Vulnerability – IoT OT Security News

Chrome エクステンション SiderAI／MaxAI に深刻な脆弱性：1,000 万台超の Chrome 環境に影響

Chrome Extensions’ Critical Flaws Let Attackers Easily Compromise Millions of Browsers

2026/06/19 CyberSecurityNews — 人気の Chrome エクステンションである SiderAI と MaxAI に深刻なセキュリティ上の脆弱性が発見され、数百万人のユーザーが危険にさらされている。これらの脆弱性を悪用する攻撃者は、ブラウザ・セッションを完全に乗っ取り、Web サイトやローカル・システム上の機密データにアクセスする可能性がある。

CISA KEV 警告 26/06/18：Splunk Enterprise の脆弱性 CVE-2026-20253 を KEV に登録

CISA Warns of Splunk Enterprise Critical Function Vulnerability Actively Exploited in Attacks

2026/06/19 CyberSecurityNews — CISA は、Splunk Enterprise に存在する深刻な脆弱性が、実際の環境で積極的に悪用されているとして、組織に警告する高優先度アラートを発出した。この脆弱性 CVE-2026-20253 は、エンタープライズ環境に対する差し迫ったリスクを示しており、CISA の Known Exploited Vulnerabilities (KEV) カタログに追加された。

Node.js の 12件の脆弱性が FIX：プロセス・クラッシュや認証バイパスなどの恐れ

Node.js Releases Security Updates for 12 Vulnerabilities, Two Rated High Severity

2026/06/19 gbhackers — Node.js が発表したのは、サポート対象リリース系列全体に存在する、12 件の脆弱性に対処する重要なセキュリティ・アップデートである。その中には、サービス拒否 (DoS) 状態や認証バイパスにつながる可能性がある、2 件の高深刻度の欠陥が含まれる。これらのアップデートは、2026年6月18日に Node.js バージョン 22.x／24.x／26.x に対してリリースされている。パッチ適用済みバージョンは、v22.23.0／v24.17.0／v26.3.1 となる。

Apache HTTP Server の脆弱性 “HTTP/2 Bomb” CVE-2026-49975 にPoC：DDoS 攻撃を実証

PoC Exploit Released for HTTP/2 Bomb Remote DoS Vulnerability in Apache HTTP Server

2026/06/18 CyberSecurityNews — Apache が公開したのは、HTTP Server に存在する深刻なサービス拒否の脆弱性 CVE-2026-49975 に対する PoC (proof-of-concept) エクスプロイト情報である。この脆弱性は “HTTP/2 Bomb” と呼ばれている。この欠陥を突くリモート攻撃者は、認証を必要とすることなくサーバのメモリを枯渇させ、サービスを妨害できる。そのため、パッチ未適用の Apache デプロイメントを運用する組織に、重大なリスクが生じている。

NGINX の脆弱性 CVE-2026-42530／42055 が FIX：DoS と RCE の可能性

F5 Patches NGINX Vulnerability Enabling Code Execution and DoS Attacks

2026/06/18 gbhackers — F5 がリリースしたのは、NGINX コンポーネントに存在する複数の高深刻度の脆弱性 CVE-2026-42530／CVE-2026-42055 に対処するための、定例外のセキュリティ通知である。これらの脆弱性は、特定のコンフィグにおいてリモート・コード実行 (RCE) およびサービス拒否 (DoS) 攻撃を引き起こす可能性がある。F5 がユーザーに推奨するのは、影響を受けるデプロイメントに対する速やかなパッチ適用もしくはアップグレードである。

AWS Continuum がデビュー：脆弱性の検出と修正をマシンスピードで！

AWS Launches Continuum to Detect and Fix Code Vulnerabilities at Machine Speed

2026/06/18 gbhackers — AWS が導入した “Continuum” は、コードに存在する脆弱性をマシン速度で検出／検証／修復するよう設計された、新しいセキュリティ機能である。それが示すのは、従来のテレメトリ重視のセキュリティ・モデルから、自動化されたコンテキスト駆動型の修復へと移行していく流れである。2026年6月17日に限定的なプレビューとして発表された、高度な AI モデルを活用する AWS Continuum は、現代的な開発環境やフロンティア AI システムが生み出す脆弱性の増加に対処するものだ。

