Cal.com Broken Access Controls Lead to Account Takeover and Data Exposure
2026/01/28 gbhackers — オープンソースのスケジューリング・プラットフォームである Cal.com は、開発者フレンドリーな Calendly の代替として知られている。しかし、最近になって、ユーザー・アカウントおよび機密データを攻撃者に露出させる、一連の深刻な脆弱性が発生し修正された。これらの欠陥は、Gecko の AI セキュリティ・エンジニアにより、Cal.com Cloud において発見されたものである。この脆弱性を悪用する攻撃者は、任意のユーザーに対する完全なアカウント乗っ取りと、非公開ミーティングや参加者メタデータなどの、組織を横断する機密情報への不正アクセスを可能にしていた。
Continue reading “Cal.com のアクセス・コントロールの不備:Gecko の AI SAST エンジンが問題を検出”Google Warns of WinRAR Vulnerability Exploited to Gain Control Over Windows System
2026/01/28 CyberSecurityNews — Windows 環境で多用されるファイル圧縮ツールの一つである、WinRAR に存在する深刻なセキュリティ上の欠陥が、コンピュータ・システムへの不正アクセスを狙う攻撃者にとって格好の攻撃手段となっている。この脆弱性 CVE-2025-8088 を悪用する攻撃者は、ユーザーに知られることなく、機微なシステム・ディレクトリ上に、悪意のファイルを配置し得る。その結果として、Windows マシンの制御が攻撃者に奪取される可能性がある。
Continue reading “WinRAR の脆弱性 CVE-2025-8088:依然として悪用が止まらないと Google が警告”Chrome Security Update Fixes Critical Vulnerability in Background Fetch API
2026/01/28 gbhackers — Google が公開したのは、セキュリティ上のリスクをもたらす可能性のある、Background Fetch API の深刻な脆弱性 CVE-2026-1504 に対処する、デスクトップ向け Chrome Stable Channel のアップデートである。最新の Chrome バージョンは、Windows および macOS 向けが 144.0.7559.109/144.0.7559.110、Linux 向けが 144.0.7559.109 である。すでに段階的な配信が開始されており、今後の数日から数週間かけて提供されていく。
Continue reading “Chrome の脆弱性 CVE-2026-1504 が FIX:Background Fetch API の欠陥を修正”Critical OpenSSL Vulnerabilities Allow Remote Attackers to Execute Malicious Code
2026/01/28 CyberSecurityNews — 2026年1月27日に OpenSSL は、合計 12 件の脆弱性に対する修正を公開した。この中に含まれるものには、リモートコード実行につながる可能性のある深刻な欠陥がある。大半の問題は、サービス拒否 (DoS) を引き起こすものであるが、信頼されていないデータを解析する際のリスクを浮き彫りにしている。
Continue reading “OpenSSL の脆弱性 CVE-2025-15467 などが FIX:スタック・オーバーフローと RCE”Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected
2026/01/28 TheHackerNews — Fortinet が公表したのは、実環境で既に悪用が確認されている、FortiOS に影響を及ぼす深刻な脆弱性に対処するためのセキュリティ・アップデート提供の開始である。この脆弱性 CVE-2026-24858 (CVSS:9.4) は、FortiOS の Single Sign-On (SSO) に関連する認証バイパスの欠陥であり、FortiManager および FortiAnalyzer にも影響を及ぼす。FortiWeb や FortiSwitch Manager を含む他製品への影響についても、引き続き調査を進めていると、Fortinet は述べている。
Continue reading “FortiOS SSO の脆弱性 CVE-2026-24858 が FIX:悪用の確認と CISA KEV 登録”Attackers Hijack GitHub Desktop Repo to Spread Malware via Official Installer
2026/01/27 gbhackers — GitHub の fork アーキテクチャに内在する設計上の欠陥を悪用する脅威アクターが、正規の GitHub Desktop インストーラを装うマルウェアの配布を成功させている。この攻撃チェーンは、単純に見える極めて効果的な手法から始まる。攻撃者は使い捨ての GitHub アカウントを作成し、公式 GitHub Desktop リポジトリを fork する。その後に、README ファイル内のダウンロード・リンクを悪意のインストーラに差し替え、その変更を commit する。
Continue reading “GitHub Desktop マルウェア・キャンペーン:公式インストーラを装う狡猾な手口で拡散”Critical vm2 Flaw Lets Attackers Bypass Sandbox and Execute Arbitrary Code in Node.js
