Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws
2026/06/09 BleepingComputer — Microsoft の 2026年06月 Patch Tuesday では、200 件の脆弱性に対するセキュリティ更新が提供されたが、そのうちの 3 件は、すでに情報が公開済みのゼロデイ脆弱性である。また、今回の Patch Tuesday では、Critical に分類される脆弱性が 33 件修正されているが、その内訳はリモートコード実行 28 件/権限昇格 4 件/情報漏洩 1 件となる。
Continue reading “Microsoft 2026-06 月例アップデート:Critical 4 件を含む 200 件の脆弱性に対応”Check Point VPN 0-day Vulnerability Exploited in the Wild to Deploy Ransomware
2026/06/08 CyberSecurityNews — Check Point Research が認めたのは、同社の Remote Access VPN および Mobile Access 環境に存在する深刻な認証バイパスの脆弱性 CVE-2026-50751 (CVSS:9.3) が実環境で悪用されていることである。また、侵害後の攻撃活動が Qilin ランサムウェア・グループと関連していることも明らかになった。
Continue reading “Check Point VPN のゼロデイ脆弱性 CVE-2026-50751:ランサムウェア攻撃を確認”Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts
2026/06/08 gbhackers — VMware は VMware Cloud Foundation (VCF) Operations に影響を及ぼす、複数の深刻な蓄積型クロスサイト・スクリプティング (XSS) 脆弱性を公表した。これらの欠陥を突く攻撃者は、悪意のスクリプトを注入し、管理環境を侵害する可能性がある。これらの脆弱性 CVE-2026-41722/CVE-2026-41723/CVE-2026-41724 は、2026年6月8日にアドバイザリ VMSA-2026-0004 として公開されている。一連の脆弱性の CVSS v3 基本スコアは 8.0 であり、企業環境において高いリスクをもたらすことを示している。
Continue reading “VMware VCF Operations の脆弱性 CVE-2026-41722/41723/41724 が FIX:深刻な蓄積型 XSS”New Linux Kernel Vulnerability Lets Attackers Escalate Privileges to Root
2026/06/08 CyberSecurityNews — Linux Kernel の nftables サブシステムにおける、解放後メモリ使用 (use-after-free) 脆弱性 CVE-2026-23111 に対するエクスプロイトが公表された。それにより、この脆弱性を悪用する権限を持たないローカル攻撃者は、root 権限への昇格が容易になる。影響を受けるディストリビューションとしては、Debian Bookworm/Debian Trixie/Ubuntu 22.04 LTS/Ubuntu 24.04 LTS などが挙げられる。脆弱性 CVE-2026-23111 は 2025 年初頭に発見され、2026年2月5日に Kernel コミットを通じてアップストリーム修正された。
Continue reading “Linux カーネルの新たな脆弱性 CVE-2026-23111 が FIX:root 権限昇格エクスプロイトが公開”New ChatGPT Lockdown Mode to Mitigate Prompt Injection and Data Exfiltration Attacks
2026/06/08 CyberSecurityNews — OpenAI は ChatGPT Lockdown Mode をリリースした。それにより、アウトバウンド・ネットワーク・アクセスを制限し、プロンプト・インジェクション攻撃によるデータ流出リスクの低減を目的とする、新しいセキュリティ機能が提供された。この機能の対象となるのは、個人用のアカウント/セルフサービス型 ChatGPT Business ユーザー/管理されたエンタープライズ・ワークスペースとなる。
Continue reading “ChatGPT Lockdown Mode:プロンプト・インジェクションによるデータ流出リスクを低減”Microsoft Warns Claude Code GitHub Action May Expose CI/CD Secrets
2026/06/08 gbhackers — Anthropic の Claude Code GitHub Action の欠陥により、AI エージェントが未信頼の GitHub コンテンツを処理する際に、CI/CD ワークフローのシークレットが意図せずに露出する可能性がある。このリスクは、エージェントがファイル読取に使用する一部のツールが、Bash のようなサブプロセス実行パスとは異なりサンドボックス化されていないことに起因する。特に Read ツールは “/proc/self/environ” へのアクセスが可能であるため、ANTHROPIC_API_KEY などを含む環境変数や、ランナー上で利用可能な認証情報を返す状態になっていた。