Firefox 152 がリリース：RCE などの複数の脆弱性に対応

Multiple Vulnerabilities in Firefox 152 Enables Remote Code Execution Attacks

2026/06/18 CyberSecurityNews — Mozilla がリリースした Firefox 152 は、複数の高深刻度の脆弱性を修正し、リモート・コード実行 (RCE) およびサンドボックス・エスケープ攻撃に対処するものである。2026年6月16日に公開されたセキュリティ・アドバイザリが強調するのは、ブラウザのコア・コンポーネントに影響を及ぼす広範な欠陥であり、ユーザーによる速やかなアップデートの重要性が示されている。

WordPress SMTP Plugin の脆弱性 CVE-2026-4020：高機密コンフィグ・データの抽出を検出

Hackers Exploit WordPress SMTP Plugin With 100,000+ Installs to Steal Sensitive Data

2026/06/18 gbhackers — 広く使用されている Gravity SMTP WordPress プラグインに存在する、深刻なセキュリティ欠陥を積極的に悪用する脅威アクターが、API キーや認証トークンを含む機密性の高いコンフィグ・データを抽出している。この脆弱性 CVE-2026-4020 (CVSS 5.3) は、バージョン 2.1.4 以下に影響を及ぼすものであり、10 万を超える Web サイトを潜在的な侵害にさらしている。

Cisco ISE の CVE-2026-20181／20190 が FIX：リモートコード実行の可能性

Critical Cisco ISE Vulnerability Allows Attacker to Execute Malicious Code Remotely

2026/06/18 CyberSecurityNews — Cisco が公表したのは、同社の Identity Services Engine (ISE) に存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用する攻撃者は、リモートから悪意のあるコードを実行し、機密データへアクセスする可能性があるため、エンタープライズ・ネットワークに深刻なリスクをもたらす。

Splunk AI Toolkit の脆弱性 CVE-2026-20266 が FIX：任意の OS コマンド実行の恐れ

Splunk AI Toolkit Vulnerability Enables Arbitrary OS Command Execution Attacks

2026/06/18 CyberSecurityNews — Splunk が公表したのは、同社の AI Toolkit に存在する深刻なセキュリティ脆弱性 CVE-2026-20266 に関する情報である。この脆弱性を悪用する攻撃者は、影響を受けるシステム上での任意の OS コマンド実行の可能性を得る。この脆弱性は CVSS スコア 9.1 と評価され、CWE-78 として分類されており、エンタープライズ環境への深刻な影響を示している。この脆弱性の影響が及ぶ範囲は、Splunk AI Toolkit バージョン 5.7.4 未満である。Splunk によると、この脆弱性は AI Toolkit 内のコンフィグ関連の処理を担う btool コンフィグ・ヘルパーに存在する。

Anthropic Fable 論争が問う知能統制の限界：国家が防御サイドを弱体化させる？

Trying to Control AI is Like Holding Sand

2026/06/17 SecurityBoulevard — ほぼ 1 週間にわたる Anthropic の Fable モデルをめぐる議論は、1 つの AI 企業と米国政府との対立として捉えられてきた。しかし、この議論は、その枠組みに当てはまらず、はるかに大きなものへと拡大している。つまり、知能そのものの本質をめぐって、サイバーセキュリティ分野で最も尊敬される専門家たちと、政策立案者との間で繰り広げられる、公的な意見の対立になってしまっている。

