Threat Actors Leverage SharePoint Services in Sophisticated AiTM Phishing Campaign
2026/01/24 CyberSecurityNews — SharePoint ファイル共有の悪用を通じてエネルギー業界の組織を標的とする、高度な中間者攻撃 (AiTM) フィッシング・キャンペーンが展開されていることを、Microsoft Defender の研究者が明らかにした。この多段階攻撃は、複数の組織におけるユーザー・アカウントを侵害し、大規模かつ広範なビジネス・メール詐欺 (BEC) 活動へと拡大している。
Continue reading “SharePoint 標的の AiTM フィッシング・キャンペーンを検出:大規模かつ広範な BEC 活動へと拡大”Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher
2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。
Continue reading “Node.js HackerOne における脆弱性レポートの品質を改善:Signal スコア 1.0 要件を導入してノイズを抑制”20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access
2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS:9.8:Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。
Continue reading “WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り”ZAP Releases OWASP PenTest Kit Browser Extension for Application Security Testing
2026/01/23 CyberSecurityNews — Zed Attack Proxy (ZAP) チームが公開したのは、OWASP Penetration Testing Kit (PTK) のブラウザ・エクステンションを、ZAP が立ち上げたブラウザへと直接統合する、OWASP PTK アドオン バージョンの 0.2.0 alpha である。このアドオンにより、DAST/IAST/SAST/SCA/JWT Editor/Cookie Editor といった専用ツールが、手動でのセットアップを必要とせずに組み込まれ、アプリケーション・セキュリティ・テストが効率化される。すでに ZAP Marketplace から提供されており、ZAP 経由でプロキシされる Chrome/Edge/Firefox セッションに PTK が事前インストールされる。
Continue reading “ZAP が OWASP PenTest Kit をリリース:通信のキャプチャとブラウザ内部の動作をシームレスに統合”HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker
2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000/Alletra 5000/Nimble Storage アレイに影響が生じている。
Continue reading “HPE Alletra/Nimble ストレージの脆弱性 CVE-2026-23594 が FIX:リモートからの Admin 権限奪取の恐れ”2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier/Vite Vitejs/Versa Concerto SD-WAN オーケストレーション・プラットフォーム/Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録”Critical Appsmith Flaw Enables Account Takeovers
2026/01/23 InfoSecurity — Appsmith のローコード・プラットフォームの深刻な認証脆弱性が悪用され、ユーザー・アカウントの乗っ取りが発生している。この脆弱性 CVE-2026-22794 を悪用する攻撃者は、クライアント側で制御可能な HTTP ヘッダを介してパスワード・リセット・リンクを操作し、最終的にアカウント全体の侵害を可能にし得る。
Continue reading “Appsmith の脆弱性 CVE-2026-22794 が FIX:偽のパスワード・リセット警告によるアカウント乗っ取り”What an AI-Written Honeypot Taught Us About Trusting Machines
2026/01/23 BleepingComputer — AI モデルを用いてコード作成を支援する Vibe Coding 手法が、多くのチームにとって日常的な開発プロセスの一部となっている。それにより、大きな時間短縮効果がもたらされるが、その一方では、AI が生成したコードを過度に信頼してしまうことで、セキュリティ脆弱性が入り込む余地を生み出す。AI 生成コードがセキュリティに及ぼす影響について、Intruder の経験は現実のケース・スタディとなっている。以下に示すのは、実際に起こったこと、そして、他の組織が注意すべき点である。
Continue reading “AI で書いたハニーポット:Vibe Coding がもたらす脆弱性のケース・スタディとは?”Zero-Day Exploits Surge, Nearly 30% of Flaws Attacked Before Disclosure