2026/01/27 gbhackers — vm2 JavaScript サンドボックス・ライブラリのバージョン 3.10.0 以下に、深刻な脆弱性 CVE-2026-22709 が存在することが判明した。この脆弱性を悪用する攻撃者は、サンドボックス保護を回避し、認証/ユーザー操作を一切必要とせず、完全なシステム権限で任意のコードを実行し得る。この欠陥は Promise コールバック関数の不適切なサニタイズ処理に起因するものだ。
Continue reading “vm2 JavaScript サンドボックスの脆弱性 CVE-2026-22709 が FIX:サニタイズ不備による RCE の恐れ”2026/01/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office/GNU InetUtils/SmarterTools SmarterMail/Linux Kernel に関する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。今回追加された脆弱性は、以下の通りである。
G_Wagon NPM Package Exploits Users to Steal Browser Credentials with Obfuscated Payload
2026/01/27 gbhackers — 正規の npm UI コンポーネント・ライブラリを装う、高度に洗練されたインフォスティーラー型マルウェアが、ansi-universal-ui パッケージを通じて開発者を標的としていることが判明した。このマルウェアは、研究者たちの間では G_Wagon と識別されている、多段階の難読化技術を用いて感染させたシステムから、ブラウザ認証情報/暗号資産ウォレット/クラウド認証キー/メッセージング・トークンを窃取するものである。
Continue reading “npm マルウェア G_Wagon:高度に難読化されたペイロードによりブラウザ認証情報などを窃取”6000+ Vulnerable SmarterTools SmarterMail Servers Exposed to Actively Exploited RCE Vulnerability
2026/01/27 CyberSecurityNews — インターネット上に公開されている 6,000 台以上の SmarterMail サーバが脆弱なバージョンを実行しており、アクティブなリモート・コード実行 (RCE) 攻撃のリスクにさらされていることが判明した。日次の HTTP 脆弱性スキャンを通じて、セキュリティ研究者たちが問題を特定しており、すでに実環境での悪用試行が観測されている。このインシデントは、エンタープライズ向けのメール運用環境として SmarterMail を利用する、世界中の組織に対して深刻な脅威となっている。
Continue reading “SmarterMail Server の CVE-2026-23760:6000+ の脆弱なサーバと実環境での悪用”Attackers Exploit React2Shell Vulnerability to Target IT Sector Systems
2026/01/27 gbhackers — React Server Components における深刻な脆弱性が、実際の運用環境で悪用されていることが確認されている。この脆弱性 CVE-2025-55182 (React2Shell) を悪用する攻撃者は、世界中の多種多様な業種と企業を標的としている。React2Shell が影響を及ぼす対象は、React Server Components におけるクライアント/サーバ通信を担う Flight プロトコルである。この脆弱性は、安全でないデシリアライゼーションに起因するものであり、クライアントから送信されたデータを、サーバが十分な検証なしで受け入れることで、特定条件下におけるリモート・コード実行が可能となってしまう。
Continue reading “React2Shell CVE-2025-55182 悪用:明らかになった攻撃キャンペーンとマルウェアの実態”Node.js 25.5.0 Released Update Root Certificates and New Command-Line Flags
2026/01/27 CyberSecurityNews — 2026年1月26日にリリースされた Node.js バージョン 25.5.0 は、開発者のための機能を大幅に強化し、セキュリティ更新を導入するものだ。具体的には、新たなコマンドライン・フラグによるアプリケーション・パッケージングの簡素化を重視すると同時に、認証局 (CA) の更新により、暗号化トラスト・チェーンの整合性とセキュリティ標準が維持されるようになった。
Continue reading “Node.js 25.5.0 がリリース:パッケージング作業の簡素化や暗号化トラスト・チェーンなどに対応”Okta Flags Customized, Reactive Vishing Attacks Which Bypass MFA
2026/01/26 InfoSecurity — リアルタイムで内容を変更するフィッシング・サイトと、ビッシング攻撃を組み合わせるサイバー犯罪者が、被害者に対してソーシャル・エンジニアリングを仕掛け、多要素認証 (MFA) による防御を突破している。1月22日に Okta Threat Intelligence が発出したアラートは、ビッシング・キャンペーンにおけるフィッシング・キットの利用が拡大している実態を示すものだ。それらのサイバー犯罪者は、企業の Google/Microsoft/Okta アカウントならびに各種暗号資産サービスの、アカウント・ログイン情報へのアクセスを狙っている。
Continue reading “ビッシングとリアルタイム・フィッシングを組み合わせて MFA を突破:Okta Threat Intelligence が警告”Fake Microsoft Teams Billing Phishing Alerts Reach 6,135 Users via 12,866 Emails