FortiBleed という偵察キャンペーンを検出：194 カ国にわたる 73,932 件の URL でログインチェック中

FortiBleed Attack Exposes Fortinet Firewall Credentials in 194 Countries

2026/06/17 hackread — Fortinet FortiGate ファイアウォールを標的とする、新たな攻撃キャンペーンにより、公開された VPN および管理者アクセスが危険な状況に置かれている。研究者たちは、この活動について、大手企業や公共部門組織に影響を及ぼす、数万件の検証済みファイアウォール・ログインと結び付けている。サイバーセキュリティ企業 Hudson Rock によると、研究者 Volodymyr “Bob” Diachenko が特定したデータセットには、194 カ国にわたる、一意の Fortinet ファイアウォール URL 73,932 件が含まれており、その影響を受けるドメインは 21,632 件に達するという。

OpenBSD の脆弱性 CVE-2026-55706 が FIX：27年前からの認証バイパスを発見

27-Year-Old OpenBSD Security Flaw Exposes Systems to Full PAP Authentication Bypass

2026/06/17 gbhackers — OpenBSD の PPP スタックに、深刻な脆弱性 CVE-2026-55706 が発見され、2026年6月に修正された。この脆弱性を悪用する攻撃者は、Password Authentication Protocol (PAP) 検証をバイパスし、不正なネットワーク・アクセスを取得できる。この脆弱性の原因は、1999年にさかのぼるレガシーコードにあり、現代のオペレーティング・システムに至るまで長期間にわたり残存した。

CISA KEV 警告 26/06/12：Oracle PeopleSoft の脆弱性 CVE-2026-35273 を登録

CISA Issues Alert on Oracle PeopleSoft Vulnerability Exploited by Ransomware Groups

2026/06/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle PeopleSoft Enterprise PeopleTools に存在する、深刻な脆弱性 CVE-2026-35273 (CWE-306) の積極的な悪用に関する緊急アラートを発出した。この脆弱性を悪用する未認証の攻撃者は、脆弱な PeopleSoft 環境の完全な制御を可能にする。

LiteLLM の脆弱性 CVE-2026-49468 が FIX：Host ヘッダー処理不備と管理エンドポイントの露出

Critical LiteLLM Flaw Allows Authentication Bypass via Host Header Injection

2026/06/17 CyberSecurityNews — LiteLLM に存在する、深刻なセキュリティ脆弱性 CVE-2026-49468 の情報が開示された。LiteLLM は、LLM API の管理に使用されるプロキシであり、採用例が拡大している。この脆弱性を悪用する攻撃者は、Host ヘッダーの不適切な処理を突くことで、特定の条件下における認証メカニズムのバイパスを可能にする。影響を受けるのは LiteLLM 1.84.0 より前のバージョンであり、深刻度は Critical と評価されている。

Chrome に存在する 7件の Critical 脆弱性などが FIX：メモリ破壊による任意のコード実行

Critical Chrome Vulnerabilities Allow Attackers to Execute Arbitrary Code – Update Now!

2026/06/17 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザ向けの重要なセキュリティ・アップデートである。一連の Critical 脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行する恐れがある。それらの欠陥は、ブラウザのコア・コンポーネントに影響するため、ユーザーに強く推奨されるのは速やかなアップデートである。最新の Chrome Stable チャネルは、Windows／macOS 向けのバージョン 149.0.7827.155／.156 と、Linux 向けの 149.0.7827.155 が提供されている。

CISA KEV 警告 26/06/15：Cisco SD-WAN と LiteSpeed cPanel プラグインの脆弱性を KEV に登録

U.S. CISA adds Cisco Catalyst and LiteSpeed cPanel plugin flaws to its Known Exploited Vulnerabilities catalog

2026/06/16 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が、Cisco Catalyst および LiteSpeed cPanel プラグインの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに登録した。今回、カタログに追加された 2 件の脆弱性は、以下のとおりである。

CVE-2026-20262 (CVSS 6.5)：Cisco Catalyst SD-WAN Manager のディレクトリまたはパス・トラバーサルの脆弱性
CVE-2026-54420 (CVSS 8.5)：LiteSpeed cPanel Plugin の UNIX シンボリック・リンク (Symlink) 追跡の脆弱性