2026/01/22 InfoSecurity — VulnCheck が特定した 2025 年の Known Exploited Vulnerability (KEV) の 28.96% が、公開前または報告当日に悪用されていた。つまり、サイバー攻撃者たちは、脆弱性の悪用速度を継続的に加速している状況にある。2026年1月21日に公開された VulnCheck の State of Exploitation 2026 レポートが示すのは、2025 年の Zero-Day/One-Day 脆弱性の悪用が、2024 年の 23.6% から大きく跳ね上がっている実態である。
Continue reading “Zero-Day に関する 2025 年調査:30% の脆弱性が公開前に悪用されていた”NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution
2026/01/22 gbhackers — NVIDIA が公表したのは、CUDA Toolkit に存在する深刻な脆弱性に対するアドバイザリである。これらの脆弱性は、GPU アクセラレーション・システムを、コマンド・インジェクションおよび任意のコード実行のリスクにさらすものである。2026年1月20日に公開されたアドバイザリで修正されたのは、Nsight Systems および関連ツールに存在する 4 件の脆弱性であり、いずれも CUDA Toolkit エコシステムに関連するものだ。
Continue reading “NVIDIA CUDA Toolkit の複数の脆弱性が FIX:任意のコード実行や権限昇格などの恐れ”BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records
2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。
Continue reading “BIND 9 の脆弱性 CVE-2025-13878 が FIX:named デーモンの不適切な処理とサービス拒否”Node.js binary-parser Library Flaw Enables Malicious Code Injection
2026/01/22 gbhackers — 広く利用されている Node.js の binary-parser ライブラリに存在する、深刻なコード・インジェクション脆弱性により、アプリケーション上で任意の JavaScript 実行が可能となる。2026年1月20日に CERT/CC は Vulnerability Note VU#102648 を公開し、この脆弱性に CVE-2026-1245 を割り当てた。この脆弱性は安全でない動的コード生成に起因し、影響を及ぼす範囲はバージョン 2.3.0 未満となる。パーサ定義に信頼できない入力を使用している開発者は、プロセス全体の侵害を含む深刻なリスクに直面する。
Continue reading “Node.js binary-parser Library の脆弱性 CVE-2026-1245 が FIX:コード・インジェクションの恐れ”ZEST Security Adds AI Agents to Identify Vulnerabilities That Pose No Actual Risk
2026/01/22 SecurityBoulevard — 今日 ZEST Security は、特定の脆弱性がアプリケーション環境に対して実際の脅威となるかどうかを識別する、人工知能 (AI) エージェント群を追加した。同社 CEO の Snir Ben Shimol によると、実際には悪用不可能な脆弱性の修正要求を AI Sweeper Agents が排除することで、作成すべきパッチ数を削減できるという。
Continue reading “ZEST の AI Sweeper Agents:過剰なパッチ要求を削減してセキュリティ・チームの負荷を軽減”Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning
2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM/Unified CM Session Management Edition (SME)/Unified CM IM & Presence Service/Cisco Unity Connection/Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。
Continue reading “CISA KEV 警告 26/01/21:Cisco Unified CM の脆弱性 CVE-2026-20045 を登録”Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access
2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。
Continue reading “Fortinet FortiGate SSO の脆弱性 CVE-2025-59718:実環境での積極的な悪用を確認”GitLab Security Flaws Could Allow Two-Factor Authentication Bypass and DoS
2026/01/21 gbhackers — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に影響を及ぼす、複数の脆弱性に対処する深刻な脆弱性に対するセキュリティ・アドバイザリである。二要素認証のバイパスやサービス拒否 (DoS) 攻撃に対する修正版として、すでにバージョン 18.8.2/18.7.2/18.6.4 が提供されている。すべてのセルフ・マネージド環境に対して GitLab が強く推奨するのは、速やかなアップグレードである。その一方で、GitLab.com にはすでにパッチが適用済みである。
