CISA Alerts Users to Exploited Chrome 0-Day Flaws
2026/03/17 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、きわめて深刻なゼロデイ脆弱性 CVE-2026-3909/CVE-2026-3910 について緊急警告を発表した。これらの脆弱性は、Google Chrome と基盤技術に影響を与え、実環境において現在進行形で悪用されている。そのため CISA は、2 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関に対して即時パッチ適用を義務付けるとともに、民間組織にも同様の対応を強く推奨している。
Continue reading “CISA KEV 警告 26/03/13:Google Skia/V8 JavaScript の脆弱性 CVE-2026-3909/3910 を登録”Researchers Decrypt and Exploit Encrypted Palo Alto Cortex XDR BIOC Rules
2026/03/17 CyberSecurityNews — Palo Alto Networks の Cortex XDR エージェントにおいて、振る舞い検知 (行動ベース検知) の完全な回避を攻撃者に許す脆弱性が、サイバー・セキュリティ研究者たちにより発見された。 InfoGuard Labs チームが、暗号化された検知ルールをリバース・エンジニアリングした結果、ハードコードされたグローバル許可リスト (グローバル・ホワイトリスト) の存在が確認された。この仕組みを悪用する脅威アクターは、セキュリティ・アラートを発生させることなく悪意ある操作を実行できる。
Continue reading “Palo Alto Networks Cortex XDR に深刻な検知バイパス:暗号化ルールの解読と攻撃への悪用”Angular XSS Vulnerability Threatens Thousands of Web Applications
2026/03/17 gbhackers — Angular において、深刻なクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2026-32635 (CVSS:8.6) が確認された。Angular は世界で広く使用されている Web アプリケーション・フレームワークの一つである。この脆弱性は Angular の ランタイムおよびコンパイラ に存在し、国際化 (i18n) 属性バインディングに影響する。この欠陥の悪用に成功した攻撃者は、ビルトインされているサニタイズ機構を回避し、Web アプリケーションに悪意のスクリプトを直接注入できる。
Continue reading “Angular の XSS 脆弱性 CVE-2026-32635 が FIX:i18n 属性バインディングとサニタイズ回避”Researchers Find Data Leak Risk in AWS Bedrock AI Code Interpreter
2026/03/16 hackread — Amazon Web Services (AWS) のツールに存在する脆弱性 CVE-N/A (CVSS:7.5) を悪用する脅威アクターが、企業の機密データを窃取する可能性があることを、サイバー・セキュリティ研究者たちが明らかにした。ID セキュリティ企業 BeyondTrust の研究部門 Phantom Labs により実施された調査の対象は、AWS Bedrock AgentCore Code Interpreter である。
Continue reading “AWS Bedrock AI Code Interpreter の脆弱性 CVE-N/A:DNS を介したプロンプト・インジェクション”U.S. CISA adds a flaw in Wing FTP Server to its Known Exploited Vulnerabilities catalog
2026/03/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Wing FTP Server の脆弱性 CVE-2025-47813 (CVSS:4.3) を Known Exploited Vulnerabilities (KEV) カタログへ追加した。この脆弱性 CVE-2025-47813 は、Wing FTP Server バージョン 7.4.4 未満に影響を及ぼす情報漏洩の欠陥である。この問題は、Web 認証プロセス中の “loginok.html” ページで発生する。
Continue reading “CISA KEV 警告 26/03/16:Wing FTP Server の脆弱性 CVE-2025-47813 を登録”Google Looker Studio Vulnerabilities Allow Attackers to Exfiltrate Data from Google Services
2026/03/16 CyberSecurityNews — Google Looker Studio に存在し、LeakyLooker と総称される合計 9 件のクロス・テナント脆弱性が明らかにされた。任意 SQL クエリを実行する攻撃者により、機密データの流出が引き起こされ、さらには Google Cloud 環境内のレコードの変更/削除に至る可能性があった。これらの攻撃は、被害者による明示的な許可を必要とせずに実行可能であった。Tenable からの責任ある開示を受けた Google は、すべての問題を修正している。