英国政府主催の AI ハッカソン：エージェントによるコード分析で 407 件の脆弱性を特定

UK Government Finds 400+ Vulnerabilities in AI Hackathons

2026/06/15 InfoSecurity — 英国政府が明らかにしたのは、フロンティア AI モデルを活用した一連の内部ハッカソンの結果として、数百件の脆弱性を発見／修正したことである。この毎週開催された対面形式のイベントは、Government Cyber Coordination Centre (GC3) による取り組みであり、National Cyber Security Centre (NCSC) と Department for Science, Innovation and Technology (DSIT) の共同イニシアチブとして実施された。その目的は、AI モデルを用いることで、9 つの政府省庁にまたがる公開コード・リポジトリをスキャンすることにあったとされる。

SimpleHelp の脆弱性 CVE-2026-48558 が FIX：OIDC 認証の不備と不正なリモート管理アカウント作成

SimpleHelp bug lets hackers create rogue remote support accounts

2026/06/15 BleepingComputer — SimpleHelp リモート管理ソフトウェアに存在する、脆弱性を悪用する未認証の攻撃者は、OpenID Connect (OIDC) 認証プロトコルを利用するサーバ上で、特権を持つ Technician アカウントを作成できる。この脆弱性 CVE-2026-48558 は、深刻度 Critical と評価されており、SimpleHelp のバージョン 5.5.15 以下／6.0 のプレ・リリース版に影響する。

Cisco SD-WAN のゼロデイ脆弱性 CVE-2026-20262 が FIX：root 権限昇格の恐れ

Cisco fixes SD-WAN vManage flaw exploited in zero-day attacks

2026/06/15 BleepingComputer — Cisco が公表したのは、Catalyst SD-WAN Manager に存在する脆弱性 CVE-2026-20262 に対処するためのセキュリティ・アップデートのリリースである。この脆弱性は、root 権限への昇格を目的とした実際の攻撃で悪用されている。以前は SD-WAN vManage として知られていた Catalyst SD-WAN Manager は、単一のダッシュボードから最大 6,000 台の SD-WAN デバイスを管理するための、ネットワーク管理ソフトウェアである。

Microsoft 365 Copilot の深刻な脆弱性チェーン SearchLeak：ワンクリックで機密情報を流出

Critical Microsoft 365 Copilot Vulnerability Allows Attackers to Steal Data in One Click

2026/06/15 CyberSecurityNews — Microsoft 365 Copilot Enterprise に存在する、深刻な脆弱性チェーンを悪用する攻撃者が、正規の Microsoft ドメインを指すリンクを 1 回クリックさせるだけで、企業の機密データ／MFA コード／メールの内容／カレンダーの詳細／機密ファイルを窃取できる状態にあった。

Jenkins の RCE 脆弱性 CVE-2026-53435：デシリアライズを悪用する攻撃キャンペーンを観測

Jenkins RCE Flaw Exploited by Attackers in the Wild

2026/06/15 gbhackers — Jenkins に存在するリモート・コード実行 (RCE) 脆弱性 CVE-2026-53435 が、現在進行形で積極的に悪用されている。この脆弱性は、Jenkins の config.xml 処理時における安全でないデシリアライズに起因するものであり、未認証または低権限の攻撃者に対して、脆弱なインスタンス上での任意のコード実行を許すものだ。そのため、広く利用されている CI/CD 自動化サーバに依存する組織に深刻なリスクが生じている。

WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088：ロシア系脅威グループによる悪用が継続

Russia-Aligned Hackers Exploit Old WinRAR Vulnerability to Target Ukrainian Organizations