Continue reading “GitLab CE/EE の複数の深刻な脆弱性 が FIX:二要素認証バイパスと DoS の恐れ”Critical Zoom Command Injection Vulnerability Enables Remote Code Execution
2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。
Continue reading “Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX:コマンド・インジェクションによる RCE の恐れ”Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution
2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143/CVE-2025-68144/CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行/ファイル削除/機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。
Continue reading “Anthropic Git MCP Server における複数の脆弱性:プロンプト・インジェクションによるコード実行の可能性”Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks
2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的/意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。
Continue reading “Azure の Private Endpoint デプロイメントに深刻な脆弱性:クラウド・リソースへの DoS 攻撃の可能性”Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server
2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。
Continue reading “Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX:深刻なインフラ露出の可能性”Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw
2026/01/21 gbhackers — Google は、Windows/Mac/Linux プラットフォーム向けの Chrome 144.0.7559.96/.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。
Continue reading “Chrome 144 の脆弱性 CVE-2026-1220 が FIX:V8 JavaScript エンジンの競合状態”LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords
2026/01/21 TheHackerNews — LastPass のパスワード管理サービスを装う、アクティブなフィッシング・キャンペーンの登場について、同社はユーザーに対して警告を発している。このキャンペーンは、ユーザーを欺いてマスター・パスワードを入力させることで、その漏洩を目的としている。このキャンペーンは、2026年1月19日頃に開始された。その手口は、今後に予定されているメンテナンス通知を装うフィッシング・メールを送信するものであり、パスワード・ボルトのローカル・バックアップ作成を、24 時間以内に実施するよう促すものである。
Continue reading “LastPass を装うフィッシング・キャンペーン:マスター・パスワード窃取を狙う偽メンテナンス通知”Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”
2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。
Continue reading “GNU InetUtils の深刻な認証バイパスの脆弱性:ログイン時の “-f root” パラメータで root 権限の奪取”VoidLink Represents the Future of AI-Developed Malware: Check Point
2026/01/20 SecurityBoulevard — 1 人の個人と推測される脅威アクターが、AI を用いて単独で開発したとみられる高度なマルウェアが、Check Point の研究者たちにより発見された。このインシデントが示すのは、急速に進化する技術がサイバー脅威の生成方法を変化させる、先駆的な事例である。VoidLink と名付けられたマルウェアは、開発の初期段階で検出され、実際の攻撃で使用された形跡は確認されていない。しかし、異例のスピードで進められた設計と構築は、高度にモジュール化された構造を備えるものであり、迅速な進化を可能にする仕組みを持っている。そのため、発見当初は、大規模かつ潤沢な資金を有する攻撃者グループによるものと見られていた。
Continue reading “VoidLink が示す AI 生成マルウェア時代の到来:Check Point が警告”WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks
2026/01/20 CyberSecurityNews — 人気の WordPress プラグイン Advanced Custom Fields: Extended に存在する、深刻な脆弱性 CVE-2025-14533 (CVSS:9.8:Critical) により、10 万以上の Web サイトが完全な乗っ取りのリスクにさらされている。この脆弱性は、バージョン 0.9.2.1 以前のプラグインに影響を及ぼすものだ。この脆弱性が未修正の状態で放置されると、ユーザー登録フォームにおけるロール処理の仕組みを悪用する未認証の攻撃者に、管理者レベルのアクセス権限を奪取される恐れがある。
Continue reading “WordPress Advanced Custom Fields の脆弱性 CVE-2025-14533 が FIX:Web サイト乗っ取りのリスク”TP-Link Router Flaw Enables Authentication Bypass Through Password Recovery Mechanism
2026/01/20 gbhackers — TP-Link が公表したのは、同社の VIGI セキュリティカメラ製品群に影響を与える、深刻な認証バイパスの脆弱性 CVE-2026-0629 の詳細である。この脆弱性を悪用するローカル・ネットワーク上の攻撃者は、認証を得ることなく管理者パスワードをリセットできてしまう。この問題は、ローカル Web インターフェイスに実装されたパスワード回復機能に存在し、クライアント・サイドの状態操作により悪用される。それにより、同一の LAN 上に位置する脅威アクターは、パスワード回復時の認証メカニズムを回避することで、VIGI カメラに対する完全な管理者権限を取得できる。
Continue reading “TP-Link VIGI 製品群の脆弱性 CVE-2026-0629 が FIX:パスワード回復処理を介した認証バイパス”Apache Airflow Vulnerabilities Enables Expose of Sensitive Data
2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。
Continue reading “Apache Airflow の脆弱性 CVE-2025-68675/68438 が FIX:機密情報漏洩の恐れ”OPNsense 25.7.11 Enhances Network Visibility With Host Discovery Feature
2025/01/20 gbhackers — 2026年1月に、OPNsense チームはバージョン 25.7.11 をリリースした。このリリースでは、ファイアウォール全体にわたる接続デバイスの可視性が高められている。また、ポリシー制御を強化する注目すべきネットワーク機能強化として、ネットワーク可視性を向上させるネイティブ・ホスト検出サービスが追加された。このバージョン 25.7.11 における目玉機能は、”hostwatch” コンポーネントを基盤とした新しいホスト検出サービスである。
Continue reading “OPNsense 25.7.11 がリリース:接続デバイスとネットワークに対する可視性が向上”Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host
2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。
Continue reading “Cloudflare のゼロデイ脆弱性が FIX:WAF 回避によるオリジン・サーバへの直接アクセス”Apache bRPC Vulnerability Enables Remote Command Injection
2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。
Continue reading “Apache bRPC の脆弱性 CVE-2025-60021 が FIX:リモート・コマンド・インジェクションの可能性”PDFSIDER Malware Actively Exploited to Evade Antivirus and EDR Defenses
2026/01/19 gbhackers — DLL サイドローディングを介して、Endpoint Detection and Response (EDR) システムを回避する、高度なバックドア型マルウェア亜種 PDFSIDER を、Resecurity のセキュリティ研究者たちが特定した。この脅威が示唆するのは、高度持続的脅威 (APT:Advanced Persistent Threat) のテクニックであり、回避メカニズムと暗号化された C2 (Command and Control) を組み合わせることで、侵害したシステムに対する秘匿的なアクセスを維持するものだ。
Continue reading “PDFSIDER マルウェアの積極的に悪用を確認:DLL サイドローディングによる EDR 回避”New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released
2026/01/19 CyberSecurityNews — Windows Kerberos 認証に存在する深刻な脆弱性 CVE-2026-20929 により、Active Directory 環境における資格情報リレー攻撃にさらされる領域が大幅に拡大している。Windows クライアントが Kerberos サービス・チケットをリクエストするときの、DNS CNAME レスポンス処理の方法を悪用する攻撃者は、自身が制御するサービス向けのチケット・リクエストをシステムに対して強制し、従来の防御策を回避することが可能になる。