Critical Redis Vulnerability Could Let Attackers Execute Code and Hijack Servers
2026/06/08 gbhackers — Redis で発見された深刻な脆弱性 CVE-2026-23631 に、DarkReplica という名称が付けられた。この脆弱性を悪用する攻撃者は、レプリケーション・サブシステムにおける複雑な解放後メモリ使用 (use-after-free) 条件を操作することで、認証済み環境に対するリモート・コード実行 (RCE) を可能にする。
OWASP CVE Lite CLI – New Tool to Scan for Vulnerabilities in Your Projects
2026/06/06 CyberSecurityNews — OWASP Incubator Project として正式に認定された CVE Lite CLI は、開発者の端末上で依存関係セキュリティを実現するために設計された、オープンソースの無料脆弱性スキャナである。OWASP Top 10 を策定した同組織の支援を受け、Sonu Kapoor によりメンテナンスされる CVE Lite CLI は、開発者のセキュリティ・ワークフローにおける長年の課題である「高速で実行できるローカル・ファーストの修復ガイダンスの欠如」に対応するものだ。
CISA Alerts on Actively Exploited SolarWinds Serv-U Denial-of-Service Flaw
2026/06/06 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SolarWinds の Serv-U に存在する深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。この脆弱性 CVE-2026-28318 を悪用する未認証のリモート攻撃者は、ファイル転送サービスをクラッシュさせることが可能である。すでに、実環境で悪用が確認されており、インターネットに公開された Serv-U インスタンスを運用する企業ネットワークに深刻なリスクが生じている。
Continue reading “CISA KEV 警告 26/06/05:SolarWinds Serv-U の脆弱性 CVE-2026-28318 を追加”Report: Anthropic Deploys Engineers to Support NSA Use of Mythos
2026/06/06 SecurityAffairs — 今週、Financial Times が報じたのは、Anthropic の 6名のフォワード・デプロイ・エンジニアが National Security Agency (NSA) に配置され、同機関による攻撃的な運用において、高性能モデル Mythos を活用できるよう支援するという内容である。この取り決めに詳しい 2 名の関係者によると、中国やイランなどの国々のネットワークへの侵入に有用であるという。ただし、これらのエンジニアが、実際の作戦に関与しているのか、あるいは、カスタマイズやセットアップのみを担当しているのかは不明である。
Continue reading “Anthropic が NSA に Mythos 専任エンジニアを派遣:攻撃的サイバー運用支援が浮上”AI Agent Uncovers 21 Zero-Days in FFmpeg; Chrome Patches Record 429 Bugs
2026/06/06 TheHackerNews — 今週、わずか数日の間に 2 つの出来事が相次いだ。大半の動画関連システムに組み込まれているメディア・ライブラリ FFmpeg において、これまで知られていなかった 21 件の脆弱性を、あるセキュリティ系スタートアップ企業が報告した。これらの脆弱性は、自律型 AI エージェントにより発見されたものである。 その一方で Google は、429 件のセキュリティ・バグに対する修正を含む Chrome 149 をリリースした。これは、単一リリースとして過去最多の脆弱性件数である。
Continue reading “AI が主導する脆弱性発見の現場:FFmpeg の 21 件と Chrome の 429 件が意味するものは?”Hugging Face Transformers Security Flaw Allows Remote Code Execution
2026/06/05 gbhackers — Hugging Face の Transformers ライブラリに存在する深刻なセキュリティ脆弱性 CVE-2026-4372 を悪用する攻撃者は、悪意のモデル・コンフィグを通じて、数百万規模の機械学習ワークフローを秘密裏にリモート・コード実行 (RCE) のリスクにさらす可能性がある。この脆弱性を悪用する攻撃者は、trust_remote_code=True の設定や明示的なユーザー操作を必要とせずに、標準の from_pretrained() API を介して細工されたモデルを読み込ませるだけで、被害者のシステム上で任意のコードを実行できる。この問題は、セキュリティ企業の研究者 Yotam Perkal により発見された。
Continue reading “Hugging Face Transformers の脆弱性 CVE-2026-4372 が FIX:悪意のモデル読み込みと RCE”Cisco SD-WAN Vulnerability Exploited in the Wild to Execute Arbitrary Commands as Root User