2026/06/15 gbhackers — 2025年7月の時点で修正された WinRAR のパス・トラバーサル脆弱性 CVE-2025-8088 は、ウクライナを標的とする複数の侵入グループにとって、依然として強力な初期アクセス・ベクターである。2026年4月までの攻撃分析によると、この脆弱性を悪用する少なくとも 2 つの異なるキャンペーンが確認されている。1 つは SHADOW-EARTH-066 と命名された侵入グループ (CERT-UA により UAC-0226 として追跡) に帰属するコンパイル済みスティーラー・チェーンであり、もう 1 つはロシア寄りの Earth Dahu (Gamaredon) が使用する HTA ベースのスパイ活動チェーンである。

Palo Alto GlobalProtect VPN の脆弱性 CVE-2026-0257：積極的な悪用を観測

Palo Alto Warns of GlobalProtect VPN Vulnerability Actively Exploited in the Wild

2026/06/15 CyberSecurityNews — Palo Alto Networks Unit 42 が公表したのは、PAN-OS GlobalProtect のポータル／ゲートウェイ・コンポーネントに影響を及ぼす、深刻な認証バイパス脆弱性 CVE-2026-0257 の積極的な悪用に関する緊急の警告である。この脆弱性を悪用する未認証のリモート攻撃者は、セキュリティ制御を回避し、不正な VPN 接続を開始できる。

Wazuh の脆弱性 CVE-N/A (CVSS 10.0) が FIX：危険なインジェクション・プリミティブ

Critical Wazuh Flaw Enables Threat Actors to Alter Alerts and Remove Logs

2026/06/15 gbhackers — Wazuh Manager に存在する深刻なセキュリティ脆弱性 CVE-N/A (CVSS 10.0) を悪用する未認証の脅威アクターが、新しいインベントリ同期パイプラインにおける入力検証の弱点を突く可能性がある。それにより、アラートの改竄／フォレンジック証拠の削除／任意の OpenSearch 操作の実行などが引き起こされる恐れがある。この脆弱性は、GitHub アドバイザリ GHSA-ff9g-85jq-r3g3 として追跡され、Wazuh Manager バージョン 5.0.0-beta1 に影響を及ぼす。

Splunk Enterprise の脆弱性 CVE-2026-20253 が FIX：認証前 RCE チェーンを確認

Critical Splunk Enterprise Pre-Auth RCE Chain Exposes Databases

2026/06/13 gbhackers — Splunk Enterprise において、認証前リモート・コード実行 (RCE) 脆弱性 CVE-2026-20253 (CVSS 9.8) が公表された。この脆弱性は 2026年6月10日に Splunk により公開されたものであり、Splunk バージョン 10 で導入された、PostgreSQL Sidecar Service に影響を及ぼす。CVE-2026-20253 の根本原因は、PostgreSQL Sidecar Service の HTTP API エンドポイントである “/v1/postgres/recovery/backup” および “/v1/postgres/recovery/restore” に認証制御が存在しない点にある。

LangGraph における深刻な脆弱性チェーン：リモート・コード実行とサーバの完全制御

Critical Vulnerability Chain in LangGraph Allows Attackers to Gain Full Server Control

2026/06/12 CyberSecurityNews — 人気のオープンソース AI エージェント・フレームワーク LangGraph において、攻撃者によるサーバの完全な制御を許すリモート・コード実行 (RCE) の脆弱性チェーンが発見された。この問題は、Check Point Research により特定されたものであり、機密データやワークフローを管理する AI 駆動型システムに取り込まれると、危険性が大幅に増大する可能性があるという。

Palo Alto PAN-OS の脆弱性 CVE-2026-0273／0272／0269 が FIX：root 権限での任意のコマンドなど

Palo Alto PAN-OS Vulnerability Allows Attackers to Execute Arbitrary Commands as Root User

2026/06/12 CyberSecurityNews — Palo Alto Networks は、PAN-OS に存在する新たなコマンド・インジェクションの脆弱性 CVE-2026-0273 の修正を公表した。この脆弱性を悪用する認証済みの管理者は、CLI または Web 管理インターフェイス経由で root 権限による任意のコマンドを実行できる。また、同じアドバイザリに記載される Medium の脆弱性として、CLI における権限昇格の脆弱性 CVE-2026-0272 と、トンネル・トラフィックにおけるサービス拒否 (DoS) の脆弱性 CVE-2026-0269 も修正されている。