2026/01/26 hackread — Microsoft Teams を巧妙な手法で悪用する詐欺師が、新たなフィッシング・キャンペーンを介してビジネス・アカウントへ侵入していく状況を、Check Point Research のサイバーセキュリティ専門家たちが明らかにした。同社の Harmony Email Security のレポートによると、すでに 12,866 通以上のフィッシング・メールが送信され、約 6,135 人のユーザーに到達しており、警戒が必要な事態となっている。
Continue reading “Microsoft Teams フィッシング・キャンペーン:12,866 通のメールが 6,135 人のユーザーに到達”Malicious VS Code AI Extensions with 1.5 Million Installs Steal Developer Source Code
2026/01/26 TheHackerNews — 2 つの悪意の Microsoft Visual Studio Code (VS Code) エクステンションが、サイバーセキュリティ研究者たちにより発見された。それらは、AI を活用したコーディング支援ツールとして宣伝されているが、開発者のデータを中国拠点のサーバへ密かに送信する機能を内包している。この悪意のエクステンションは、合計で約 150 万件のインストール実績を持ち、現在も公式の Visual Studio Marketplace からダウンロード可能な状態にある。
Continue reading “VS Code に悪意の ChatGPT エクステンション:正常に動作しながらソースコードを中国へ送信”Emergency Microsoft update fixes in-the-wild Office zero-day
2026/01/26 SecurityAffairs — Microsoft が公開したのは、Office のゼロデイ脆弱性に対処するため、緊急 (out-of-band) のセキュリティ更新プログラムである。この脆弱性 CVE-2026-21509 は、現時点での悪用が確認されている 。このセキュリティ機能バイパスの脆弱性が影響を及ぼす範囲は、Microsoft Office 2016/2019/LTSC 2021/LTSC 2024 および 365 Apps for Enterprise の複数のバージョンとなる。
Continue reading “Microsoft Office のゼロデイ CVE-2026-21509:実環境での悪用に対処するアップデートの確認”Cloudflare misconfiguration behind recent BGP route leak
2026/01/26 BleepingComputer — Cloudflare が公開したのは、直近の 25 分間にわたる Border Gateway Protocol (BGP) ルートリークが、IPv6 トラフィックに影響を与えたインシデントに関する詳細な情報である。このインシデントでは、顕著な輻輳/パケット損失/約 12 Gbps に相当するトラフィックの破棄が発生した。BGP システムは、自律システム (AS) と呼ばれる複数のネットワーク間でデータをルーティングし、インターネット上の小規模ネットワークを経由して宛先へ転送する仕組みである。
Continue reading “Cloudflare の BGP ルート・リーク:25分間の停止とパケット損失などが発生”PoC Released for GNU InetUtils telnetd RCE as 800K+ Exposed Instances Remain Online
2026/01/26 gbhackers — GNU Inetutils telnetd において公開されたのは、深刻なリモート・コード実行の脆弱性 CVE-2026-24061 に対する概念実証 (PoC) エクスプロイトである。現時点で、80 万件を超える脆弱なインスタンスが、依然としてインターネット上で公開アクセス可能な状態にあると、セキュリティ研究者たちは警告している。この脆弱性を悪用する未認証の攻撃者は、脆弱なバージョンの telnetd サービスを実行しているシステム上で、任意のコマンドを実行できる。
Continue reading “GNU Inetutils telnetd の脆弱性 CVE-2026-24061:PoC の公開による大規模悪用の恐れ”Apache Hadoop Vulnerability Exposes Systems Potential Crashes or Data Corruption
2026/01/26 CyberSecurityNews — Hadoop Distributed File System (HDFS) のネイティブ・クライアントにおいて、脆弱性 CVE-2025-27821 (Medium) が発見された。この脆弱性を悪用する攻撃者は、不正に細工した Uniform Resource Identifier (URI) 入力により、システム・クラッシュや重要データの破損を引き起こす可能性がある。この脆弱性は、Apache Hadoop バージョン 3.2.0 〜 3.4.1 に影響する。
Continue reading “Apache Hadoop HDFS の脆弱性 CVE-2025-27821 が FIX:システムクラッシュ/データ破損の可能性”Konni Hackers Deploy AI-Generated PowerShell Backdoor Against Blockchain Developers