2026/06/05 CyberSecurityNews — Cisco が公開したのは、Catalyst SD-WAN Manager のコマンドライン・インターフェイスにおける、入力検証不備の脆弱性 CVE-2026-20245 (CVSS 7.8) である。この脆弱性は既に実環境で悪用されており、root 権限での任意のコマンド実行を攻撃者に許すものである。
Continue reading “Cisco SD-WAN の脆弱性 CVE-2026-20245:パッチ未提供の状況での悪用の確認”CISA Issues Alert on Actively Exploited Linux Kernel Security Flaw
2026/06/05 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux カーネルの脆弱性 CVE-2022-0492 が実環境で積極的に悪用されているとして、Known Exploited Vulnerabilities (KEV) カタログに登録した。この脆弱性は、不適切な認証の問題として分類されるものであり、cgroups v1 の release_agent 機能を使用する Linux システムに影響し、侵害した環境内での権限昇格を許す。
Continue reading “CISA KEV 警告 26/06/02:Linux Kernel の脆弱性 CVE-2022-0492 を登録”Microsoft Edge Vulnerability Allows Remote Attackers to Execute Arbitrary Code
2026/06/05 CyberSecurityNews — Microsoft が公表したのは、脆弱なシステム上での任意のコード実行を攻撃者に許す、Edge に存在する深刻な脆弱性に対するセキュリティアップデートである。ただし、この脆弱性 CVE-2026-45495 (CVSSv3 7.5) の悪用の前提として、悪意の Web ページの閲覧や細工されたファイルの開封といった、ユーザー操作が必要である。
Continue reading “Microsoft Edge の脆弱性 CVE-2026-45495 が FIX:任意のコード実行の可能性”Zero-Click Agentic AI Attack Bypasses Human Oversight
2026/06/05 gbhackers — 2026年4月に公開された Microsoft の Taxonomy of Failure Modes in Agentic AI Systems v2.0 は、実環境での 1年間のレッドチーム活動に基づくものであり、単なる分類更新に留まらず、運用指針を提供するものである。これらの活動により明らかになったのは、従来の脅威サーフェスを影響力の高い攻撃ベクターへと、自律型 AI システムが速やかに変換していく様子である。
Continue reading “Microsoft の AI ホワイトペーパー:ゼロクリック HitL バイパス成立の要因を説明”Dashlane Reveals How Hackers Downloaded Encrypted Password Vaults
2026/06/05 gbhackers — Dashlane は最近のセキュリティ調査結果を公表し、デバイス登録システムに対する標的型ブルートフォース攻撃により、限定的なユーザーが影響を受けたことを確認した。同社は、内部インフラは侵害されず、影響がごく一部のアカウントに限定されていることを強調した。
Continue reading “Dashlane ブルートフォース攻撃の詳細:認証情報を守った強力な暗号化スタック”Fake Claude Code Installer Via Google Sites Delivers Credential-Stealing Malware
2026/06/04 CyberSecurityNews — サイバー犯罪者は、AI 開発ツールの普及拡大を悪用する、新たな巧妙な手法を見出した。Claude Code および OpenAI Codex を模倣した偽ページを、信頼された Google Sites インフラ上でホストしてユーザーにコマンドを実行させることで、認証情報や機密性の高い個人データを密かに窃取するというキャンペーンが確認された。
Continue reading “偽の Claude Code インストーラー:正規の Google Sites から巧妙な ClickFix を仕掛ける”PoC Exploit Released for Cisco Unified Communications Manager Security Vulnerability
2026/06/04 gbhackers — Cisco の Unified Communications Manager (Unified CM) および Unified CM Session Management Edition (Unified CM SME) に影響を及ぼす深刻なサーバサイド・リクエスト・フォージェリ (SSRF) 脆弱性 CVE-2026-20230 に対して、Proof-of-Concept (PoC) エクスプロイトが公開された。これにより、エンタープライズ環境における悪用リスクが大幅に高まっている。
Continue reading “Cisco Unified CM の脆弱性 CVE-2026-20230 が FIX:SSRF と root 権限昇格”Anxious Security Pros Watch as Anthropic, OpenAI Expand Access to Frontier AI Models