Continue reading “Google Looker Studio の脆弱性 9 件が FIX:2 種類の認証モードと 2 種類の攻撃経路”Microsoft Releases Out-of-Band Patch For Critical RRAS RCE Vulnerabilities in Windows 11
2026/03/15 CyberSecurityNews — 2026年03月13日に Microsoft が公開した緊急のホットパッチは 、Windows 11 version 24H2/25H2 に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2026-25172/CVE-2026-25173/CVE-2026-26111 に対処するものである。このアップデート KB5084597 は、OS Build 26200.7982/26100.7982 を対象としており、Windows の Routing and Remote Access Service (RRAS) 管理ツールに存在する 3 件の重大な脆弱性を修正するものだ。なお、この修正は、デバイス再起動を必要としない。
Continue reading “Windows RRAS の脆弱性 CVE-2026-25172/25173/26111 が FIX:緊急のホットパッチ提供”FortiGate Firewalls Exploited in Wave of Attacks to Breach Networks and Steal Credentials
2026/03/15 CyberSecurityNews ‐‐‐ FortiGate Next-Generation Firewalls (NGFW) を2026年初頭に侵害した脅威アクターが、エンタープライズ環境内に持続的な足場を確立しようとする、一連の侵入インシデントが確認された。いずれのケースも、攻撃者は目的を完全に達成する前のラテラル・ムーブメントの段階で阻止された。SentinelOne によると、この攻撃の波は 2025年12月から 2026年1月に公開された、Fortinet の 3 件の深刻な脆弱性と密接に関連しているという。
Continue reading “FortiGate のゼロデイ脆弱性 CVE-2026-24858 などを悪用:ネットワーク侵入と資格情報窃取を検出”Critical LangSmith Account Takeover Vulnerability Puts Users at Risk
2026/03/14 CyberSecurityNews — LangSmith に存在する深刻な脆弱性 CVE-2026-25750 を、Miggo Security の研究者たちが発見した。この脆弱性を悪用する攻撃者は、トークン窃取や完全なアカウント乗っ取りを引き起こす可能性がある。LangSmith は大規模言語モデルデータのデバッグおよび監視の中核プラットフォームとして機能し、毎日数十億件のイベントを処理する。そのため、この欠陥は、エンタープライズ AI 環境にとって極めて深刻なセキュリティ問題を引き起こす。
Continue reading “LangSmith の脆弱性 CVE-2026-25750 が FIX:API 設定不備とセッション情報の流出”Veeam Patches Multiple Critical RCE Vulnerabilities on Backup Server
2026/03/13 CyberSecurityNews — Veeam が公表したのは、Backup & Replication ソフトウェアに存在する深刻な脆弱性を修正する重要なセキュリティ・アップデートである。これらの欠陥を悪用する攻撃者は、リモートコード実行や権限昇格を可能にする恐れがある。2026年03月12日に公開された最新セキュリティ・パッチ (Build 12.3.2.4465) は、バックアップ・インフラを脅威から保護するために、管理者にとって必須のアップデートである。Veeam バックアップ・ソフトウェアに対する修正の継続的な適用は、現代のインフラ・セキュリティにおける重要な要素である。
Continue reading “Veeam の複数の深刻な脆弱性が FIX:リモートコード実行や権限昇格の恐れ”Two Newly Discovered Chrome Zero-Days Exploited in the Wild to Run Malicious Code
2026/03/12 gbhackers — Google が公表したのは、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性に対する、緊急セキュリティ・アップデートである。それらの脆弱性 CVE-2026-3909/CVE-2026-3910 は、いずれも深刻度 High に分類されており、実際の攻撃での悪用が確認されている。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、コード実行やシステム侵害から保護することだ。
Continue reading “Chrome 2件のゼロデイ CVE-2026-3909/3910 が FIX:実環境での悪用を確認”Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks
2026/03/12 CyberSecurityNews — AI アシスタントにより、日常の業務が急速に変革されている。それにより、大量のメール・インボックス管理/クライアント・コミュニケーション/インシデント・レスポンスを担当するチームの作業が効率化されている。Microsoft Copilot のようなツールが、日常のワークフローに直接統合され、Microsoft 365 エコシステム全体からコンテキストを取得しながら、メールやミーティングの内容を要約する。しかし、多くの組織が防御準備を整えていないため、この利便性による新たなセキュリティ境界の問題が生じている。