Continue reading “Windows Kerberos リレー攻撃の危険性:DNS CNAME ポイズニングの PoC エクスプロイトが登場”Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks
2026/01/19 CyberSecurityNews — Livewire Filemanager で発見されたのは、Laravel Web アプリケーションで利用されるファイル管理コンポーネントに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2025-14894 である。この脆弱性は、脆弱性ノート VU#650657 が割り当てられており、未認証の攻撃者に対して脆弱なサーバ上での任意のコード実行を許すものである。
Continue reading “Livewire Filemanager の脆弱性 CVE-2025-14894:Web アプリへの RCE 攻撃の恐れ”Google Gemini AI Tricked Into Leaking Calendar Data via Meeting Invites
2026/01/19 hackread — 生活を便利にするために設計された AI アシスタントであるが、新たな調査により明らかになったのは、単純なミーティングの招待でさえトロイの木馬として悪用されるリスクである。Google Gemini が Google Calendar と連携する仕組みに存在する深刻な欠陥が、Miggo Security の研究者により判明した。この欠陥を悪用する攻撃者は、通常に見える招待を送信するだけで AI を巧妙に欺き、ユーザーの個人データを窃取することが可能となる。
Continue reading “Google Gemini の深刻な欠陥:間接プロンプト・インジェクションによる Calendar データ漏洩”CrashFix – Hackers Using Malicious Extensions to Display Fake Browser Warnings
2026/01/19 CyberSecurityNews — サイバーセキュリティ研究者が発見したのは、異例ではあるが効果的な戦術を用いる高度なマルウェア・キャンペーンである。このキャンペーンは、ユーザーのブラウザを意図的にクラッシュさせる手法を中核としている。この脅威は CrashFix と命名されており、正規の広告ブロッカー NexShield を装った悪意の Chrome エクステンションを通じて配布されている。ユーザーがオンラインでプライバシー・ツールを検索すると、悪意の広告により、Chrome Web Store 上で信頼できそうに見えるエクステンションのダウンロードへと誘導される。
Continue reading “CrashFix マルウェア・キャンペーン:悪意のエクステンションによる偽ブラウザ警告表示の手法”New “BodySnatcher” Flaw Allows Full ServiceNow User Impersonation
2026/01/19 gbhackers — ServiceNow の Virtual Agent API/Now Assist AI Agents に存在する深刻な脆弱性 CVE-2025-12420 の追跡調査が進められている。セキュリティ研究者により公表されたこの脆弱性は BodySnatcher と命名されており、未認証の攻撃者がメールアドレスのみを使用して任意の ServiceNow ユーザーになりすますことを可能にする。その結果、多要素認証 (MFA)/シングルサインオン (SSO) の制御が回避され、特権を持つ AI ワークフローの実行/バックドア管理者アカウントの作成が可能となる。
Continue reading “ServiceNow の脆弱性 CVE-2025-12420 を解析:Agent コンフィグの不備による SSO 回避”Five Chrome Extensions Used to Hijack Enterprise HR and ERP Systems
2026/01/19 gbhackers — Socket の Threat Research Team は、Workday/NetSuite/SAP SuccessFactors などのエンタープライズ向け HR/ERP プラットフォームを標的とする、組織的かつ連携型の Chrome エクステンションを用いた一連の攻撃活動を発見した。確認された 5 件の悪意のエクステンションは、合計で 2,300 回以上インストールされており、相互に連携することでセッション・トークンの窃取/セキュリティ制御の遮断/セッション・ハイジャックを通じた完全なアカウントの乗っ取りを可能にしている。
Continue reading “Chrome 侵害キャンペーン:複数の悪意の Extension で持続的な連携攻撃を展開”Security Bug in StealC Malware Panel Let Researchers Spy on Threat Actor Operations
2026/01/19 TheHackerNews — 情報窃取マルウェア StealC の運用者が使用する Web ベース管理パネルに、クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、サイバーセキュリティ研究者たちが明らかにした。この脆弱性を通じて研究者たちは、StealC を運用する脅威アクターの活動に関する重要な情報を収集できた。先週公開されたレポートにおいて CyberArk の研究者 Ari Novick は、「この脆弱性を活用することで、StealC システムのフィンガープリントを収集し、アクティブなセッションを監視し、さらに情報窃取を目的として設計された悪意のインフラから、脅威アクター自身の Cookie を窃取することに成功した」と述べている。