2026/06/03 SecurityBoulevard — Anthropic/OpenAI のフロンティア AI モデルが、サイバー・セキュリティ分野に大きな影響を与え続け、世界中の組織へのアクセス拡大を進める一方で、米国ホワイトハウスはこれらに対する監督強化を模索している。こうした動きは、2026年4月に Anthropic が公開した Claude Mythos Preview モデルにより生じた不安を反映している。このモデルは、ソフトウェア脆弱性を検出/特定するだけではなく、それらに対するエクスプロイトを迅速に生成する能力を示した。
Continue reading “Anthropic と OpenAI が拡大するフロンティア AI へのアクセス:専門家たちが懸念する問題点とは?”Critical Apache ActiveMQ Vulnerability Exposes Systems to Security Header Injection Attacks
2026/06/03 gbhackers — Apache が公表したのは、ActiveMQ の HTTP レスポンスヘッダ・インジェクションの脆弱性 CVE-2026-42253 と、Jolokia の認可不備による権限誤用の脆弱性 CVE-2026-49157 である。これらの脆弱性は、Apache ActiveMQ/ActiveMQ Web コンポーネントに影響するものであり、いずれも Important と評価されている。ユーザーに対して強く推奨されるのは、速やかなパッチの適用である。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2026-42253/49157 が FIX:セキュリティ・メカニズム回避の恐れ”WordPress Plugin Vulnerability Exposes 500,000+ Websites to Privilege Escalation Attacks
2026/06/03 CyberSecurityNews — 広く使用されている Kirki WordPress プラグインに存在するセキュリティ脆弱性 CVE-2026-8206 (CVSS 9.8) により、50万以上の Web サイトがアカウント乗っ取り攻撃のリスクにさらされている。研究者によると、Kirki プラグインのバージョン 6.0.0 〜 6.0.6 に影響を及ぼすものであり、現在も多くのサイトが脆弱な状態にあるという。この脆弱性を悪用する未認証の攻撃者は、欠陥のあるパスワード・リセット機能を介して権限昇格を行い、最終的に管理者アカウントの完全な侵害に至る。
Continue reading “Kirki WordPress プラグインの脆弱性 CVE-2026-8206 が FIX:Web サイト乗っ取りの恐れ”Ivanti ITSM Flaw Could Allow Attackers to Escalate to Admin Access
2026/06/03 gbhackers — Ivanti が公開したのは、同社の Ivanti Neurons for ITSM プラットフォームに存在する深刻な脆弱性 CVE-2026-9614 (CVSS 8.8) に対処するパッチである。この脆弱性は、不適切なアクセス制御 (CWE-284) に分類され、クラウド環境とオンプレミス環境の双方に影響を及ぼす。
Continue reading “Ivanti Neurons for ITSM の脆弱性 CVE-2026-9614 が FIX:管理者権限奪取の可能性”New Google Gemini Vulnerability Exploited via Prompt Injections from WhatsApp, Slack, and SMS
2026/06/03 CyberSecurityNews — Google Gemini の音声アシスタントを標的とする、新たな間接プロンプト・インジェクション (IPI) 攻撃クラスが発見された。WhatsApp/Slack/Signal/SMS/Instagram/Messenger などの、日常的なメッセージング・アプリを通じて配信される悪意のペイロードにより、AI が密かに乗っ取られる可能性がある。
Continue reading “Google Gemini の間接プロンプト・インジェクション:Slack/SMS などからペイロードを配信”38% of GitHub Actions Workflows Exposed to Script Injection Risks
2026/06/03 gbhackers — GitHub Actions ワークフローを使用するユーザー組織の 38% が、スクリプト・インジェクションまたは不正なトリガー・コンフィグに対して脆弱であることが、Datadog の分析により判明した。それが浮き彫りにするのは、現代のソフトウェア・サプライチェーンにおいてリスクが増大している現状である。GitHub は、YAML で定義されたワークフローと再利用可能なアクションを通じて、ビルド/テスト/デプロイを自動化する開発パイプラインの中核を担っている。
Continue reading “GitHub Actions ワークフローの問題:38% のユーザー組織にスクリプト・インジェクションの可能性”Windows Search URI Handler Flaw Leaks NTLMv2 Hashes to Attacker-Controlled Servers