Continue reading “Microsoft Copilot の脆弱性 CVE-2026-26133 が FIX:Email/Teams 要約を介したフィッシング”GitLab Security Update – Patch for XSS and API DoS Vulnerabilities
2026/03/12 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する広範な脆弱性へ対応する緊急セキュリティ・アップデートである。新たに公開されたバージョン 18.9.2/18.8.6/18.7.6 は、深刻度 High の Cross-Site Scripting (XSS) および Denial-of-Service (DoS) 欠陥を含む、合計 15 件のセキュリティ問題を修正するものだ。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:深刻な XSS や API DoS 攻撃の問題に対処”2026/03/12 gbhackers — Palo Alto Networks が公開したのは、Cortex XDR Broker Virtual Machine (VM) で新たに発見された脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2026-0231 (Medium) を悪用する脅威アクターは、機密のシステム情報へのアクセスや変更を可能にする。Broker VM は、オンプレミスのネットワーク資産と、クラウド・ベースの Cortex XDR platform を接続する、重要なブリッジとして機能するものだ。そのため、このコンポーネントの保護は、組織全体の防御体制の維持にとって極めて重要である。
Continue reading “Palo Alto Cortex XDR Broker の脆弱性 CVE-2026-0231 が FIX:機密情報の漏洩/改竄の恐れ”Cisco IOS XR Software Vulnerability Allow Attacker to Execute Commands as Root
2026/03/12 CyberSecurityNews — Cisco が公開したのは、IOS XR Software に存在する 2 件の特権昇格の脆弱性 CVE-2026-20040/CVE-2026-20046 (High) に関するセキュリティ・アドバイザリである。これらの脆弱性を悪用する認証済みのローカル攻撃者は、影響を受けるルーティング・デバイスにおいて、root としての任意のコマンド実行の可能性と、完全な管理者権限を取得する可能性を得る。
Continue reading “Cisco IOS XR の脆弱性 CVE-2026-20040/20046 が FIX:root でのコマンド実行と管理者権限の取得”Splunk RCE Vulnerability Exposes Systems to Arbitrary Shell Command Execution by Attackers
2026/03/12 gbhackers — Splunk の Enterprise/Cloud Platform で発見された、深刻度 High のリモートコード実行 (RCE) の脆弱性は、システムに深刻なセキュリティ・リスクを招くものだ。この脆弱性 CVE-2026-20163 (CVSS:8.0) を悪用する脅威アクターは、ホスト・オペレーティング・システム上で、任意のシェル・コマンド実行の可能性を得る。このバグは、エンタープライズ・ソフトウェアにおける、入力値の不適切な無害化 (CWE-77) の危険性を示すものだ。
Continue reading “Splunk の RCE 脆弱性 CVE-2026-20163 が FIX:REST API における適切なサニタイズ”SolarWinds Web Help Desk Deserialization Vulnerability Enables Command Execution
2026/03/12 CyberSecurityNews — SolarWinds Web Help Desk に存在する深刻なセキュリティ脆弱性について、サイバーセキュリティ当局は警告を発し、システム管理者に対して直ちに対応するよう呼びかけている。脆弱性 CVE-2025-26399 を悪用する攻撃者は、ホスト・マシン上で不正なコマンドを直接実行する可能性を得る。この脆弱性は、連邦政府機関内での悪用が確認されていることから、米国 Cybersecurity and Infrastructure Security Agency (CISA) は Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。
Continue reading “CISA KEV 警告 26/03/09:SolarWinds Web Help Desk の脆弱性 CVE-2025-26399 を KEV カタログへ登録”Critical Vulnerability in Microsoft Office Allows Malicious Code to Run Remotely
2026/03/11 gbhackers — 2026年3月10日の Patch Tuesday で Microsoft が公開したのは、Office スイートに存在する深刻なセキュリティ脆弱性 CVE-2026-26110 の情報である。 このリモート・コード実行 (RCE) の脆弱性 (CVSS:8.4) は、Office ソフトウェアに依存する組織/個人にとって重大な脅威となる。企業ユーザーにおいては、IT 管理者/セキュリティ・チームによる迅速な対応が求められる。
