Day: June 8, 2026

Check Point VPN のゼロデイ脆弱性 CVE-2026-50751:ランサムウェア攻撃を確認

Check Point VPN 0-day Vulnerability Exploited in the Wild to Deploy Ransomware

2026/06/08 CyberSecurityNews — Check Point Research が認めたのは、同社の Remote Access VPN および Mobile Access 環境に存在する深刻な認証バイパスの脆弱性 CVE-2026-50751 (CVSS:9.3) が実環境で悪用されていることである。また、侵害後の攻撃活動が Qilin ランサムウェア・グループと関連していることも明らかになった。

Continue reading “Check Point VPN のゼロデイ脆弱性 CVE-2026-50751:ランサムウェア攻撃を確認”

VMware VCF Operations の脆弱性 CVE-2026-41722/41723/41724 が FIX:深刻な蓄積型 XSS

Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts

2026/06/08 gbhackers — VMware は VMware Cloud Foundation (VCF) Operations に影響を及ぼす、複数の深刻な蓄積型クロスサイト・スクリプティング (XSS) 脆弱性を公表した。これらの欠陥を突く攻撃者は、悪意のスクリプトを注入し、管理環境を侵害する可能性がある。これらの脆弱性 CVE-2026-41722/CVE-2026-41723/CVE-2026-41724 は、2026年6月8日にアドバイザリ VMSA-2026-0004 として公開されている。一連の脆弱性の CVSS v3 基本スコアは 8.0 であり、企業環境において高いリスクをもたらすことを示している。

Continue reading “VMware VCF Operations の脆弱性 CVE-2026-41722/41723/41724 が FIX:深刻な蓄積型 XSS”

Linux カーネルの新たな脆弱性 CVE-2026-23111 が FIX:root 権限昇格エクスプロイトが公開

New Linux Kernel Vulnerability Lets Attackers Escalate Privileges to Root

2026/06/08 CyberSecurityNews — Linux Kernel の nftables サブシステムにおける、解放後メモリ使用 (use-after-free) 脆弱性 CVE-2026-23111 に対するエクスプロイトが公表された。それにより、この脆弱性を悪用する権限を持たないローカル攻撃者は、root 権限への昇格が容易になる。影響を受けるディストリビューションとしては、Debian Bookworm/Debian Trixie/Ubuntu 22.04 LTS/Ubuntu 24.04 LTS などが挙げられる。脆弱性 CVE-2026-23111 は 2025 年初頭に発見され、2026年2月5日に Kernel コミットを通じてアップストリーム修正された。

Continue reading “Linux カーネルの新たな脆弱性 CVE-2026-23111 が FIX:root 権限昇格エクスプロイトが公開”

ChatGPT Lockdown Mode:プロンプト・インジェクションによるデータ流出リスクを低減

New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks

2026/06/08 CyberSecurityNews — OpenAI は ChatGPT Lockdown Mode をリリースした。それにより、アウトバウンド・ネットワーク・アクセスを制限し、プロンプト・インジェクション攻撃によるデータ流出リスクの低減を目的とする、新しいセキュリティ機能が提供された。この機能の対象となるのは、個人用のアカウント/セルフサービス型 ChatGPT Business ユーザー/管理されたエンタープライズ・ワークスペースとなる。

Continue reading “ChatGPT Lockdown Mode:プロンプト・インジェクションによるデータ流出リスクを低減”

Claude Code GitHub Action の問題:CI/CD ワークフローのシークレットが露出

Microsoft Warns Claude Code GitHub Action May Expose CI/CD Secrets

2026/06/08 gbhackers — Anthropic の Claude Code GitHub Action の欠陥により、AI エージェントが未信頼の GitHub コンテンツを処理する際に、CI/CD ワークフローのシークレットが意図せずに露出する可能性がある。このリスクは、エージェントがファイル読取に使用する一部のツールが、Bash のようなサブプロセス実行パスとは異なりサンドボックス化されていないことに起因する。特に Read ツールは “/proc/self/environ” へのアクセスが可能であるため、ANTHROPIC_API_KEY などを含む環境変数や、ランナー上で利用可能な認証情報を返す状態になっていた。

Continue reading “Claude Code GitHub Action の問題:CI/CD ワークフローのシークレットが露出”

Redis の脆弱性 CVE-2026-23631 が FIX:RCE とサーバを乗っ取りの可能性

Critical Redis Vulnerability Could Let Attackers Execute Code and Hijack Servers

2026/06/08 gbhackers — Redis で発見された深刻な脆弱性 CVE-2026-23631 に、DarkReplica という名称が付けられた。この脆弱性を悪用する攻撃者は、レプリケーション・サブシステムにおける複雑な解放後メモリ使用 (use-after-free) 条件を操作することで、認証済み環境に対するリモート・コード実行 (RCE) を可能にする。

Continue reading “Redis の脆弱性 CVE-2026-23631 が FIX:RCE とサーバを乗っ取りの可能性”