2026/06/03 CyberSecurityNews — Windows の “search URI” ハンドラーで発見された脆弱性 CVE-N/A により、攻撃者が用意したサーバへ向けて NTLMv2 ハッシュが漏洩する可能性がある。この挙動は、Snipping Tool の CVE-2026-33829 と同一クラスのバグであり、ユーザーによる 1 回のリンク・クリックで発生するものであるが、Microsoft は CVE 割り当ても修正も行っていない。
Continue reading “Windows の NTLMv2 ハッシュ漏洩の脆弱性 CVE-N/A:Huntress がエクスプロイトを確認”50+ Malicious Chrome Extensions Hit 30K Users
2026/06/03 gbhackers — ライブ壁紙ユーティリティを装う、50 件以上の悪意の Chrome エクステンションが検出された。それらは、ブラウザ挙動を乗っ取り、約 30,000 人のユーザーに対してリモート HTML コンテンツを密かに配信する、アドウェア運用を行っていたことが判明した。これらのエクステンションは、少なくとも 3 つの発行者アカウントを通じて配布され、Chrome Web Store およびサードパーティのダウンロード・ポータルで、アニメーション壁紙やビジュアル・タブページとして提供されていた。
Continue reading “悪意の Chrome エクステンション 50件以上を検出:Chrome Web Store 審査を巧妙に回避”1-Click GitHub Token Vulnerability Lets Attackers Steal Users’ OAuth Tokens
2026/06/03 CyberSecurityNews — Visual Studio Code の WebView 実装に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、被害者に悪意のリンクを 1-Click させるだけで、GitHub OAuth トークンの窃取および、非公開リポジトリの Read/Write 権限を取得する可能性がある。 このバグは、2026年6月2日に、セキュリティ研究者 Ammar Askar により公表された。同氏は、Microsoft Security Response Center (MSRC) の過去の対応に対する不満や不愉快な経験を理由に、完全公開を選択した。
Continue reading “Visual Studio Code の脆弱性 CVE-N/A:1-Click で GitHub OAuth トークンを窃取”Laravel CRLF Injection Flaw Could Disrupt Outbound Email Handling
2026/06/03 gbhackers — Laravel フレームワークに存在する、深刻な脆弱性 CVE-2026-48019 を悪用する攻撃者が送信メール処理を操作することで、不正なメッセージ送信/データ漏洩/メールリレーの悪用につながる可能性がある。この脆弱性は、Laravel のデフォルトのメール検証ロジックにおける CRLF (Carriage Return Line Feed) シーケンスの、不十分なサニタイズに起因するものである。
Continue reading “Laravel の脆弱性 CVE-2026-48019 が FIX:CRLF インジェクションと機密性/完全性への影響”Anthropic Expands Project Glasswing Claude Mythos Preview to 150 New Organizations
2026/06/02 CyberSecurityNews — Anthropic は、AI を活用するサイバーセキュリティ・イニシアチブ Project Glasswing の対象範囲を大幅に拡大し、Claude Mythos Preview へのアクセスを約 150 の新規組織に提供した。今回の拡大は、既存パートナー/オープンソースソフトウェアのメンテナー/セキュリティ業界全体/米国政府などとの、数週間にわたる緊密な協力を経て実現したものである。
Continue reading “Anthropic が Project Glasswing を拡大:Claude Mythos Preview を 150 組織へ提供”CISA Issues Alert on Oracle WebLogic Server Flaw Under Active Exploitation
2026/06/02 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle WebLogic Server の深刻な脆弱性 CVE-2024-21182 を Known Exploited Vulnerabilities (KEV) カタログに追加し、この脆弱性が実環境で活発に悪用されていると警告した。この警告は 2026年6月1日に公開され、エンタープライズ・アプリケーションで Oracle WebLogic を利用する組織にリスクが迫っていると強調している。
Continue reading “CISA KEV 警告 26/06/01:Oracle WebLogic Server の脆弱性 CVE-2024-21182 を登録”Dashlane Password Manager User Accounts Locked Following Brute-Force Attacks
2026/06/02 CyberSecurityNews — Dashlane は、2026年5月31日から始まった大規模なブルートフォース攻撃に関連するセキュリティ・インシデントを公表した。同社によると、外部の脅威アクターが認証コードを繰り返し推測することで、2FA (二要素認証) 保護の回避を試み、被害者アカウントに不正デバイスを登録しようとした。
