Vulnerability – IoT OT Security News

Metasploit が FreePBX／Cacti／SmarterMail の深刻な RCE に対応：7 件の新規エクスプロイトをリリース

Metasploit Releases 7 New Exploit Modules covering FreePBX, Cacti and SmarterMail

2026/01/30 CyberSecurityNews — 今週に公開された Metasploit Framework の最新アップデートは、ペンテスター／レッドチームに対して重要な機能強化を提供するものである。7 件の新規エクスプロイト・モジュールが導入され、エンタープライズ環境で広く利用されているソフトウェアへの対応がサポートされた。このリリースのハイライトは、FreePBX を標的とする高度な 3 段階の連鎖モジュールと、Cacti／SmarterMail 用の深刻なリモート・コード実行 (RCE) の機能である。認証バイパスの欠陥と二次的な脆弱性の連鎖により、システム全体が完全に侵害されるリスクが依然として高いことが、このアップデートにより示されている。

SmarterMail の脆弱性 CVE-2026-24423／23760 が FIX：未認証での RCE と権限昇格の可能性

SmarterTools patches critical SmarterMail flaw allowing code execution

2026/01/30 SecurityAffairs — SmarterTools が発表したのは、同社のメール・ソフトウェア SmarterMail に存在する、2 件のセキュリティ・バグの修正に関する情報である。そのうち 1 件は、脆弱性 CVE-2026-24423 (CVSS：9.3) であり、深刻度 Critical と評価されている。この脆弱性を悪用する攻撃者は、影響を受けるシステム上で悪意のコードを実行する可能性がある。

NVIDIA GPU Display Driver の複数の脆弱性が FIX：コード実行と権限昇格の恐れ

NVIDIA GPU Display Driver Vulnerabilities Allows Code Execution and Privilege Escalation

2026/01/30 CyberSecurityNews — NVIDIA が公開したのは、GPU Display Driver、vGPU Software／HD Audio Component に影響を及ぼす、複数の深刻な脆弱性に対処する重大なセキュリティ・アップデートである。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行し、権限昇格を可能にする恐れがある。

Magento ストア 200 件超を侵害：脆弱性 CVE-2025-54236 の悪用と Rootkit の展開

Over 200 Magento Stores Compromised In Rootkit Rampage via Zero-Day Exploit

2026/01/30 gbhackers — Magento を利用する EC プラットフォームを標的として、脆弱性 CVE-2025-54236 を悪用する危険な攻撃キャンペーンが確認された。この SessionReaper と呼ばれる脆弱性を悪用する攻撃者は、無効化されたはずのセッション・トークンを再利用することで認証をバイパスし、セッションをハイジャックすることでサーバ全体の完全な奪取を引き起こす。

Ivanti EPMM の脆弱性 CVE-2026-1281／1340：緩和策と悪用情報と CISA KEV

Ivanti warns of two EPMM flaws exploited in zero-day attacks

2026/01/29 BleepingComputer — Ivanti が公開したのは、Ivanti Endpoint Manager Mobile (EPMM) に影響を及ぼす、2 件の深刻な脆弱性に関する情報である。これらの脆弱性 CVE-2026-1281／CVE-2026-1340 (CVSS：9.8：Critical) は、コード・インジェクションの欠陥に起因し、未認証のリモート攻撃者に任意のコード実行を許すものであり、すでにゼロデイ攻撃で悪用されている。

SolarWinds Web Help Desk の脆弱性 CVE-2025-40536／40537／40551：連鎖による RCE の恐れ

SolarWinds Web Product Flaw Allows Attackers to Bypass Security and Execute Code

2026/01/29 gbhackers — SolarWinds Web Help Desk において、認証を必要とせずにセキュリティ保護を回避してリモート・コード実行 (RCE) に至る、深刻な脆弱性チェーン CVE-2025-40536／CVE-2025-40537／CVE-2025-40551 が確認された。これらの脆弱性は Horizon3.ai の Jimi Sebree により 2026年1月28日に公開されたものであり、この IT サービス管理プラットフォームを長年悩ませてきた、デシリアライゼーション問題に対する過去のパッチを再び回避するものである。