Continue reading “Microsoft Office の RCE 脆弱性 CVE-2026-26110 が FIX:タイプ・コンフュージョンに起因”Microsoft Active Directory Domain Services Vulnerability Let Attackers Escalate Privileges
2026/03/11 CyberSecurityNews — 2026年3月10日 Patch Tuesday で、Active Directory Domain Services (AD DS) に存在する深刻な脆弱性 CVE-2026-25177 (CVSS:8.8:Important) が公開された。この脆弱性は、ファイル名およびリソース名に対する不適切な制限 (CWE-641) に起因し、認証済みのネットワーク攻撃者に権限昇格を許容するものである。
Continue reading “Microsoft AD DS の脆弱性 CVE-2026-25177 が FIX:Unicode SPN 偽装による SYSTEM 権限奪取”Microsoft .NET 0-Day Vulnerability Enables Denial-of-Service Attacks
2026/03/11 CyberSecurityNews — .NET の脆弱性 CVE-2026-26127 (CVSS:7.5:Important) は、2026年3月の Patch Tuesday でゼロデイとして公開されたものである。この脆弱性を悪用する未認証のリモート攻撃者は、ネットワーク経由で Denial-of-Service (DoS) 状態を引き起こせる。Windows/macOS/Linux 上の複数の .NET バージョンが影響を受けるため、管理者は公式パッチを速やかに適用する必要がある。
Continue reading “Microsoft .NET のゼロデイ DoS 脆弱性 CVE-2026-26127 が FIX:境界外読み込みによるクラッシュ”Microsoft SQL Server Zero-Day Vulnerability Allows Attackers to Escalate Privileges
2026/03/11 CyberSecurityNews — 2026年3月10日の Microsoft Patch Tuesday で、SQL Server に存在する深刻なゼロデイ脆弱性 CVE-2026-21262 (CVSS v3.1:8.8:Important) が公開された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデータベース・システム上の最高管理者レベルへの権限の昇格が可能となる。すでに情報が公開されている脆弱性であるため、エンタープライズ環境で SQL Server を運用する組織は深刻なリスクに直面している。
Continue reading “Microsoft SQL のゼロデイ CVE-2026-21262:最高管理者レベルへの権限昇格”Fortinet FortiManager fgtupdates Vulnerability Allows Attackers to Execute Malicious Commands
2026/03/10 CyberSecurityNews — Fortinet が公開したのは、FortiManager プラットフォームに存在する深刻なスタックバッファ・オーバーフローの脆弱性 CVE-2025-54820 の情報である。この脆弱性を悪用する未認証のリモート攻撃者は、不正なコマンドを実行する可能性を得る。この脆弱性 CVE-2025-54820 (CVSSv3:7.0) は、FortiManager を運用するエンタープライズ・ネットワーク管理環境内の、影響を受けるバージョンに対して深刻なリスクをもたらす。
Continue reading “FortiManager fgtupdates の脆弱性 CVE-2025-54820 が FIX:悪意のコマンド実行の恐れ”Gogs Flaw Could Let Attackers Quietly Overwrite Large File Storage Data
2026/03/10 gbhackers — オープンソースのセルフホスト型 Git サービスである Gogs において、深刻なセキュリティ脆弱性が確認された。この CVE-2026-25921 (CVSS:9.3) を悪用する未認証の脅威アクターは、任意のリポジトリの Git Large File Storage (LFS) オブジェクトを密かに上書きできる。コンテンツ検証の欠如を悪用する脅威アクターは、ステルス型のソフトウェア・サプライチェーン攻撃を実行し、正規のプロジェクト・ファイルをバックドアへと置き換えることが可能になる。
Continue reading “Gogs の脆弱性 CVE-2026-25921 が FIX:未認証ユーザーによる LFS データ改竄の恐れ”Ivanti Desktop and Server Management Vulnerability Allows Attackers to Escalate Privileges
2026/03/10 CyberSecurityNews — Ivanti が公開したのは、Desktop and Server Management (DSM) ソフトウェアのセキュリティ更新である。この脆弱性を悪用するローカルで認証済みの攻撃者は、影響を受けるシステム上で権限の昇格を達成する。この脆弱性 CVE-2026-3483 (CVSS:7.8) が影響を及ぼす範囲は、DSM 2026.1 以下の全バージョンである。
Continue reading “Ivanti DSM の脆弱性 CVE-2026-3483 が FIX:権限昇格を許す恐れ”SAP Security Update – Patch for Multiple Vulnerabilities that Enable Remote Code Execution