TP-Link Router Security Bug Enables Remote Command Execution Attacks
2026/06/02 gbhackers — TP-Link が公表したのは、Archer BE450/Archer BE7200 Wi-Fi ルーターにおける高深刻度のセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、管理者アクセスを取得した後に、リモートコマンドの実行が可能となる。この脆弱性 CVE-2026-5509 (CVSS:v4.0 8.5:High) は、一連のデバイスをコアゲートウェイとして利用する、家庭/小規模オフィス環境に対して深刻なリスクをもたらす。
Continue reading “TP-Link Router の脆弱性 CVE-2026-5509 が FIX:コマンド・インジェクションと管理者権限の奪取”Critical WP Maps Pro Vulnerability Allow Attackers to Create Administrator Account
2026/06/02 CyberSecurityNews — 人気の WordPress プラグインである、WP Maps Pro の深刻なセキュリティ脆弱性を悪用する攻撃者が、不正な管理者アカウントを作成し、影響を受ける Web サイトを完全に制御する可能性がある。この脆弱性 CVE-2026-8732 (CVSS 9.8) は、バージョン 6.1.0 以下のプラグインに影響を及ぼすものであり、WordPress エコシステム全体に深刻な懸念を引き起こしている。
Continue reading “WP Maps Pro プラグインの脆弱性 CVE-2026-8732 が FIX:管理者アカウントの作成とサイト乗っ取り”Red Hat Cloud Services npm Packages Hijacked in Credential-Theft Malware Campaign
2026/06/02 gbhackers — 大規模なソフトウェア・サプライチェーン攻撃により、@redhat-cloud-services スコープ配下の複数の公式 npm パッケージが侵害され、数千人の開発者および CI/CD 環境が認証情報窃取のリスクにさらされている。 Aikido のセキュリティ研究者は、2026年6月1日に 32 パッケージにわたり 96 の悪意あるバージョンが公開され、週間ダウンロード数の合計が 116,000 件を超えていることを確認した。
Continue reading “Red Hat Cloud Services の npm パッケージ侵害:認証情報窃取マルウェア・キャンペーンに注意”Critical StrongDM Vulnerability Allows Attackers to Steal and Reuse Authentication
2026/06/02 CyberSecurityNews — StrongDM のデスクトップ・アプリケーションにおいて、深刻な脆弱性 CVE-2026-4387 が発見された。この脆弱性を悪用する攻撃者は、ローカルに保存された認証情報を再利用することでユーザーセッションを乗っ取り、エンタープライズ・インフラの高機密性リソースを危険にさらす恐れがあることが明らかとなった。
Continue reading “StrongDM の脆弱性 CVE-2026-4387 が FIX:認証情報の窃取と不正アクセスの恐れ”Attackers Exploit Docker, Kubernetes Misconfigs to Breach Hosts
2026/06/01 gbhackers — Docker および Kubernetes 環境における、セキュリティ対策が不十分な API/ミスコンフィグ/脆弱な分離境界などを標的とする攻撃が強まり、ホスト・システムやクラスタ全体への侵害が増えている。現代のクラウド・インフラの基盤としてコンテナが用いられるにつれ、脅威アクターは従来のエンドポイントからコンテナ・エコシステムへと標的を移している。脅威アクターが標的とする単一の脆弱性や弱点が、大規模かつ重要なサービスを危険にさらし、深刻なサービス露出を引き起こす可能性がある。
Continue reading “Docker/Kubernetes 環境を狙う攻撃が増加:ミスコンフィグや API の弱点が侵入経路”Critical Magento Cache Plugin Vulnerability Enables Remote Code Execution Attacks
2026/06/01 gbhackers — Magento エクステンションに存在する深刻なセキュリティ脆弱性により、数千規模のオンラインストアがリモート・コード実行 (RCE) 攻撃の危険にさらされている。Magento および Adobe Commerce 向けのフルページ・キャッシュ・エクステンション Mirasvit Cache Warmer プラグインに存在する、認証不要の PHP オブジェクト・インジェクション脆弱性が、Sansec のセキュリティ研究者により特定された。この CVE-2026-45247 (CVSS 9.8) を悪用する未認証の攻撃者は、影響を受けるサーバ上で任意のコード実行を可能にする。
Continue reading “Magento エクステンションの脆弱性 CVE-2026-45247:デシリアライズによりリモート・コード実行が可能”IBM WebSphere Server Vulnerable to Remote Code Execution Attack Via Crafted Request