Oracle PeopleSoft ゼロデイ脆弱性 CVE-2026-35273：ShinyHunters による攻撃キャンペーン

Oracle PeopleSoft Zero-Day RCE Vulnerability Exploited by ShinyHunters

2026/06/12 gbhackers — Oracle PeopleSoft に新たに発見されたゼロデイ脆弱性が、脅威グループ ShinyHunters により積極的に悪用されていることが、Mandiant と Google Threat Intelligence Group (GTIG) による共同調査により明らかになった。この CVE-2026-35273 は CVSS スコア 9.8 (High) と評価されており、Environment Management コンポーネントに影響を与え、認証不要のリモート・コード実行を引き起こす。

Chrome の 28件の脆弱性が FIX：メモリ破損の欠陥による任意のコード実行など

Google Patches 28 Chrome Vulnerabilities that Allow Attackers to Execute Malicious Code

2026/06/12 CyberSecurityNews — Google が公表したのは、28 件の脆弱性に対処する新たな Chrome セキュリティ・アップデートである。その中には、攻撃者による悪意のコード実行を許す、複数の Critical な脆弱性が含まれている。最新の Chrome Stable チャネル・アップデートでは、Windows／macOS 向けのバージョン 149.0.7827.114／.115 と、Linux 向けの 149.0.7827.114 が提供されている。

脆弱性修正までの時短は必須？AI を悪用する脅威アクターに対抗するために – Cloud Security Alliance

Survey: Organizations Take Too Long to Fix Application Vulnerabilities

2026/06/11 SecurityBoulevard — グローバルな調査レポート “2026 State of Modern Application & AI Security” により、902 人の IT／Security 専門家のうち 80% が、過去 12 カ月の間にアプリケーション・セキュリティ・インシデントの影響を受けた組織に所属し、そのうち 36% が複数回のインシデント対応を経験していることが判明した。

GitLab の複数の脆弱性が FIX：アカウント乗っ取り／データ露出などの恐れ

GitLab Patches Multiple Vulnerabilities Allowing Account Takeover

2026/06/11 gbhackers — GitLab が公開したのは、GitLab CE/EE の複数の脆弱性を修正するセキュリティ・アップデートである。それらを未修正で放置すると、アカウント乗っ取り／データ露出／サービス拒否を引き起こす可能性がある。管理者に推奨されるのは、該当する環境に応じて GitLab 19.0.2／18.11.5／18.10.8 へアップグレードし、これらの問題を完全に緩和することだ。

Anthropic Fable 5 をジェイルブレイク：安全性分類器の突破とシステム・プロンプトの大量流出

Anthropic’s Claude Fable 5 Jailbroken to Generate Stack Exploits

2026/06/11 CyberSecurityNews — 2026年6月9日に Anthropic が公開したのは、これまでに同社が開発した中で最も高性能な AI であり、新たな Mythos クラスに属する、初の一般提供モデル Claude Fable 5 である。このモデルは、ソフトウェア・エンジニアリング／ナレッジワーク／ビジョン分野などのベンチマークで優れた性能を示している。しかし、研究組織である Pliny the Liberator が、マルチエージェント分解／Unicode のトリック／ナラティブ・フレーミングを用いて Claude Fable 5 の安全性分類器を突破し、その過程で約 120,000 文字に及ぶシステム・プロンプトを流出させた。

Linux KVM/arm64 の VM エスケープ脆弱性 CVE-2026-46316 が FIX：PoC の公開と悪用リスク

PoC Exploit Released for Linux Kernel Guest-to-Host Escape Vulnerability

2026/06/11 gbhackers — Linux Kernel の深刻な脆弱性 CVE-2026-46316 に対して、PoC エクスプロイトが公開された。この脆弱性は KVM/arm64 環境に存在し、ゲストからホストへのエスケープを可能にするものであり、セキュリティ研究者 Hyunwoo Kim (V4bel) により ITScape と命名されている。