Continue reading “StealC マルウェア管理パネルに XSS の脆弱性:脅威アクターの活動が解析可能に”Windows SMB Client Vulnerability Enables Attacker to Own Active Directory
2025/01/19 CyberSecurityNews — Windows SMB クライアント認証における深刻な脆弱性を介したNTLM リフレクションの悪用により、Active Directory 環境が侵害される可能性がある。この脆弱性 CVE-2025-33073 は不適切なアクセス制御に分類され、ネットワーク接続上で精巧に構成された認証リレー攻撃を用いる認可済みの攻撃者に対して、権限昇格を許す可能性がある。2025年6月のセキュリティパッチ公開から、すでに 7ヶ月が経過しているが、エンタープライズ・インフラ全体で適用が進んでいない状況が確認されている。
Continue reading “Windows SMB の脆弱性 CVE-2025-33073:認証リレー攻撃による Active Directory 侵害の可能性”JFrog Researchers Uncover RCE Exploit for Existing Redis Database Vulnerability
2026/01/17 SecurityBoulevard — 今週、Redis データベースに存在する脆弱性 CVE-2025-62507 の分析結果が公開された。この脆弱性に対するリモートコード実行 (RCE) エクスプロイトへの経路が発見され、当初の想定よりも深刻である可能性が示されている。複数の ID を指定して XACKDEL コマンドを実行することでスタック・オーバーフローが引き起こされ、結果としてリモートコード実行 (RCE) に至る可能性があることが、JFrog の研究者たちにより明らかにされた。
Continue reading “Redis の脆弱性 CVE-2025-62507:RCE エクスプロイトの可能性を JFrog が実証”Mandiant Releases Rainbow Tables Enabling NTLMv1 Admin Password Hacking
2026/01/17 CyberSecurityNews — Google 傘下の Mandiant が公開したのは、Net-NTLMv1 向けの包括的な Rainbow Table データセットである。それにより、レガシー認証プロトコルが抱えるセキュリティ・リスクの実証が大幅に推進されることになる。このデータセットにより Mandiant が強調するのは、Net-NTLMv1 から直ちに移行する必要があるという、ユーザー組織に対する緊急のメッセージである。Net-NTLMv1 は、1999 年の時点で暗号学的に破られており、遅くとも 2012 年からは安全でないことが広く知られている、非推奨のプロトコルである。
Continue reading “NTLMv1 Admin パスワード・ハッキング:Mandiant の Rainbow Table による検証が不可欠”Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover
2026/01/17 gbhackers —Meta の Conversions API Gateway に存在する、2 件の深刻なクロスサイト・スクリプティング (XSS) 脆弱性がセキュリティ研究者たちにより発見された。これらの欠陥を悪用する攻撃者は、ユーザー操作を一切必要とせずに Facebook アカウントの大規模な乗っ取りが可能となる。この脆弱性は、Meta 管理下ドメインである “facebook.com” や “meta.com” に影響するだけではなく、オープンソースの Gateway インフラをデプロイしている、最大 1 億件とも言われるサードパーティ環境にも波及する可能性がある。
Continue reading “Meta Conversions API Gateway における 2 件の深刻な脆弱性:アカウント乗っ取りの可能性”Google’s Vertex AI Vulnerability Enables Low-Privileged Users to Gain Service Agent Roles
2026/01/17 CyberSecurityNews — Google Vertex AI のデフォルト・コンフィグには、低権限ユーザーが Service Agent ロールを乗っ取ることで権限昇格を可能にしてしまう問題が存在する。XM Cyber の研究者により、Vertex AI Agent Engine/Ray on Vertex AI における 2 つの攻撃ベクターが特定されているが、Google はこれらを「想定された動作 (Working as Intended)」と位置付けており、防御責任はユーザー側にあるとの見解を示している。
Continue reading “Google Vertex AI デフォルト・コンフィグによるセキュリティ・リスク:Service Agent ロールの不正取得”GhostPoster Browser Malware Hid for 5 Years With 840,000 Installs
2026/01/16 hackread — 単一のブラウザ・エクステンションにおけるインシデントとして始まった事象は、多くのユーザーが予期しない大規模なサイバーセキュリティ上の懸念へと発展している。2025年12月に Koi Security が公開した分析結果によると、GhostPoster と名付けられた Firefox エクステンションは、ブラウザ・エクステンションの審査担当者が通常確認する警告サインを回避する悪意ある手法を採用していたことが明らかになった。