Check Point Harmony SASE の脆弱性 CVE-2025-9142 が FIX：SYSTEM 権限昇格の恐れ

Check Point Harmony SASE Windows Client Vulnerability Enables Privilege Escalation

2026/01/28 CyberSecurityNews — Check Point の Harmony SASE (Secure Access Service Edge) Windows クライアント・ソフトウェアに、深刻な権限昇格の脆弱性 CVE-2025-9142 が発見された。この脆弱性を悪用するローカル攻撃者は、本来は想定されていない証明書作業ディレクトリ外へのファイルの書き込み／削除が可能になり、SYSTEM レベル侵害を引き起こす恐れがある。この脆弱性は、version 12.2 未満に影響を及ぼす。

Gemini MCP Tool の深刻なゼロデイ脆弱性 CVE-2026-0755：RCE に対する No Patch 状態

Gemini MCP Tool 0-day Vulnerability Allows Remote Attackers to Execute Arbitrary Code

2026/01/28 CyberSecurityNews — Gemini MCP Tool に存在する、深刻なゼロデイ脆弱性を悪用する攻撃者は、認証を一切必要とせずにリモートコード実行 (RCE) が可能な状況にある。この脆弱性は ZDI-26-021／ZDI-CAN-27783 として追跡され、CVE-2026-0755 (CVSS v3.1：9.8) が割り当てられている。この深刻度は、悪用の容易さと影響の大きさを反映するものである。

TP-Link Archer ルーターの脆弱性 CVE-2025-14756 が FIX：任意のシステム・コマンド実行の恐れ

TP-Link Archer Router Flaw Exposes Users to Remote Attacks and Full Device Control

2026/01/28 gbhackers — TP-Link 製 Archer MR600 v5 ルーターにおいて、深刻度 High のコマンド・インジェクション脆弱性が発見された。この脆弱性を悪用する認証済みの攻撃者は、管理インターフェイスを通じて任意のシステム・コマンドを実行できる。この脆弱性は CVE-2025-14756 として追跡されており、広く展開されている TP-Link ネットワーク機器を利用する企業／家庭のユーザーに、深刻なセキュリティ・リスクをもたらしている。

n8n Sandbox の脆弱性 CVE-2026-1470／0863 が FIX：サンドボックス回避と RCE

Critical and High Severity n8n Sandbox Flaws Allow RCE

2026/01/28 InfoSecurity — n8n に、深刻なセキュリティ脆弱性 CVE-2026-1470／CVE-2026-0863 が発見された。このワークフロー自動化プラットフォームに影響を与えるセキュリティ欠陥が明らかにしたのは、JavaScript および Python コードに対するサンドボックス機構の弱点である。これらの脆弱性は JFrog Security Research チームにより開示されたものであり、パッチ未適用の n8n インスタンスをホストするシステム上で、認証済みの攻撃者に対して任意のコマンド実行を許す可能性がある。これらの脆弱性が影響を及ぼす範囲は、n8n のクラウド・サービスおよびセルフホスト環境である。

WinRAR の脆弱性 CVE-2025-8088：依然として悪用が止まらないと Google が警告

Google Warns of WinRAR Vulnerability Exploited to Gain Control Over Windows System

2026/01/28 CyberSecurityNews — Windows 環境で多用されるファイル圧縮ツールの一つである、WinRAR に存在する深刻なセキュリティ上の欠陥が、コンピュータ・システムへの不正アクセスを狙う攻撃者にとって格好の攻撃手段となっている。この脆弱性 CVE-2025-8088 を悪用する攻撃者は、ユーザーに知られることなく、機微なシステム・ディレクトリ上に、悪意のファイルを配置し得る。その結果として、Windows マシンの制御が攻撃者に奪取される可能性がある。

