WinRAR の脆弱性 CVE-2026-14191 が FIX:ヒープオーバーフローによるクラッシュに対応

WinRAR 7.23 Fixes Heap Overflow Vulnerability that Leads to Application Crashes

2026/07/02 CyberSecurityNews — WinRAR が公表したのは、RAR5 の recovery volume 処理コードにおけるヒープ・オーバーフローの脆弱性 CVE-2026-14191 である。この脆弱性は、悪意の recovery volume (.rev) データによりトリガーされる可能性があり、アプリケーションのクラッシュやメモリ破壊を介して、さらなる悪用を引き起こす恐れがある。

Continue reading “WinRAR の脆弱性 CVE-2026-14191 が FIX:ヒープオーバーフローによるクラッシュに対応”

ClamAV の脆弱性 CVE-2026-20213/20214/20215 が FIX:サービス拒否 (DoS) の可能性

Multiple ClamAV Vulnerabilities Allow Remote Attacker to Cause a DoS Condition

2026/07/02 CyberSecurityNews — Cisco の ClamAV engine に、高深刻度の脆弱性 CVE-2026-20213/20214/20215 が発見された。これらの脆弱性を悪用するリモート攻撃者は、アンチウイルスのスキャン・プロセスをクラッシュさせ、影響を受ける Cisco Secure Endpoint Connector デプロイメントにおいてサービス拒否 (DoS) を引き起こす可能性がある。

Continue reading “ClamAV の脆弱性 CVE-2026-20213/20214/20215 が FIX:サービス拒否 (DoS) の可能性”

JetBrains の深刻な脆弱性 CVE-2026-56141/56142/50242 が FIX:認証バイパスとアカウント乗っ取りの恐れ

JetBrains Patches Critical Hub Authentication Bypass and Account Takeover Vulnerabilities

2026/07/02 gbhackers — JetBrains が公開したのは、JetBrains Hub における複数の深刻な脆弱性に対するパッチである。これらの脆弱性を悪用する攻撃者は、認証の完全な回避/アカウント乗っ取りなどに加えて、統合された JetBrains サービス全体にわたる認可されていない権限昇格を引き起こす可能性がある。管理者に求められるのは、Hub インスタンスを直ちにアップデートすることである。

Continue reading “JetBrains の深刻な脆弱性 CVE-2026-56141/56142/50242 が FIX:認証バイパスとアカウント乗っ取りの恐れ”

Claude Cowork の Sandbox に脆弱性:root 権限での任意のコマンド実行の可能性

Claude Cowork’s Sandbox Vulnerability Allows Attackers to Run Arbitrary Commands as Root

2026/07/02 CyberSecurityNews — Anthropic の Claude Cowork における脆弱性チェーンを悪用する攻撃者は、ローカルでのコード実行を可能にする権限昇格を達成する。その結果として、Claude の基盤となる Linux sandbox 内で、root として任意のコマンドを実行できる。この問題は、Anthropic の環境に組み込まれた防御の全レイヤーを回避するものである。Claude Cowork は Anthropic のナレッジワーカー向けの製品であり、非技術者のユーザーが Claude Code を活用してツールを構築し、データを処理できるように設計されている。

Continue reading “Claude Cowork の Sandbox に脆弱性:root 権限での任意のコマンド実行の可能性”

CISA KEV 警告 26/07/01:SharePoint Server の脆弱性 CVE-2026-45659 を KEV に登録

CISA Adds Actively Exploited Microsoft SharePoint Vulnerability to KEV Catalog

2026/07/02 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が、Microsoft SharePoint Server の新たに発見された脆弱性 CVE-2026-45659 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この対応が浮き彫りにするのは、エンタープライズ環境における脆弱性の積極的な悪用が継続している状況である。

Continue reading “CISA KEV 警告 26/07/01:SharePoint Server の脆弱性 CVE-2026-45659 を KEV に登録”

Citrix NetScaler CitrixBleed 脆弱性 CVE-2026-8451:公開から 24h で悪用を確認

CitrixBleed Vulnerability Exploited by Hackers Within 24 Hours of Public Disclosure

2026/07/02 CyberSecurityNews — Citrix NetScaler アプライアンスの新たな CitrixBleed 系脆弱性は、公表から 1日も経たないうちに活発に悪用され始めている。デコイ・インフラを運用する Lupovis が確認したのは、3 つの別個のセンサー展開環境にまたがる連携したスキャンと悪用のキャンペーンである。Citrix がアドバイザリ CTX696604 を公表し、watchTowr Labs が CVE-2026-8451 向け Detection Artifact Generator を公開してから 24 時間以内に、Lupovis のデコイ・インフラが検知したのは、SAML Identity Provider として構成された NetScaler アプライアンスを標的とする組織的なスキャン・キャンペーンである。

Continue reading “Citrix NetScaler CitrixBleed 脆弱性 CVE-2026-8451:公開から 24h で悪用を確認”

