.0 に影響するものであり、NebSec チームのセキュリティ研究者 Vega により発見され、2026年5月21日に公開された。

Continue reading “NGINX 1.31.0 のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) を検出:ASLR バイパスによる RCE の可能性”

Chrome 148.0.7778.178/179 が公開:タイプ・コンフュージョン/解放後メモリ使用を修正

Critical Chrome Vulnerabilities Enable Remote Code Execution Attacks – Patch Now!

2026/05/21 CyberSecurityNews — Google が、Chrome 向けの緊急セキュリティ・アップデートを公開した。合計で 16 件の脆弱性が修正されたが、そのうちの 2 件は Critical と評価され、影響を受けるシステム上での任意のコード実行を可能にするものだ。Stable チャネルでは、Windows/Mac 向けの 148.0.7778.178/179 と、Linux 向けの 148.0.7778.178 が提供されており、今後の数日以内にロールアウトが完了する見込みである。

Continue reading “Chrome 148.0.7778.178/179 が公開:タイプ・コンフュージョン/解放後メモリ使用を修正”

Apache OFBiz の脆弱性 CVE-2026-45434 が FIX:PW 変更処理の不備による認証回避と RCE

Apache OFBiz RCE Flaw Abuses Password-Change Restrictions for Authentication Bypass

2026/05/21 gbhackers — Apache OFBiz に存在する深刻な認証バイパス脆弱性 CVE-2026-45434 を悪用する攻撃者は、強制パスワード変更フローを乗っ取り、単一の HTTP リクエストを通じてリモート・コード実行 (RCE) を達成する可能性がある。この脆弱性が影響を及ぼす範囲は、Apache OFBiz のバージョン 24.09.06 未満となる。Apache OFBiz は、ビジネス・プロセス管理に用いられるオープンソースの ERP プラットフォームである。

  • CVE ID:CVE-2026-45434
  • CVSS 3.1 スコア:8.8 (High)
  • 影響バージョン:Apache OFBiz 24.09.06 未満
  • 修正バージョン:Apache OFBiz 24.09.06
  • 公開日:2026年5月20日
  • 研究者:Aretiq AI
Continue reading “Apache OFBiz の脆弱性 CVE-2026-45434 が FIX:PW 変更処理の不備による認証回避と RCE”

Linux kernel の脆弱性 CVE-2026-46333 が FIX:SSH キー窃取や root 権限昇格の恐れ

Nine-year-old Linux Kernel Vulnerability Let Attackers Exfiltrate SSH Private Keys

2026/05/21 CyberSecurityNews — 新たに公開された Linux kernel の脆弱性 CVE-2026-46333 は、約 9年間にわたり検出されなかった、深刻なローカル権限昇格の欠陥を露呈するものだ。この脆弱性を悪用する攻撃者は、SSH 秘密鍵を含む機密性の高いデータを窃取し、影響を受けるシステム上で root として任意のコマンド実行を可能にすると、Qualys Threat Research Unit のセキュリティ研究者は明らかにしている。

Continue reading “Linux kernel の脆弱性 CVE-2026-46333 が FIX:SSH キー窃取や root 権限昇格の恐れ”

Drupal の脆弱性 PSA-2026-05-18 が FIX:コアへの影響とサイト乗っ取りの可能性

Critical Drupal Vulnerability Could Leave Sites Open to Cyberattack

2026/05/21 gbhackers — Drupal Security Team は、Drupal コアに影響を及ぼす、きわめて深刻な脆弱性について警告を発表した。そのためのセキュリティ・リリースは、2026年5月20日 (PSA-2026-05-18) で行われている。この脆弱性の深刻度は、同社の基準で 20/25 (Highly Critical) と評価されており、公開後に攻撃者に悪用されると、機密性/完全性/可用性に大きなリスクが生じる可能性がある。

Continue reading “Drupal の脆弱性 PSA-2026-05-18 が FIX:コアへの影響とサイト乗っ取りの可能性”

Cisco Secure Workload の脆弱性 CVE-2026-20223 が FIX:Site Admin 権限奪取の恐れ

Critical Cisco Secure Workload Vulnerability Enables Unauthorized API Access

2026/05/21 CyberSecurityNews — Cisco が公開したのは、同社の Secure Workload プラットフォームで発見された、脆弱性 CVE-2026-20223 (CVSS 10.0) に関する情報である。この脆弱性を悪用する未認証の脅威アクターは、内部 API を介して重要機能に対する認証欠如 (CWE-306) の欠陥を突き、機密性の高いリソースへの不正アクセスを引き起こせる。

Continue reading “Cisco Secure Workload の脆弱性 CVE-2026-20223 が FIX:Site Admin 権限奪取の恐れ”