2026/01/26 TheHackerNews — Konni として知られる北朝鮮系脅威アクターが、人工知能 (AI) ツールにより生成された PowerShell マルウェアを使用し、ブロックチェーン分野の開発者/エンジニア/開発チームを標的としていることが確認された。先週、Check Point Research が公開した技術レポートによると、このフィッシング・キャンペーンが標的とするのは日本/オーストラリア/インドであり、これまでの主要な標的であった韓国/ロシア/ウクライナ/欧州諸国を超えて、攻撃対象範囲を拡大していることが示されている。
Continue reading “北朝鮮系 Konni の最新スピアフィッシング・キャンペーン:AI 支援 PowerShell バックドアで日本も標的”F5 Strengthens, Scales & Sustains AI Security With Integrated Runtime Protection
2026/01/26 SecurityBoulevard — エンタープライズ・テクノロジーは、より深い融合を模索する流動的な状態へと移行している。突如として、データ統合が重要になったわけではない (確かに重要ではあるが、依然として十分ではない)。また、情報ガバナンスにおける新たな世界秩序へ対応するために、破綻したデータ主権の問題を修正しているからでもない (ほぼその通りではあるが、本質ではない)。さらに言えば、Kubernetes やクラウドというコンテナ化された世界において、簡素な API が 事実上の新たな受容フェーズへと到達したからでもない。
Continue reading “F5 のセキュリティ強化戦略:AI Guardrails と AI Red Team によるランタイム保護とは?”Curl to End Bug Bounty Following Low-Quality AI-Generated Vulnerability Reports
2026/01/26 CyberSecurityNews — curl プロジェクトは、2026年1月をもってバグ・バウンティ・プログラムを終了した。その理由は、低品質かつ有用性のないバグ報告が過剰に寄せられたことにあるという。この決定が反映するのは、金銭的インセンティブの構造が、脆弱性情報の開示と実務にもたらす副作用への、オープンソース・セキュリティ・コミュニティ内の不満の高まりである。
Continue reading “Curl がバグバウンティ・プログラムを終了:AI が生成する低品質レポートへの対応”1Password adds pop-up warnings for suspected phishing sites
2026/01/25 BleepingComputer — 1Password のデジタル・ボールト/パスワード・マネージャに、フィッシング URL に対するビルトイン保護機能が追加された。これにより、ユーザーは悪意のページを識別し、アカウント認証情報を脅威アクターに漏らしてしまう事態を防止できる。サブスクリプション型のパスワード管理サービスである 1Password は、エンタープライズ環境の多様な組織で広く利用されている。最近の Windows は、1Password を通じたネイティブ Passkeys 管理をサポートしている。
Continue reading “1Password が示すフィッシング対策:フィッシング URL 検知を強化する警告ポップアップ機能を追加”CISA Adds Actively Exploited VMware vCenter Flaw CVE-2024-37079 to KEV Catalog
2026/01/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年1月23日 (金) に、Broadcom の VMware vCenter Server に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2024-37079 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は 2024年6月に修正されていたが、実環境での悪用を確認する証拠が得られ、新たに追加されることになった。
Continue reading “CISA KEV 警告 26/01/23:VMware:vCenter の脆弱性 CVE-2024-37079 を登録”TrustAsia Pulls 143 Certificates Following Critical LiteSSL ACME Vulnerability
2026/01/24 gbhackers — TrustAsia が 143 件の SSL/TLS 証明書を失効させた背景にあるのは、LiteSSL ACME サービスにおいて発見された深刻な脆弱性の存在である。2026年1月21日に開示された脆弱性は、異なる Automatic Certificate Management Environment (ACME) アカウント間でドメイン検証データを再利用できてしまうという問題を含んでいる。それにより、検証済みのドメインに対して、他のユーザーによる不正な証明書発行が可能となっていた。この脆弱性は、各証明書発行ごとに一意のドメイン検証を義務付ける CA/Browser Forum Baseline Requirements (TLS BR Version 2.2.2/Section 3.2.2.4) に違反するものだ。
Continue reading “TrustAsia LiteSSL ACME の深刻な脆弱性が発覚:143 件の SSL/TLS 証明書を失効”Threat Actors Leverage SharePoint Services in Sophisticated AiTM Phishing Campaign
2026/01/24 CyberSecurityNews — SharePoint ファイル共有の悪用を通じてエネルギー業界の組織を標的とする、高度な中間者攻撃 (AiTM) フィッシング・キャンペーンが展開されていることを、Microsoft Defender の研究者が明らかにした。この多段階攻撃は、複数の組織におけるユーザー・アカウントを侵害し、大規模かつ広範なビジネス・メール詐欺 (BEC) 活動へと拡大している。