Chrome の脆弱性 CVE-2026-1504 が FIX：Background Fetch API の欠陥を修正

Chrome Security Update Fixes Critical Vulnerability in Background Fetch API

2026/01/28 gbhackers — Google が公開したのは、セキュリティ上のリスクをもたらす可能性のある、Background Fetch API の深刻な脆弱性 CVE-2026-1504 に対処する、デスクトップ向け Chrome Stable Channel のアップデートである。最新の Chrome バージョンは、Windows および macOS 向けが 144.0.7559.109／144.0.7559.110、Linux 向けが 144.0.7559.109 である。すでに段階的な配信が開始されており、今後の数日から数週間かけて提供されていく。

OpenSSL の脆弱性 CVE-2025-15467 などが FIX：スタック・オーバーフローと RCE

Critical OpenSSL Vulnerabilities Allow Remote Attackers to Execute Malicious Code

2026/01/28 CyberSecurityNews — 2026年1月27日に OpenSSL は、合計 12 件の脆弱性に対する修正を公開した。この中に含まれるものには、リモートコード実行につながる可能性のある深刻な欠陥がある。大半の問題は、サービス拒否 (DoS) を引き起こすものであるが、信頼されていないデータを解析する際のリスクを浮き彫りにしている。

FortiOS SSO の脆弱性 CVE-2026-24858 が FIX：悪用の確認と CISA KEV 登録

Fortinet Patches CVE-2026-24858 After Active FortiOS SSO Exploitation Detected

2026/01/28 TheHackerNews — Fortinet が公表したのは、実環境で既に悪用が確認されている、FortiOS に影響を及ぼす深刻な脆弱性に対処するためのセキュリティ・アップデート提供の開始である。この脆弱性 CVE-2026-24858 (CVSS：9.4) は、FortiOS の Single Sign-On (SSO) に関連する認証バイパスの欠陥であり、FortiManager および FortiAnalyzer にも影響を及ぼす。FortiWeb や FortiSwitch Manager を含む他製品への影響についても、引き続き調査を進めていると、Fortinet は述べている。

vm2 JavaScript サンドボックスの脆弱性 CVE-2026-22709 が FIX：サニタイズ不備による RCE の恐れ

Critical vm2 Flaw Lets Attackers Bypass Sandbox and Execute Arbitrary Code in Node.js

2026/01/27 gbhackers — vm2 JavaScript サンドボックス・ライブラリのバージョン 3.10.0 以下に、深刻な脆弱性 CVE-2026-22709 が存在することが判明した。この脆弱性を悪用する攻撃者は、サンドボックス保護を回避し、認証／ユーザー操作を一切必要とせず、完全なシステム権限で任意のコードを実行し得る。この欠陥は Promise コールバック関数の不適切なサニタイズ処理に起因するものだ。

CISA KEV 警告 26/01/26：Office／GNU InetUtils／SmarterMail／Linux Kernel の脆弱性を登録

U.S. CISA adds Microsoft Office, GNU InetUtils, SmarterTools SmarterMail, and Linux Kernel flaws to its Known Exploited Vulnerabilities catalog

2026/01/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office／GNU InetUtils／SmarterTools SmarterMail／Linux Kernel に関する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。今回追加された脆弱性は、以下の通りである。

CVE-2018-14634：Linux Kernel の整数オーバーフロー脆弱性
CVE-2026-21509：Microsoft Office のセキュリティ機能バイパス脆弱性
CVE-2026-24061：GNU InetUtils の引数インジェクション脆弱性
CVE-2025-52691：SmarterMail の無制限のファイル・アップロード脆弱性
CVE-2026-23760：SmarterMail の代替パスを用いた認証バイパス脆弱性

SmarterMail Server の CVE-2026-23760：6000+ の脆弱なサーバと実環境での悪用

6000+ Vulnerable SmarterTools SmarterMail Servers Exposed to Actively Exploited RCE Vulnerability