Cisco Catalyst Center の脆弱性 CVE-2026-20191 が FIX:リモートからの機密データ窃取の恐れ

Cisco Catalyst Center Vulnerability Allows Remote Attackers to Read Arbitrary Files

2026/07/02 CyberSecurityNews — Cisco が公表したのは、Catalyst Center プラットフォームに存在する深刻な脆弱性に関する情報である。この脆弱性 CVE-2026-20191 (CVSS:7.5) は不適切な入力検証に起因するパス・トラバーサルの欠陥 (CWE-22) であり、未認証のリモート攻撃者に対して、影響を受けるシステム上での任意のファイル読み取りを許す可能性がある。

Continue reading “Cisco Catalyst Center の脆弱性 CVE-2026-20191 が FIX:リモートからの機密データ窃取の恐れ”

Fortinet 認証情報窃取キャンペーン FortiBleed を追跡:INC/Lynx ランサムウェアとの関連を確認

FortiBleed credential-theft campaign linked to Lynx ransomware

2026/07/01 BleepingComputer — Fortinet を標的とする、大規模な “FortiBleed” 認証情報窃取キャンペーンが、INC および Lynx のランサムウェア活動と関連していることが判明した。それにより示唆されるのは、すでに窃取されていた Fortinet の認証情報が、その後のネットワーク侵入を促進する目的で悪用されていたことである。このキャンペーンに先立ち、73,000 台を超える Fortinet デバイスから窃取した認証情報を格納するサーバが、インターネット上で公開されている状態で発見された。

Continue reading “Fortinet 認証情報窃取キャンペーン FortiBleed を追跡:INC/Lynx ランサムウェアとの関連を確認”

Cursor IDE の RCE 脆弱性 CVE-2026-50548/50549:プロンプト・インジェクションによるサンドボックス・エスケープ

Critical Cursor IDE RCE Vulnerabilities Enable Prompt Injection in Zero-Click

2026/07/01 CyberSecurityNews — AI 搭載開発環境 Cursor IDE に存在する、2件の重大なリモート・コード実行 (RCE) 脆弱性 CVE-2026-50548/CVE-2026-50549 (CVSS 9.8) が、Cato AI Labs により報告された。DuneSlide と名付けられた、これらの脆弱性を悪用する攻撃者は、Cursor のサンドボックスからの完全なエスケープを達成する。

Continue reading “Cursor IDE の RCE 脆弱性 CVE-2026-50548/50549:プロンプト・インジェクションによるサンドボックス・エスケープ”

Oracle EBS の脆弱性 CVE-2026-46817 の悪用を観測:インターネット上に 900 超のインスタンス

Over 900 Oracle E-Business instances exposed to ongoing attacks

2026/07/01 BleepingComputer — Oracle E-Business Suite (EBS) の重大なセキュリティ上の欠陥を悪用する攻撃が続いているが、そのインスタンス 900件以上がインターネット上に公開されていることが判明した。この脆弱性 CVE-2026-46817 は、EBS の Oracle Payments 製品に含まれる File Transmission コンポーネントに存在する。HTTP 経由のネットワーク・アクセスを有する脅威アクターは、この脆弱性を権限を必要とすることなく悪用し、複雑性の低い攻撃を通じて脆弱なシステムを乗っ取ることができる。

Continue reading “Oracle EBS の脆弱性 CVE-2026-46817 の悪用を観測:インターネット上に 900 超のインスタンス”

Claude Fable 5 と Mythos 5 に対する輸出規制:米国商務省が正式に解除

U.S. Lifts Export Controls on Claude Fable 5 and Mythos 5

2026/07/01 CyberSecurityNews — 米国商務省は、Anthropic の AI モデルである Claude Fable 5 および Mythos 5 に対する輸出管理上の制限を正式に撤回した。これにより、同社の最先端システムへのアクセスを妨げていた、18日間にわたる全面的なアクセス停止措置は、段階的な緩和を経て正式に幕を閉じた。2026年6月30日付の書簡において、「Mythos または Fable モデルの輸出/再輸出/国内移転 (みなし輸出またはみなし再輸出を含む) において、もはやライセンスは必要なくなった」と、商務長官 Howard Lutnick から Anthropic の Chief Compute Officer である Tom Brown に対して通知が行われた。

Continue reading “Claude Fable 5 と Mythos 5 に対する輸出規制:米国商務省が正式に解除”

Microsoft 365 ユーザーを狙うパスワード窃取キャンペーン:8,100 万件のログイン試行を観測

Massive Password Stealing Attack Targeting Microsoft 365 Users With 81 Million Login Attempts

2026/07/01 CyberSecurityNews — Microsoft の Azure CLI およびレガシー OAuth フローを積極的に悪用する、大規模な自動化パスワード・スプレー・キャンペーンにより、多要素認証 (MFA) を導入している組織においても Entra ID アカウントが侵害されている。Huntress が追跡しているのは、Microsoft 365 および Azure CLI のログインを標的とする、パスワードおよびトークンに対する継続的なスプレー・キャンペーンである。この活動は、2026年6月12日から 6月26日にかけて急増した。