Langflow のパス・トラバーサル脆弱性 CVE-2026-5027 ：実環境での悪用を確認

Path traversal flaw in AI dev platform Langflow exploited in attacks

2026/06/10 BleepingComputer — AI 開発プラットフォーム Langflow に存在する、深刻なパス・トラバーサル脆弱性 CVE-2026-5027 を積極的に悪用する攻撃者が、公開されているサーバに任意のファイルを書き込んでいる。Langflow はオープンソースのビジュアル・プラットフォームであり、従来のコーディングを置き換えるドラッグ＆ドロップ・インターフェイスを用いて、AI アプリケーション／AI エージェント／検索拡張生成 (RAG) システム／MCP ベースのワークフローを構築するためのものだ。AI 開発チームに広く利用されており、GitHub 上で 149,000 以上のスターと 9,200 以上のフォークを獲得している。

OpenSSL の脆弱性 CVE-2026-45447 などが FIX：任意のコード実行の可能性

Critical OpenSSL Vulnerabilities Enable Remote Code Execution Attacks

2026/06/10 CyberSecurityNews — 2026年6月9日に公開された OpenSSL のセキュリティ・アドバイザリは、特別に細工された PKCS7 または S/MIME 署名メッセージをアプリケーションが処理した場合に発生し得る、リモート・コード実行の脆弱性について警告している。この脆弱性 CVE-2026-45447 (深刻度 High) は、PKCS7_verify 関数に存在するヒープ use-after-free バグに起因する。それにより、メモリ破壊が引き起こされ、特定のデプロイ環境では任意のコード実行に至る可能性がある。

Microsoft RDP の脆弱性 CVE-2026-42908／45639：機密データ漏洩の恐れ

Windows RDP Vulnerabilities Allow Attacker to Expose Sensitive Data

2026/06/10 CyberSecurityNews — Windows Remote Desktop Protocol (RDP) に存在する、情報漏えい脆弱性 CVE-2026-42908／CVE-2026-45639 が、2026年6月9日にリリースされた Microsoft Patch Tuesday で修正された。いずれも RDP スタックにおける境界外読み取りに起因し、深刻度 Important と評価され、CVSS v3 ベーススコアは 7.5 である。

ServiceNow の脆弱性 CVE-N/A：顧客インスタンス・テーブルへの不正クエリの可能性

ServiceNow Confirms Vulnerability Allowing Unauthorized Access to Customer Instance Tables

2026/06/10 CyberSecurityNews — ServiceNow が認めたのは、顧客インスタンスのテーブルに対するクエリ実行を、未認証の攻撃者に許す可能性のある、セキュリティ脆弱性 CVE-N/A の存在である。脅威インテリジェンス・チャネルを通じて明らかになったのは、この問題により、企業環境全体におけるデータ露出や情報漏洩への懸念が高まっていることである。情報によると、不適切なアクセス制御を突く攻撃者が、適切な認証なしにバックエンドのインスタンス・テーブルに対してクエリを実行する可能性があるという。

CISA KEV 警告 26/06/09：Google Chromium の脆弱性 CVE-2026-11645 を登録

CISA Issues Alert on Actively Exploited Google Chromium Zero-Day Flaw

2026/06/10 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、悪意の Web コンテンツを通じて任意のコード実行を可能にする、Google Chromium のゼロデイ脆弱性 CVE-2026-11645 について警告を発出した。この脆弱性は Chromium の V8 JavaScript エンジンに影響する境界外読み取りおよび書き込みの問題を含むものであり、CWE-787／CWE-125 に分類される。細工された HTML ページを、ユーザーが閲覧する際にトリガーされる欠陥であり、リモートの攻撃者に対して、ブラウザのサンドボックス内での任意のコード実行を許す可能性がある。