2026/01/27 CyberSecurityNews — インターネット上に公開されている 6,000 台以上の SmarterMail サーバが脆弱なバージョンを実行しており、アクティブなリモート・コード実行 (RCE) 攻撃のリスクにさらされていることが判明した。日次の HTTP 脆弱性スキャンを通じて、セキュリティ研究者たちが問題を特定しており、すでに実環境での悪用試行が観測されている。このインシデントは、エンタープライズ向けのメール運用環境として SmarterMail を利用する、世界中の組織に対して深刻な脅威となっている。

React2Shell CVE-2025-55182 悪用：明らかになった攻撃キャンペーンとマルウェアの実態

Attackers Exploit React2Shell Vulnerability to Target IT Sector Systems

2026/01/27 gbhackers — React Server Components における深刻な脆弱性が、実際の運用環境で悪用されていることが確認されている。この脆弱性 CVE-2025-55182 (React2Shell) を悪用する攻撃者は、世界中の多種多様な業種と企業を標的としている。React2Shell が影響を及ぼす対象は、React Server Components におけるクライアント／サーバ通信を担う Flight プロトコルである。この脆弱性は、安全でないデシリアライゼーションに起因するものであり、クライアントから送信されたデータを、サーバが十分な検証なしで受け入れることで、特定条件下におけるリモート・コード実行が可能となってしまう。

VS Code に悪意の ChatGPT エクステンション：正常に動作しながらソースコードを中国へ送信

Malicious VS Code AI Extensions with 1.5 Million Installs Steal Developer Source Code

2026/01/26 TheHackerNews — 2 つの悪意の Microsoft Visual Studio Code (VS Code) エクステンションが、サイバーセキュリティ研究者たちにより発見された。それらは、AI を活用したコーディング支援ツールとして宣伝されているが、開発者のデータを中国拠点のサーバへ密かに送信する機能を内包している。この悪意のエクステンションは、合計で約 150 万件のインストール実績を持ち、現在も公式の Visual Studio Marketplace からダウンロード可能な状態にある。

Microsoft Office のゼロデイ CVE-2026-21509：実環境での悪用に対処するアップデートの確認

Emergency Microsoft update fixes in-the-wild Office zero-day

2026/01/26 SecurityAffairs — Microsoft が公開したのは、Office のゼロデイ脆弱性に対処するため、緊急 (out-of-band) のセキュリティ更新プログラムである。この脆弱性 CVE-2026-21509 は、現時点での悪用が確認されている。このセキュリティ機能バイパスの脆弱性が影響を及ぼす範囲は、Microsoft Office 2016／2019／LTSC 2021／LTSC 2024 および 365 Apps for Enterprise の複数のバージョンとなる。

GNU Inetutils telnetd の脆弱性 CVE-2026-24061：PoC の公開による大規模悪用の恐れ

PoC Released for GNU InetUtils telnetd RCE as 800K+ Exposed Instances Remain Online

2026/01/26 gbhackers — GNU Inetutils telnetd において公開されたのは、深刻なリモート・コード実行の脆弱性 CVE-2026-24061 に対する概念実証 (PoC) エクスプロイトである。現時点で、80 万件を超える脆弱なインスタンスが、依然としてインターネット上で公開アクセス可能な状態にあると、セキュリティ研究者たちは警告している。この脆弱性を悪用する未認証の攻撃者は、脆弱なバージョンの telnetd サービスを実行しているシステム上で、任意のコマンドを実行できる。

Apache Hadoop HDFS の脆弱性 CVE-2025-27821 が FIX：システムクラッシュ／データ破損の可能性

Apache Hadoop Vulnerability Exposes Systems Potential Crashes or Data Corruption

2026/01/26 CyberSecurityNews — Hadoop Distributed File System (HDFS) のネイティブ・クライアントにおいて、脆弱性 CVE-2025-27821 (Medium) が発見された。この脆弱性を悪用する攻撃者は、不正に細工した Uniform Resource Identifier (URI) 入力により、システム・クラッシュや重要データの破損を引き起こす可能性がある。この脆弱性は、Apache Hadoop バージョン 3.2.0 〜 3.4.1 に影響する。