2026/03/10 CyberSecurityNews — SAP は 2026年3月 Patch Day において、15件の新規 Security Note を公開した。そこには、Remote Code Execution および完全なシステム侵害につながる可能性のある、2件の Critical 脆弱性が含まれる。すべての顧客に対して SAP が強く推奨するのは、Support Portal を確認し、迅速にパッチを適用することである。最も深刻な脆弱性は CVE-2019-17571 (CVSS 9.8) であり、SAP Quotation Management Insurance (FS-QUO 800) に影響する。
Continue reading “SAP の 2026年3月 Patch Day:未検出だった Log4j CVE-2019-17571 などに対応”Microsoft March 2026 Patch Tuesday fixes 2 zero-days, 79 flaws
2026/03/10 BleepingComputer — 今日は Microsoft の 2026年3月 Patch Tuesday の日であり、合計で 79件の脆弱性に対するセキュリティ更新が公開された。そこには、2件の公開済みゼロデイ脆弱性が含まれる。今回の更新では、3件の Critical 脆弱性も修正されており、そのうち 2件は Remote Code Execution (RCE) に、1件は Information Disclosure に分類される。
Continue reading “Microsoft 2026-03 月例アップデート:2 件のゼロデイを含む 79 件の脆弱性に対応”Cloudflare Pingora Flaws Enable Request Smuggling and Cache Poisoning Attacks
2026/03/10 gbhackers — Cloudflare が公表したのは、同社のオープンソース・フレームワーク Pingora に存在する、複数の HTTP リクエスト・スマグリングとキャッシュ・ポイズニングの脆弱性を修正する、最新のセキュリティ・アドバイザリである。それらの脆弱性 CVE-2026-2833/CVE-2026-2835/CVE-2026-2836 が影響を及ぼす範囲は、インターネットへ直接公開されたスタンドアロンの Pingora デプロイメント (ingress proxy) となる。
Continue reading “Cloudflare Pingora の脆弱性 CVE-2026-2833/2835/2836 が FIX:リクエスト・スマグリングなどに対応”CISA Flags SolarWinds, Ivanti, and Workspace One Vulnerabilities as Actively Exploited
2026/03/10 TheHackerNews — 3月9日 (月) に、米国の Cybersecurity and Infrastructure Security Agency (CISA) は、3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。それらの脆弱性は、SolarWinds Web Help Desk/Ivanti Endpoint Manager/Omnissa Workspace One UEM に存在するもので、連邦政府内での悪用が確認されている。
Continue reading “CISA KEV 警告 26/03/09:SolarWinds/Ivanti/Omnissa の脆弱性を登録”2026/03/10 CyberSecurityNews — Fortinet が 2026年3月10日に公開したのは、FortiManager /FortiAnalyzer/FortiSwitchAXFixed/FortiSandbox などの、中核となるエンタープライズ製品群に影響を及ぼす 11件の脆弱性に対処する包括的なセキュリティ・アドバイザリである。これらの脆弱性を悪用するリモート攻撃者は、認証バイパス/バッファ・オーバーフロー/OS コマンド・インジェクション/SQL インジェクション/任意のコマンド実行/権限昇格を可能にする。
Continue reading “Fortinet 製品群の脆弱性 11件が FIX:FortiSwitchAXFixed/FortiManager に深刻な影響”Vaultwarden Vulnerabilities Enable Privilege Escalation and Data Exposure
2026/03/09 gbhackers — Bitwarden 互換として、Rust 言語で実装された代替ソリューション Vaultwarden に、2件の深刻な脆弱性が発見された。脆弱性 CVE-2026-27803 (CVSS:8.3 High)/CVE-2026-27802 (CVSS:8.3 High) を悪用する攻撃者は、侵害済みの Manager アカウントを介して、認可チェックの回避と権限の昇格を行い、保存済みの機密認証情報を漏洩させる可能性がある。
Continue reading “Vaultwarden の脆弱性 CVE-2026-27802/27803 が FIX:権限昇格とデータ漏洩の可能性”Apache ZooKeeper Flaw Exposes Sensitive Data to Attackers
2026/03/09 gbhackers — 分散システムにおけるコンフィグ情報の命名と管理に使用される、集中型サービス Apache ZooKeeper に、重要なセキュリティ更新が提供された。 Apache Software Foundation によると、本番環境において機密データの漏洩やサーバなりすましを引き起こす可能性がある、2 件の Important レベルの脆弱性 CVE-2026-24308/CVE-2026-24281 が対処されたという。