Continue reading “Microsoft 365 ユーザーを狙うパスワード窃取キャンペーン:8,100 万件のログイン試行を観測”

Anthropic buffa ライブラリのゼロデイ脆弱性 CVE-2026-55407 が FIX:22 倍のメモリ増幅で DoS を誘発

Anthropic buffa Library Zero-Day Lets Attackers Trigger Memory-Amplification DoS

2026/07/01 gbhackers — Anthropic の Rust ベースの protobuf ライブラリ “buffa” に、ゼロデイのメモリ増幅型サービス拒否 (DoS) の脆弱性 CVE-2026-55407 が存在することが判明した。この脆弱性を悪用する攻撃者は、比較的少量の入力でシステム・メモリを枯渇させることが可能となる。AI を活用した静的アプリケーション・セキュリティ・テスト (SAST) エンジンを通じて、Endor Labs がこの問題を特定した。脆弱性 CVE-2026-55407 が浮き彫りにしたのは、メモリ・セーフなプログラミング言語におけるロジック上の欠陥が、依然として深刻なリソース枯渇を引き起こす可能性があることだ。

Continue reading “Anthropic buffa ライブラリのゼロデイ脆弱性 CVE-2026-55407 が FIX:22 倍のメモリ増幅で DoS を誘発”

Google Chrome 150 がリリース:最新アップデートで 433 件の脆弱性を修正

Chrome Update Patches 382 Vulnerabilities Including 15 Critical One’s that Enables Code Execution Attacks

2026/07/01 CyberSecurityNews — Chrome 150 の最新 Stable チャネルにおいて、433 件のセキュリティ脆弱性を修正するパッチが提供されている。このリリースには、リモート・コード実行やブラウザ全体の乗っ取りにつながる可能性がある 20 件の深刻な脆弱性が含まれるため、未パッチでの放置は、きわめて危険である。このアップデートは、Windows/macOS/Linux/Chrome for iOS 向けに展開されており、セキュリティ修正はブラウザ・スタックの大半のコア・コンポーネントに及ぶ。

Continue reading “Google Chrome 150 がリリース:最新アップデートで 433 件の脆弱性を修正”

Citrix NetScaler ADC/Gateway に 6件の脆弱性:メモリ範囲外読み取りと DoS 攻撃の恐れ

Citrix NetScaler ADC and Gateway Flaws Let Attackers Trigger Memory Overread and Denial-of-Service

2026/07/01 gbhackers — Citrix が公開したのは、NetScaler ADC/Gateway に存在する複数の深刻な脆弱性に対処するセキュリティ情報である。これらの脆弱性を悪用する攻撃者は、影響を受ける環境においてメモリの範囲外読み取り/任意ファイルへのアクセス/サービス拒否 (DoS) 状態を引き起こす可能性がある。今回の脆弱性は、CVE-2026-8451/CVE-2026-8452/CVE-2026-8655/CVE-2026-10816/CVE-2026-10817/CVE-2026-13474 である。

Continue reading “Citrix NetScaler ADC/Gateway に 6件の脆弱性:メモリ範囲外読み取りと DoS 攻撃の恐れ”

Adobe ColdFusion 2025/2023 緊急アップデート:RCE などの深刻な 11件の脆弱性に対応

Adobe ColdFusion Critical Vulnerabilities Let Attackers Execute Arbitrary Code

2026/07/01 gbhackers — Adobe が公開したのは、ColdFusion 2025/ 2023 に存在する 11 件の脆弱性に対処する緊急セキュリティ情報 APSB26-68 である。2026年6月30日に公開されたセキュリティ情報において、複数の脆弱性が CVSS 10.0 と評価され、Adobe の最高優先度である Priority Rating 1 が付与されている。それが示すのは、一連の脆弱性に対する積極的な標的化と悪用のリスクが極めて高いことである。

Continue reading “Adobe ColdFusion 2025/2023 緊急アップデート:RCE などの深刻な 11件の脆弱性に対応”

Apache Tomcat の脆弱性 CVE-2026-55957/55956 が FIX:認証バイパスの恐れ

Multiple Apache Tomcat Vulnerabilities Allow Attackers to Bypass Authentication

2026/07/01 CyberSecurityNews — Apache Software Foundation が公開したのは、Web アプリケーションを保護する認証およびセキュリティ制約のバイパスを、攻撃者に対して許す可能性がある Apache Tomcat の脆弱性 CVE-2026-55957CVE-2026-55956 である。これらの欠陥は、広く導入されているサーブレット・コンテナの複数の主要バージョンに影響するものであるため、各種のエンタープライズ環境に対して緊急のアップグレードが推奨されている。

Continue reading “Apache Tomcat の脆弱性 CVE-2026-55957/55956 が FIX:認証バイパスの恐れ”