CISA KEV 警告 26/01/23：VMware：vCenter の脆弱性 CVE-2024-37079 を登録

CISA Adds Actively Exploited VMware vCenter Flaw CVE-2024-37079 to KEV Catalog

2026/01/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年1月23日 (金) に、Broadcom の VMware vCenter Server に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2024-37079 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は 2024年6月に修正されていたが、実環境での悪用を確認する証拠が得られ、新たに追加されることになった。

TrustAsia LiteSSL ACME の深刻な脆弱性が発覚：143 件の SSL／TLS 証明書を失効

TrustAsia Pulls 143 Certificates Following Critical LiteSSL ACME Vulnerability

2026/01/24 gbhackers — TrustAsia が 143 件の SSL／TLS 証明書を失効させた背景にあるのは、LiteSSL ACME サービスにおいて発見された深刻な脆弱性の存在である。2026年1月21日に開示された脆弱性は、異なる Automatic Certificate Management Environment (ACME) アカウント間でドメイン検証データを再利用できてしまうという問題を含んでいる。それにより、検証済みのドメインに対して、他のユーザーによる不正な証明書発行が可能となっていた。この脆弱性は、各証明書発行ごとに一意のドメイン検証を義務付ける CA/Browser Forum Baseline Requirements (TLS BR Version 2.2.2／Section 3.2.2.4) に違反するものだ。

Node.js HackerOne における脆弱性レポートの品質を改善：Signal スコア 1.0 要件を導入してノイズを抑制

Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher

2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。

WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX：バックドアとサイト乗っ取り

20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access

2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS：9.8：Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。

HPE Alletra／Nimble ストレージの脆弱性 CVE-2026-23594 が FIX：リモートからの Admin 権限奪取の恐れ

HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker

2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000／Alletra 5000／Nimble Storage アレイに影響が生じている。

CISA KEV 警告 26/01/22：Prettier／Vite Vitejs／Versa SD-WAN／Zimbra の脆弱性を KEV に登録

U.S. CISA adds Prettier , Vite Vitejs, Versa Concerto SD-WAN, and Synacor Zimbra flaws to its Known Exploited Vulnerabilities catalog

2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier／Vite Vitejs／Versa Concerto SD-WAN オーケストレーション・プラットフォーム／Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Appsmith の脆弱性 CVE-2026-22794 が FIX：偽のパスワード・リセット警告によるアカウント乗っ取り

Critical Appsmith Flaw Enables Account Takeovers

2026/01/23 InfoSecurity — Appsmith のローコード・プラットフォームの深刻な認証脆弱性が悪用され、ユーザー・アカウントの乗っ取りが発生している。この脆弱性 CVE-2026-22794 を悪用する攻撃者は、クライアント側で制御可能な HTTP ヘッダを介してパスワード・リセット・リンクを操作し、最終的にアカウント全体の侵害を可能にし得る。

AI で書いたハニーポット：Vibe Coding がもたらす脆弱性のケース・スタディとは？

What an AI-Written Honeypot Taught Us About Trusting Machines

2026/01/23 BleepingComputer — AI モデルを用いてコード作成を支援する Vibe Coding 手法が、多くのチームにとって日常的な開発プロセスの一部となっている。それにより、大きな時間短縮効果がもたらされるが、その一方では、AI が生成したコードを過度に信頼してしまうことで、セキュリティ脆弱性が入り込む余地を生み出す。AI 生成コードがセキュリティに及ぼす影響について、Intruder の経験は現実のケース・スタディとなっている。以下に示すのは、実際に起こったこと、そして、他の組織が注意すべき点である。