Continue reading “SharePoint 標的の AiTM フィッシング・キャンペーンを検出:大規模かつ広範な BEC 活動へと拡大”Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher
2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。
Continue reading “Node.js HackerOne における脆弱性レポートの品質を改善:Signal スコア 1.0 要件を導入してノイズを抑制”20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access
2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS:9.8:Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。
Continue reading “WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り”ZAP Releases OWASP PenTest Kit Browser Extension for Application Security Testing
2026/01/23 CyberSecurityNews — Zed Attack Proxy (ZAP) チームが公開したのは、OWASP Penetration Testing Kit (PTK) のブラウザ・エクステンションを、ZAP が立ち上げたブラウザへと直接統合する、OWASP PTK アドオン バージョンの 0.2.0 alpha である。このアドオンにより、DAST/IAST/SAST/SCA/JWT Editor/Cookie Editor といった専用ツールが、手動でのセットアップを必要とせずに組み込まれ、アプリケーション・セキュリティ・テストが効率化される。すでに ZAP Marketplace から提供されており、ZAP 経由でプロキシされる Chrome/Edge/Firefox セッションに PTK が事前インストールされる。
Continue reading “ZAP が OWASP PenTest Kit をリリース:通信のキャプチャとブラウザ内部の動作をシームレスに統合”HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker
2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000/Alletra 5000/Nimble Storage アレイに影響が生じている。
Continue reading “HPE Alletra/Nimble ストレージの脆弱性 CVE-2026-23594 が FIX:リモートからの Admin 権限奪取の恐れ”2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier/Vite Vitejs/Versa Concerto SD-WAN オーケストレーション・プラットフォーム/Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録”Critical Appsmith Flaw Enables Account Takeovers
2026/01/23 InfoSecurity — Appsmith のローコード・プラットフォームの深刻な認証脆弱性が悪用され、ユーザー・アカウントの乗っ取りが発生している。この脆弱性 CVE-2026-22794 を悪用する攻撃者は、クライアント側で制御可能な HTTP ヘッダを介してパスワード・リセット・リンクを操作し、最終的にアカウント全体の侵害を可能にし得る。
Continue reading “Appsmith の脆弱性 CVE-2026-22794 が FIX:偽のパスワード・リセット警告によるアカウント乗っ取り”What an AI-Written Honeypot Taught Us About Trusting Machines
2026/01/23 BleepingComputer — AI モデルを用いてコード作成を支援する Vibe Coding 手法が、多くのチームにとって日常的な開発プロセスの一部となっている。それにより、大きな時間短縮効果がもたらされるが、その一方では、AI が生成したコードを過度に信頼してしまうことで、セキュリティ脆弱性が入り込む余地を生み出す。AI 生成コードがセキュリティに及ぼす影響について、Intruder の経験は現実のケース・スタディとなっている。以下に示すのは、実際に起こったこと、そして、他の組織が注意すべき点である。
Continue reading “AI で書いたハニーポット:Vibe Coding がもたらす脆弱性のケース・スタディとは?”Zero-Day Exploits Surge, Nearly 30% of Flaws Attacked Before Disclosure
2026/01/22 InfoSecurity — VulnCheck が特定した 2025 年の Known Exploited Vulnerability (KEV) の 28.96% が、公開前または報告当日に悪用されていた。つまり、サイバー攻撃者たちは、脆弱性の悪用速度を継続的に加速している状況にある。2026年1月21日に公開された VulnCheck の State of Exploitation 2026 レポートが示すのは、2025 年の Zero-Day/One-Day 脆弱性の悪用が、2024 年の 23.6% から大きく跳ね上がっている実態である。