Continue reading “Apache ZooKeeper の脆弱性 CVE-2026-24308/24281 が FIX:機密ログの漏洩とサーバなりすましの恐れ”CISA Warns of macOS and iOS Vulnerabilities Exploited in Attacks
2026/03/09 CyberSecurityNews — 2026年3月5日に CISA は、macOS/iOS/iPadOS などの Apple 製品に影響する 3 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この追加は、脅威アクターが実環境でこれらの欠陥を悪用していることを示すものであり、ネットワーク防御担当者に対する警告である。サイバー・リスクを管理する組織にとっては、即時のパッチ適用が最優先事項となる。
Continue reading “CISA KEV 警告 26/03/05:Apple macOS/iOS などにおける複数の脆弱性を登録”Critical ExifTool Flaw Lets Malicious Images Trigger Code Execution on macOS
2026/03/09 CyberSecurityNews — macOS システムが本質的にマルウェア耐性を持つという従来の認識が、新たに発見された脆弱性 CVE-2026-3102 により揺らいでいる。Kaspersky の Global Research and Analysis Team (GReAT) は、改竄された画像ファイルを処理するだけで、Mac 上で悪意のコード実行が可能になるという重大な欠陥を特定した。
Continue reading “ExifTool の脆弱性 CVE-2026-3102 が FIX:悪意の画像による RCE”Hackers Allegedly Selling Exploit for Windows Remote Desktop Services 0-Day Flaw
2026/03/08 CyberSecurityNews — Windows Remote Desktop Services に存在する権限昇格の脆弱性 CVE-2026-21533 (CVSSv3:7.8:High) に対するエクスプロイトを、脅威アクターがダーク Web フォーラムで $ 220K という高額で販売しているようだ。このエクスプロイトは、不適切な権限管理を武器化し、攻撃者にローカル管理者権限を付与することを目的としている。
Continue reading “Windows RDS の脆弱性 CVE-2026-21533:ダーク Web で販売されるエクスプロイトとは?”Critical Nginx UI flaw CVE-2026-27944 exposes server backups
2026/03/08 SecurityAffairs — Nginx UI に存在する、深刻な脆弱性 CVE-2026-27944 (CVSS 9.8) が明らかにされた。この脆弱性を悪用する未認証の攻撃者は、サーバの完全なバックアップをダウンロードし、復号できることが判明している。この欠陥は、機密設定情報/認証情報/暗号鍵の漏洩に直結する可能性があるため、管理インターフェイスを外部公開している組織にとって深刻なリスクとなる。
Continue reading “Nginx UI の脆弱性 CVE-2026-27944:管理者の認証情報や設定情報が漏洩”OpenAI’s Codex Security Built to Automate Vulnerability Discovery and Remediation
2026/03/07 gbhackers — OpenAI が正式に発表したのは、脆弱性の発見と修復の自動化を目的とする、高度なアプリケーション・セキュリティ・エージェント Codex Security である。これまでは、Aardvark として知られていたツールであり、現在はリサーチ・プレビュー版として提供されている。 最先端の AI モデルと自動検証を組み合わせることで、手動によるセキュリティ・レビューのボトルネックを解消し、トリアージ・ノイズを大幅に削減することを目的としている。これにより、開発チームによる安全なコードの出荷/リリースが迅速に行われるようになる。
Continue reading “OpenAI が Codex Security を正式発表:脆弱性の発見/検証/修復を自動化するセキュリティ AI”Cisco Patches 48 Firewall Vulnerabilities with Two CVSS 10 Flaws
2026/03/06 hackread — Cisco が公表したのは、Secure Firewall の Adaptive Security Appliance/Management Center/Threat Defense などのファイアウォール・プラットフォームに影響を及ぼす多数の脆弱性に対するセキュリティ・アップデートの詳細である。このリリースには、広く導入されているネットワーク・セキュリティ製品における 25 件のアドバイザリが含まれ、48 件の脆弱性が修正されている。
Continue reading “Cisco ファイアウォールの 48 件の脆弱性が FIX:CVE-2026-20079/20131 の CVSS 値は 10.0”WordPress Membership Plugin Vulnerability Let Attackers Create Admin Accounts