NVIDIA CUDA Toolkit の複数の脆弱性が FIX：任意のコード実行や権限昇格などの恐れ

NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution

2026/01/22 gbhackers — NVIDIA が公表したのは、CUDA Toolkit に存在する深刻な脆弱性に対するアドバイザリである。これらの脆弱性は、GPU アクセラレーション・システムを、コマンド・インジェクションおよび任意のコード実行のリスクにさらすものである。2026年1月20日に公開されたアドバイザリで修正されたのは、Nsight Systems および関連ツールに存在する 4 件の脆弱性であり、いずれも CUDA Toolkit エコシステムに関連するものだ。

BIND 9 の脆弱性 CVE-2025-13878 が FIX：named デーモンの不適切な処理とサービス拒否

BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records

2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。

Node.js binary-parser Library の脆弱性 CVE-2026-1245 が FIX：コード・インジェクションの恐れ

Node.js binary-parser Library Flaw Enables Malicious Code Injection

2026/01/22 gbhackers — 広く利用されている Node.js の binary-parser ライブラリに存在する、深刻なコード・インジェクション脆弱性により、アプリケーション上で任意の JavaScript 実行が可能となる。2026年1月20日に CERT/CC は Vulnerability Note VU#102648 を公開し、この脆弱性に CVE-2026-1245 を割り当てた。この脆弱性は安全でない動的コード生成に起因し、影響を及ぼす範囲はバージョン 2.3.0 未満となる。パーサ定義に信頼できない入力を使用している開発者は、プロセス全体の侵害を含む深刻なリスクに直面する。

CISA KEV 警告 26/01/21：Cisco Unified CM の脆弱性 CVE-2026-20045 を登録

Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning

2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM／Unified CM Session Management Edition (SME)／Unified CM IM & Presence Service／Cisco Unity Connection／Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。

Fortinet FortiGate SSO の脆弱性 CVE-2025-59718：実環境での積極的な悪用を確認

Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access

2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。

GitLab CE／EE の複数の深刻な脆弱性が FIX：二要素認証バイパスと DoS の恐れ

GitLab Security Flaws Could Allow Two-Factor Authentication Bypass and DoS

2026/01/21 gbhackers — GitLab が公開したのは、Community Edition (CE)／Enterprise Edition (EE) に影響を及ぼす、複数の脆弱性に対処する深刻な脆弱性に対するセキュリティ・アドバイザリである。二要素認証のバイパスやサービス拒否 (DoS) 攻撃に対する修正版として、すでにバージョン 18.8.2／18.7.2／18.6.4 が提供されている。すべてのセルフ・マネージド環境に対して GitLab が強く推奨するのは、速やかなアップグレードである。その一方で、GitLab.com にはすでにパッチが適用済みである。

Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX：コマンド・インジェクションによる RCE の恐れ

Critical Zoom Command Injection Vulnerability Enables Remote Code Execution

2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。

Anthropic Git MCP Server における複数の脆弱性：プロンプト・インジェクションによるコード実行の可能性

Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution

2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143／CVE-2025-68144／CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行／ファイル削除／機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。

Azure の Private Endpoint デプロイメントに深刻な脆弱性：クラウド・リソースへの DoS 攻撃の可能性

Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks

2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的／意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。

Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX：深刻なインフラ露出の可能性

Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server

2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。

Chrome 144 の脆弱性 CVE-2026-1220 が FIX：V8 JavaScript エンジンの競合状態

Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw

2026/01/21 gbhackers — Google は、Windows／Mac／Linux プラットフォーム向けの Chrome 144.0.7559.96／.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。

GNU InetUtils の深刻な認証バイパスの脆弱性：ログイン時の “-f root” パラメータで root 権限の奪取

Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”