2026/06/01 CyberSecurityNews — IBM が公表したのは、WebSphere Application Server エコシステムに存在する、深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、細工された HTTP リクエストを通じて任意のコード実行を可能にする。この脆弱性 CVE-2026-8633 (CVSS 9.8) は、オプション・コンポーネントである Web Server Plug-ins を使用する環境に影響を及ぼすものであり、WebSphere インフラに依存するエンタープライズ環境のリスクを大幅に高める。
Continue reading “IBM WebSphere の脆弱性 CVE-2026-8633 が FIX:HTTP リクエストを介した RCE の可能性”Microsoft Tightens Entra ID Password Resets With New Authentication Change
2026/06/01 cybersecuritynews — Microsoft が発表したのは、Entra ID Self-Service Password Reset (SSPR) 機能に対する重要なセキュリティ・アップデートであり、より厳格な認証要件を導入することで、アイデンティティ・ベース攻撃の低減を目的とするものだ。このアップデートにより、明示的に登録された認証メソッドの使用が必須となるため、正式に検証されていないディレクトリ保存の連絡先情報への依存が排除される。
Continue reading “Microsoft Entra の強化:厳格な認証要件の導入による ID ベース攻撃の低減”Critical Plesk Vulnerability Lets Users Execute Server Commands
2026/06/01 gbhackers — Plesk で発見された深刻な脆弱性は、影響を受けるサーバ上の低権限のユーザーであっても悪用が可能であり、任意のコマンド実行に至ることが、研究者により確認されている。Plesk for Linux の脆弱性 CVE-2026-44962 は、APS アプリケーション・カタログの検索機能における不適切な入力処理に起因するものであり、GitHub Advisory Database での公開後にレビューが進められている。
Continue reading “Plesk for Linux の脆弱性 CVE-2026-44962 が FIX:任意のコマンド実行の恐れ”Google Chrome’s Device-Bound Session Credentials Now GA to Block Account Takeovers
2026/05/30 CyberSecurityNews — Google が発表したのは、Windows 版 Chrome の Device Bound Session Credentials (DBSC) を、一般提供へと正式に移行したことである。この対応は、最も執拗な脅威の一つとして、現代のサイバー・セキュリティに残存するセッション・クッキー窃取に対する強力な防御を実現するものだ。これまで、Google Workspace ユーザー向けにベータ版として提供されてきた DBSC だが、すべての Google Workspace 顧客/Workspace Individual サブスクライバー/個人の Google アカウント・ユーザーに対して、すでにデフォルトで有効化されている。
Continue reading “Google Chrome の DBSC が正式に提供開始:セッション・クッキー窃取対策を強化”Palo Alto PAN-OS Authentication Bypass Vulnerability Actively Exploited in the Wild
2026/05/30 gbhackers — Palo Alto Networks の PAN-OS および Prisma Access に影響する認証バイパスの深刻な脆弱性が、現実の攻撃において活発に悪用されている。この状況を受け、2026年5月29日に米国の Cybersecurity and Infrastructure Security Agency (CISA) が、脆弱性 CVE-2026-0257 を Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 26/05/29:Palo Alto PAN-OS の脆弱性 CVE-2026-0257 を追加”Microsoft Dispute with Security Researcher Escalates as Sides Trade Threats
2026/05/29 SecurityBoulevard — 今週になって、Nightmare-Eclipse というハンドルネームで知られるセキュリティ研究者と、Microsoft との対立が激化している。すでに Microsoft 傘下の GitHub では研究者のアカウントが停止され、数日後には GitLab からも排除されたほか、Microsoft はブログ記事で名指しで非難している。これに対し、Chaotic Eclipse としても知られる Nightmare-Eclipse は自身のブログで不満を表明し、過去において Microsoft に脆弱性を開示した際の対応について言及し、「7月14日には必ず痛い目を見せる」と強い警告を発している。