2026/03/06 CyberSecurityNews — WordPress 用 User Registration & Membership プラグインに存在する、セキュリティ脆弱性 CVE-2026-1492 (CVSS:9.8:Critical) が、研究者 Foxyyy により発見された。この脆弱性を悪用する未認証の攻撃者は、セキュリティ制御を回避して管理者アカウントを作成できるため、結果として Web サイトが完全に乗っ取られる。User Registration & Membership プラグインは、カスタムな登録フォームの作成と、ユーザー・プロファイル管理を支援するものだ。
Continue reading “WordPress Membership Plugin の脆弱性 CVE-2026-1492 が FIX:管理者アカウントの不正作成”AVideo Platform Vulnerability Allows Hackers to Hijack Streams via Zero-Click Command Injection
2026/03/06 gbhackers — AVideo プラットフォームが公開したのは、OS コマンド・インジェクションの脆弱性 CVE-2026-29058 (CVSS:9.8) である。この脆弱性 (CWE-78:特殊要素の不適切な無害化) を悪用する未認証のリモート攻撃者は、ユーザー操作や特権を必要とすることなく、ゼロクリックで悪意のシェルコマンドを実行し、メディア・サーバの完全な乗っ取りを可能にする。
Continue reading “AVideo プラットフォームの脆弱性 CVE-2026-29058 が FIX:OS コマンド・インジェクションの恐れ”Claude AI Uncovers 22 Firefox Vulnerabilities in Two Weeks
2026/03/06 CyberSecurityNews — 人工知能モデルは単純なコード補助ツールから、自律型の高度な脆弱性研究者へと急速に進化している。最近の Anthropic Claude Opus 4.6 は、厳しく監査されてきたはずのオープンソース・プロジェクトにおいて、500 件を超えるゼロデイ脆弱性を発見した。その一環として、2026年2月の 2 週間をかけて Mozilla と Anthropic が共同で実施した検証では、Firefox に存在していた 22 件のセキュリティ欠陥が Claude Opus 4.6 により特定されている。Mozilla は、そのうち 14 件を高深刻度と分類したが、この件数は、2025年に修正された Firefox の高深刻度脆弱性の約 20% に相当する。
Continue reading “Claude AI が発見した Firefox の脆弱性 22 件:2 週間にわたる Mozilla との共同検証の成果とは?”AWS-LC Flaw Exposes Amazon Users to Attacks by Bypassing Certificate Chain Validation
2026/03/06 gbhackers — Amazon が公表した重大なセキュリティ速報 (2026-005-AWS) は、同社のオープンソース暗号ライブラリ AWS-LC に存在する、きわめて深刻な 3 件の脆弱性を詳述するものだ。AISLE Research Team との協調開示プロセスを通じて発見された、これらの脆弱性はクラウド・インフラに対して深刻なリスクをもたらすものだ。AWS-LC は、デジタル通信の保護における汎用暗号ライブラリとして、数多くの開発者に利用されている。
Continue reading “Amazon AWS-LC の脆弱性 CVE-2026-3336/3337/3338 が FIX:証明書検証の回避の恐れ”Apache ActiveMQ Allow Attackers to Trigger DoS Attacks With Malformed Packets
2026/03/06 CyberSecurityNews — Apache ActiveMQ に存在する、脆弱性 CVE-2025-66168 (CVSS:5.4 Medium) の詳細が確認された。この脆弱性を悪用する認証済みの攻撃者は、不正に形成したネットワーク・パケットを送信することで、サービス拒否 (DoS) 攻撃を引き起こすことが可能である。この問題はセキュリティ研究者 Gai Tanaka により発見され、その後に、Apache メーリング・リスト上でメンテナー Christopher L. Shannon/Matt Pavlovich により確認された。
Continue reading “Apache ActiveMQ MQTT モジュールの脆弱性 CVE-2025-66168:整数オーバーフローと DoS 攻撃”PoC Exploit Released Cisco SD-WAN 0-Day Vulnerability Exploited in the Wild
2026/03/06 CyberSecurityNews — Cisco Catalyst SD-WAN Controller/SD-WAN Manager (vManage) に存在する最大深刻度のゼロデイ脆弱性 CVE-2026-20127 に対して PoC エクスプロイトが公開された。この脆弱性は、遅くとも 2023 年以降から現在にかけて、実環境で積極的に悪用されてきた。Cisco Talos によると、この活動は脅威クラスター UAT-8616 として追跡されている。同社は、「UAT-8616 は、世界中の重要インフラを標的とする、きわめて高度で洗練されたサイバー・アクターである」と説明している。
Continue reading “Cisco Catalyst SD-WAN ゼロデイ CVE-2026-20127:PoC エクスプロイト公開と実環境での悪用”Mail2Shell Zero-Click Attack lets Hackers Hijack FreeScout Mail Servers