2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。

WordPress Advanced Custom Fields の脆弱性 CVE-2025-14533 が FIX：Web サイト乗っ取りのリスク

WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks

2026/01/20 CyberSecurityNews — 人気の WordPress プラグイン Advanced Custom Fields: Extended に存在する、深刻な脆弱性 CVE-2025-14533 (CVSS：9.8：Critical) により、10 万以上の Web サイトが完全な乗っ取りのリスクにさらされている。この脆弱性は、バージョン 0.9.2.1 以前のプラグインに影響を及ぼすものだ。この脆弱性が未修正の状態で放置されると、ユーザー登録フォームにおけるロール処理の仕組みを悪用する未認証の攻撃者に、管理者レベルのアクセス権限を奪取される恐れがある。

TP-Link VIGI 製品群の脆弱性 CVE-2026-0629 が FIX：パスワード回復処理を介した認証バイパス

TP-Link Router Flaw Enables Authentication Bypass Through Password Recovery Mechanism

2026/01/20 gbhackers — TP-Link が公表したのは、同社の VIGI セキュリティカメラ製品群に影響を与える、深刻な認証バイパスの脆弱性 CVE-2026-0629 の詳細である。この脆弱性を悪用するローカル・ネットワーク上の攻撃者は、認証を得ることなく管理者パスワードをリセットできてしまう。この問題は、ローカル Web インターフェイスに実装されたパスワード回復機能に存在し、クライアント・サイドの状態操作により悪用される。それにより、同一の LAN 上に位置する脅威アクターは、パスワード回復時の認証メカニズムを回避することで、VIGI カメラに対する完全な管理者権限を取得できる。

Apache Airflow の脆弱性 CVE-2025-68675／68438 が FIX：機密情報漏洩の恐れ

Apache Airflow Vulnerabilities Enables Expose of Sensitive Data

2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。

Cloudflare のゼロデイ脆弱性が FIX：WAF 回避によるオリジン・サーバへの直接アクセス

Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host

2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。

Apache bRPC の脆弱性 CVE-2025-60021 が FIX：リモート・コマンド・インジェクションの可能性

Apache bRPC Vulnerability Enables Remote Command Injection

2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。

Windows Kerberos リレー攻撃の危険性：DNS CNAME ポイズニングの PoC エクスプロイトが登場

New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released

2026/01/19 CyberSecurityNews — Windows Kerberos 認証に存在する深刻な脆弱性 CVE-2026-20929 により、Active Directory 環境における資格情報リレー攻撃にさらされる領域が大幅に拡大している。Windows クライアントが Kerberos サービス・チケットをリクエストするときの、DNS CNAME レスポンス処理の方法を悪用する攻撃者は、自身が制御するサービス向けのチケット・リクエストをシステムに対して強制し、従来の防御策を回避することが可能になる。

Livewire Filemanager の脆弱性 CVE-2025-14894：Web アプリへの RCE 攻撃の恐れ

Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks

2026/01/19 CyberSecurityNews — Livewire Filemanager で発見されたのは、Laravel Web アプリケーションで利用されるファイル管理コンポーネントに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2025-14894 である。この脆弱性は、脆弱性ノート VU#650657 が割り当てられており、未認証の攻撃者に対して脆弱なサーバ上での任意のコード実行を許すものである。

ServiceNow の脆弱性 CVE-2025-12420 を解析：Agent コンフィグの不備による SSO 回避

New “BodySnatcher” Flaw Allows Full ServiceNow User Impersonation

2026/01/19 gbhackers — ServiceNow の Virtual Agent API／Now Assist AI Agents に存在する深刻な脆弱性 CVE-2025-12420 の追跡調査が進められている。セキュリティ研究者により公表されたこの脆弱性は BodySnatcher と命名されており、未認証の攻撃者がメールアドレスのみを使用して任意の ServiceNow ユーザーになりすますことを可能にする。その結果、多要素認証 (MFA)／シングルサインオン (SSO) の制御が回避され、特権を持つ AI ワークフローの実行／バックドア管理者アカウントの作成が可能となる。