Continue reading “Microsoft と Nightmare-Eclipse の対立が激化:RedSun/BlueHammer 公開で波紋”7AI Launches Managed Security Service Based on AI SOC
2026/05/29 SecurityBoulevard —2026年5月に 7AI が発表した “PLAID Elite” は、エージェント型 AI (人工知能) フレームワークを用いることで、データが存在する場所で直接的に分析を実行するマネージド・セキュリティ・サービスである。このサービスを利用する組織は、データを事前に集約または一元化することなく、反復的なタスクの自動化や調査のために AI エージェントを活用できる。そのベースとなるのは、7AI が開発した SOC (Security Operation Center) プラットフォームである。
Continue reading “7AI が PLAID Elite を公開:SOC のための AI ベースのマネージド・セキュリティ・サービス”Oracle Critical Security Update – Patch for 35 New Vulnerabilities Across Products
2026/05/29 CyberSecurityNews — Oracle は、従来からの Critical Patch Update (CPU) を補完するものとして、Critical Security Patch Update (CSPU) を開始した。それにより、Oracle Database/REST Data Services/Communications Unified Assurance/E-Business Suite/Hospitality OPERA 5 などを含む主要製品ライン全体に存在する、深刻な脆弱性に対処する新たな修正が提供された。
Continue reading “Oracle のセキュリティ・プログラム CSPU がスタート:Database/ORDS/EBS などの大量の脆弱性が FIX”GitLab Patches Multiple Duo AI, DoS, and Authorisation Vulnerabilities
2026/05/29 gbhackers — GitLab は、パッチ・バージョン 19.0.1/18.11.4/18.10.7 をリリースし、GitLab CE/EE に影響する 7 件のセキュリティ問題を修正した。具体的な修正の対象は、Duo AI ワークフロー・ランナーのアクセス制御の不備および、Wiki のサービス運用妨害 (DoS)、GraphQL/Duo Workflows/Operations/Pipelines/認証エンドポイントにまたがる複数の認可不備などである。
Continue reading “GitLab の7 件の脆弱性が FIX:Duo AI ワークフローのアクセス制御不備などに対処”Google’s Defense Platform Leans on AI to Protect Against Fountier AI Threats
2026/05/28 securityboulevard — Anthropic のフロンティア AI モデル Claude Mythos Preview の台頭により、脆弱性が発見されてから攻撃者がエクスプロイトを投入するまでの時間が、急速に縮小していることが注目されている。こうしたモデルは、セキュリティ欠陥を迅速に発見し、それに対するエクスプロイトを高速に生成できる能力を備えている。
Continue reading “Google が防御プラットフォームに AI を活用:フロンティア AI による脅威への対策を推進”Google Patches 151 Vulnerabilities in Chrome, Including 22 Critical Ones
2026/05/28 CyberSecurityNews — Google は Chrome Stable の大規模アップデートを公開し、コアとなるグラフィックス/ネットワーク/メディア/UI コンポーネントに影響を与える 22 件の Critical 脆弱性を含む、合計 151 件のセキュリティ脆弱性を修正した。 Stable チャネルは、Windows 向けの 148.0.7778.216/217、macOS 向けの 148.0.7778.215/216、Linux 向けの 148.0.7778.215 が提供されており、今後の数日から数週間にわたり詳細情報が段階的に展開される予定である。
Samba Security Flaw Lets Attackers Execute Code Remotely
2026/05/28 gbhackers — Samba の印刷サブシステムに存在する、深刻なセキュリティ脆弱性の情報が公開された。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるサーバに対して任意のコード実行の可能性を得る。脆弱性 CVE-2026-4480 (CVSS 10.0) は、”print command” と “%J” 置換パラメータでコンフィグされた Samba プリント・サーバに影響を及ぼし、機密性/完全性/可用性に対して深刻な被害をもたらす恐れがある。
Continue reading “Samba の脆弱性 CVE-2026-4480 (CVSS 10.0) が FIX:リモート・コード実行の恐れ”
IoT OT Security News 
You must be logged in to post a comment.