2026/03/05 CyberSecurityNews — FreeScout に存在する、深刻なゼロクリック脆弱性が発見された。Mail2Shell と名付けられた、この脆弱性 CVE-2026-28289 を悪用する攻撃者は、ユーザー操作や認証を必要とせずに、サーバを乗っ取ることが可能になる。つまり、このオープンソースのヘルプデスク/共有メールボックスのユーザーは、きわめて危険な状況にある。
Continue reading “FreeScout の RCE 脆弱性 CVE-2026-28289 が FIX:メール送信のみでサーバ乗っ取りが可能”Google Releases Emergency Chrome Update to Fix 10 Security Vulnerabilities
2026/03/05 CyberSecurityNews — Google が公開したのは、Chrome 向けの重大なセキュリティ・アップデートであり、Windows/Mac 向けの 145.0.7632.159/160 と Linux 向けの 145.0.7632.159 が、すでに Stable チャネルでリリースされている。このアップデートでは 10 件の脆弱性が修正され、そのうちの 3 件は Critical と評価されている。今後の数日から数週間をかけて、順次展開されるという。
Continue reading “Google Chrome の 10 件の脆弱性が FIX:3 件の Critical と 7 件の High”New MongoDB Vulnerability Allows Attackers to Crash Servers, Exposing Critical Data
2026/03/05 gbhackers — MongoDB の OP_COMPRESSED ワイヤー・プロトコルに起因する DoS 脆弱性が、Cato CTRL のシニア セキュリティ研究者 Vitaly Simonovich により発見された。この脆弱性 CVE-2026-25611 (CVSS4.0:8.7) を悪用する未認証の攻撃者は、公開されている MongoDB サーバをクラッシュさせることが可能である。
Continue reading “MongoDB の DoS 脆弱性 CVE-2026-25611 が FIX:インターネット上の 207,000 インスタンスに影響”2026/03/04 SecurityAffairs ‐‐‐ 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Broadcom VMware Aria Operations/Qualcomm の各製品に関連する脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。今回カタログへ追加された脆弱性は、以下の 2件である。
IPVanish VPN for macOS Vulnerability Let Attackers Escalate Privilege and Execute Arbitrary Code
2026/03/04 CyberSecurityNews — macOS 向け IPVanish VPN アプリケーションにおいて、深刻な権限昇格の脆弱性 CVE-N/A が発見された。この欠陥を突くローカル・ユーザーは、ユーザー操作を必要とせずに、 root 権限での任意のコード実行を可能にする。 このセキュリティ欠陥により、コード署名検証を含む macOS のセキュリティ機能が完全にバイパスされるため、システムに深刻なリスクが生じる。
Continue reading “IPVanish VPN for macOS の脆弱性 CVE-N/A:未認証 XPC による root での任意のコード実行”Zenity Details Perplexity AI Browser Vulnerability
2026/03/03 SecurityBoulevard — Perplexity が開発した Comet AI ブラウザに対して、ゼロクリック攻撃が可能であることを Zenity が詳述している。同社は、AI アプリケーションと AI エージェントのセキュリティを確保するための、プラットフォームを提供する企業である。Zenity の CTO である Michael Bargury によると、PerplexedComet と命名された攻撃ベクターを悪用する攻撃者は、コンテンツの制御を可能にするという。その結果、接続されたツール/ワークフロー全体において、自律的な動作が引き起こされる恐れがある。
Continue reading “Perplexity AI Browser の脆弱性 CVE-N/A が FIX:カレンダーから間接的プロンプト・インジェクション”MS-Agent Vulnerability Exposes AI Agents to Remote Hijacking, Granting Full System Control
2026/03/03 gbhackers — 軽量 AI エージェント構築フレームワーク ModelScope MS-Agent に、深刻な脆弱性 CVE-2026-2256 が発見された。この脆弱性はコマンド・インジェクションの欠陥に起因し、AI エージェントの乗っ取りをリモート攻撃者に許すものであり、基盤となるコンピュータ・システムの完全奪取に至る可能性がある。
Continue reading “ModelScope MS-Agent の脆弱性 CVE-2026-2256:リモート・ハイジャックと乗っ取りの恐れ”
IoT OT Security News 
You must be logged in to post a comment.