Continue reading “GhostPoster エクステンションの長期潜伏キャンペーン:840,000 件のブラウザ・マルウェアを検出”Actively exploited critical flaw in Modular DS WordPress plugin enables admin takeover
2026/01/16 SecurityAffairs — WordPress の Modular DS WordPress プラグインに存在する深刻な脆弱性 CVE-2026-23550 (CVSS 10) が、脅威アクターにより積極的に悪用されている。この脆弱性はバージョン 2.5.1 以下に影響し、認証チェックをバイパスして管理者として自動ログインすることを可能にするものである。これにより、攻撃者は Web サイトの完全な制御権を掌握できる。
Continue reading “Modular DS WordPress プラグインの脆弱性 CVE-2026-23550 が FIX:積極的な悪用を確認”Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild
2026/01/16 CyberSecurityNews — Cisco が認めたのは、Secure Email Gateway/Secure Email and Web Manager アプライアンスにおける深刻なゼロデイ・リモートコード実行の脆弱性が、実環境で悪用されている状況である。この脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者は、スパム隔離機能に対する細工された HTTP リクエストを介して、ルート権限での任意のコマンド実行を可能にする。
Continue reading “Cisco Email Gateway の脆弱性 CVE-2025-20393:APT による積極的な悪用を観測”Go 1.26 Released With Fixes for Multiple Vulnerabilities Causing Memory Exhaustion
2026/01/16 gbhackers — Go 開発チームが公表したのは、サービス拒否攻撃/任意のコード実行/不正なセッション再開を引き起こす可能性のある、6件の深刻なセキュリティ脆弱性を修正するバージョン 1.25.6/1.24.12 のリリースである。これらのマイナー・アップデートは Go セキュリティ・ポリシーに準拠しており、暗号化/ネットワーク/ツールチェーンといったコア・コンポーネント全体をカバーする重要な強化が含まれている。
Continue reading “Go 1.25.6 がリリース:メモリ枯渇/不適切なセッション管理/認証バイパスの問題などに対処”Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account
2026/01/15 CyberSecurityNews — Cal.com のスケジュール管理プラットフォームに、深刻な認証バイパスの脆弱性が発見された。この脆弱性 CVE-2026-23478 を悪用する攻撃者は、NextAuth JWT コールバック機構の欠陥を悪用することで、任意のユーザー・アカウントを乗っ取ることが可能になる。この脆弱性は、バージョン 3.1.6 〜 6.0.7 未満に影響を及ぼし、バージョン 6.0.7 以降で修正されている。
Continue reading “Cal.com の脆弱性 CVE-2026-23478 が FIX:認証バイパスと任意のユーザー・アカウント乗っ取り”HPE Aruba Vulnerabilities Enables Unauthorized Access To Sensitive Information
2026/01/15 gbhackers — HPE が公表したのは、HPE Aruba Networking Instant On デバイスに存在する複数の深刻な脆弱性に対するセキュリティ・パッチのリリースである。これらの脆弱性を悪用するリモート攻撃者は、内部 VLAN コンフィグ・データの窃取/ワイヤレス・ネットワークの妨害/機密ネットワーク情報の不正取得を行う可能性がある。一連の脆弱性が影響を及ぼす範囲は、Instant On アクセス・ポイントおよび 1930 スイッチのソフトウェア・バージョン 3.3.1.0 以下であり、修正はバージョン 3.3.2.0 以降で提供されている。
Continue reading “HPE Aruba Instant On の複数の脆弱性が FIX:機密情報の不正取得や DoS 攻撃の恐れ”Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks
2026/01/15 CyberSecurityNews — Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が、現在も実環境で積極的に悪用されていることが、Defused によるハニーポット展開の結果として確認された。この脆弱性が未認証のリモート攻撃者に悪用された場合には、深刻な OS コマンド・インジェクションにより、認証不要のリモート・コード実行 (RCE) を許す恐れがあるため、企業のセキュリティ監視基盤に深刻なリスクが生じている。
Continue reading “Fortinet FortiSIEM の RCE 脆弱性 CVE-2025-64155 が FIX:PoC の公開と積極的な悪用”
IoT OT Security News 
You must be logged in to post a comment.