Continue reading “Zero-Day に関する 2025 年調査:30% の脆弱性が公開前に悪用されていた – VulnCheck”NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution
2026/01/22 gbhackers — NVIDIA が公表したのは、CUDA Toolkit に存在する深刻な脆弱性に対するアドバイザリである。これらの脆弱性は、GPU アクセラレーション・システムを、コマンド・インジェクションおよび任意のコード実行のリスクにさらすものである。2026年1月20日に公開されたアドバイザリで修正されたのは、Nsight Systems および関連ツールに存在する 4 件の脆弱性であり、いずれも CUDA Toolkit エコシステムに関連するものだ。
Continue reading “NVIDIA CUDA Toolkit の複数の脆弱性が FIX:任意のコード実行や権限昇格などの恐れ”BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records
2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。
Continue reading “BIND 9 の脆弱性 CVE-2025-13878 が FIX:named デーモンの不適切な処理とサービス拒否”Node.js binary-parser Library Flaw Enables Malicious Code Injection
2026/01/22 gbhackers — 広く利用されている Node.js の binary-parser ライブラリに存在する、深刻なコード・インジェクション脆弱性により、アプリケーション上で任意の JavaScript 実行が可能となる。2026年1月20日に CERT/CC は Vulnerability Note VU#102648 を公開し、この脆弱性に CVE-2026-1245 を割り当てた。この脆弱性は安全でない動的コード生成に起因し、影響を及ぼす範囲はバージョン 2.3.0 未満となる。パーサ定義に信頼できない入力を使用している開発者は、プロセス全体の侵害を含む深刻なリスクに直面する。
Continue reading “Node.js binary-parser Library の脆弱性 CVE-2026-1245 が FIX:コード・インジェクションの恐れ”ZEST Security Adds AI Agents to Identify Vulnerabilities That Pose No Actual Risk
2026/01/22 SecurityBoulevard — 今日 ZEST Security は、特定の脆弱性がアプリケーション環境に対して実際の脅威となるかどうかを識別する、人工知能 (AI) エージェント群を追加した。同社 CEO の Snir Ben Shimol によると、実際には悪用不可能な脆弱性の修正要求を AI Sweeper Agents が排除することで、作成すべきパッチ数を削減できるという。
Continue reading “ZEST の AI Sweeper Agents:過剰なパッチ要求を削減してセキュリティ・チームの負荷を軽減”Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning
2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM/Unified CM Session Management Edition (SME)/Unified CM IM & Presence Service/Cisco Unity Connection/Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。
Continue reading “CISA KEV 警告 26/01/21:Cisco Unified CM の脆弱性 CVE-2026-20045 を登録”Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access
2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。
Continue reading “Fortinet FortiGate SSO の脆弱性 CVE-2025-59718:実環境での積極的な悪用を確認”GitLab Security Flaws Could Allow Two-Factor Authentication Bypass and DoS
2026/01/21 gbhackers — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に影響を及ぼす、複数の脆弱性に対処する深刻な脆弱性に対するセキュリティ・アドバイザリである。二要素認証のバイパスやサービス拒否 (DoS) 攻撃に対する修正版として、すでにバージョン 18.8.2/18.7.2/18.6.4 が提供されている。すべてのセルフ・マネージド環境に対して GitLab が強く推奨するのは、速やかなアップグレードである。その一方で、GitLab.com にはすでにパッチが適用済みである。
Continue reading “GitLab CE/EE の複数の深刻な脆弱性 が FIX:二要素認証バイパスと DoS の恐れ”Critical Zoom Command Injection Vulnerability Enables Remote Code Execution
2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。
Continue reading “Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX:コマンド・インジェクションによる RCE の恐れ”Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution
2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143/CVE-2025-68144/CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行/ファイル削除/機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。
Continue reading “Anthropic Git MCP Server における複数の脆弱性:プロンプト・インジェクションによるコード実行の可能性”Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks
2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的/意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。
Continue reading “Azure の Private Endpoint デプロイメントに深刻な脆弱性:クラウド・リソースへの DoS 攻撃の可能性”Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server
2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。
Continue reading “Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX:深刻なインフラ露出の可能性”Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw
2026/01/21 gbhackers — Google は、Windows/Mac/Linux プラットフォーム向けの Chrome 144.0.7559.96/.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。
Continue reading “Chrome 144 の脆弱性 CVE-2026-1220 が FIX:V8 JavaScript エンジンの競合状態”LastPass Warns of Fake Maintenance Messages Targeting Users’ Master Passwords
2026/01/21 TheHackerNews — LastPass のパスワード管理サービスを装う、アクティブなフィッシング・キャンペーンの登場について、同社はユーザーに対して警告を発している。このキャンペーンは、ユーザーを欺いてマスター・パスワードを入力させることで、その漏洩を目的としている。このキャンペーンは、2026年1月19日頃に開始された。その手口は、今後に予定されているメンテナンス通知を装うフィッシング・メールを送信するものであり、パスワード・ボルトのローカル・バックアップ作成を、24 時間以内に実施するよう促すものである。
Continue reading “LastPass を装うフィッシング・キャンペーン:マスター・パスワード窃取を狙う偽メンテナンス通知”Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”
2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。
Continue reading “GNU InetUtils の深刻な認証バイパスの脆弱性:ログイン時の “-f root” パラメータで root 権限の奪取”VoidLink Represents the Future of AI-Developed Malware: Check Point
2026/01/20 SecurityBoulevard — 1 人の個人と推測される脅威アクターが、AI を用いて単独で開発したとみられる高度なマルウェアが、Check Point の研究者たちにより発見された。このインシデントが示すのは、急速に進化する技術がサイバー脅威の生成方法を変化させる、先駆的な事例である。VoidLink と名付けられたマルウェアは、開発の初期段階で検出され、実際の攻撃で使用された形跡は確認されていない。しかし、異例のスピードで進められた設計と構築は、高度にモジュール化された構造を備えるものであり、迅速な進化を可能にする仕組みを持っている。そのため、発見当初は、大規模かつ潤沢な資金を有する攻撃者グループによるものと見られていた。
Continue reading “VoidLink が示す AI 生成マルウェア時代の到来:Check Point が警告”WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks
2026/01/20 CyberSecurityNews — 人気の WordPress プラグイン Advanced Custom Fields: Extended に存在する、深刻な脆弱性 CVE-2025-14533 (CVSS:9.8:Critical) により、10 万以上の Web サイトが完全な乗っ取りのリスクにさらされている。この脆弱性は、バージョン 0.9.2.1 以前のプラグインに影響を及ぼすものだ。この脆弱性が未修正の状態で放置されると、ユーザー登録フォームにおけるロール処理の仕組みを悪用する未認証の攻撃者に、管理者レベルのアクセス権限を奪取される恐れがある。
Continue reading “WordPress Advanced Custom Fields の脆弱性 CVE-2025-14533 が FIX:Web サイト乗っ取りのリスク”
IoT OT Security News 
You must be logged in to post a comment.