Ivanti Sentry の脆弱性 CVE-2026-10520／10523 が FIX：root 権限での RCE

Ivanti: Max severity Sentry flaw allows code execution as root

2026/06/10 BleepingComputer — セキュリティ・ソフトウェア企業 Ivanti が公開したのは、同社のセキュア・モバイル・ゲートウェイ・ソリューションである Ivanti Sentry に存在する 2 件の深刻な脆弱性に対処するためのパッチである。それらの脆弱性には、リモートの攻撃者に root 権限でのコード実行を許す最大深刻度の欠陥も含まれている。

Fortinet FortiSandbox の脆弱性 CVE-2026-25089 が FIX：OS コマンド・インジェクション

Fortinet FortiSandbox Vulnerability Lets Attackers Execute Unauthorized Commands

2026/06/10 gbhackers — Fortinet が公表したのは、FortiSandbox 製品における深刻な脆弱性に関する情報である。この脆弱性 CVE-2026-25089 を悪用する未認証の攻撃者は、不正なコマンド実行の可能性を手にするため、マルウェア分析のためにサンドボックスを利用する企業にとって重大な懸念となる。

Anthropic Mythos の性能テスト：実験として Firefox と Windows の N-Day 脆弱性を攻撃

Anthropic’s Mythos Can Serve Up N-Day Exploits in Minutes or Hours

2026/06/09 SecurityBoulevard — Anthropic の Claude Mythos Preview の Zero-day 脆弱性を検出する能力と、それを悪用するエクスプロイトを迅速に開発する能力に対して、ここ数ヶ月におけるサイバー・セキュリティ分野の焦点が当て続けられてきた。ただし、同様の能力は、すでに公開され一部のシステムではパッチ適用済みである、N-day 脆弱性に対しても悪用できる。この状況は、Anthropic が “パッチ・ギャップ” と呼ぶ状態を生み、未更新のシステムを攻撃にさらす。

Google Chrome の脆弱性 CVE-2026-11645：実環境での積極的な悪用を確認

Google patches new Chrome zero-day flaw exploited in the wild

2026/06/09 BleepingComputer — 2026年6月8日に Google が公表したのは、Chrome の新たな脆弱性に対処する緊急アップデートのリリースである。このセキュリティ・アドバイザリにおいて、「脆弱性 CVE-2026-11645 に対するエクスプロイトが実環境に存在することを認識している」と、同社は述べている。今年に入ってから修正されたゼロデイは、これで 5 件目となる。

LiteLLM の脆弱性 CVE-2026-42271 と深刻な攻撃チェーン：Starlette BadHost との連鎖と RCE

LiteLLM Vulnerability Allows Attackers to Execute Arbitrary Commands on Servers

2026/06/09 gbhackers — LiteLLM に影響を及ぼす深刻な脆弱性チェーンが特定され、未認証でのリモートコード実行 (RCE) が可能となることが明らかとなった。2026年5月に修正された LiteLLM の脆弱性 CVE-2026-42271 が、Starlette フレームワークの脆弱性 CVE-2026-48710 と連鎖すると、認証制御のバイパスと任意のシステム・コマンド実行が可能になる。それにより、LiteLLM デプロイメントに依存する AI インフラに、深刻なリスクが生じている。

Veeam の深刻な脆弱性 CVE-2026-44963 が FIX：バックアップサーバに対する RCE の可能性

Critical Veeam Vulnerability Allows RCE Attacks on Backup Servers

2026/06/09 CyberSecurityNews — 広く展開されているエンタープライズ向けバックアップ・ソリューション Veeam Backup & Replication に影響を及ぼす深刻なセキュリティ脆弱性が開示された。この脆弱性 CVE-2026-44963 (CVSS v4：9.4：Critical) を悪用する認証済みのドメイン・ユーザーは、バックアップ・サーバ上で任意のリモート・コード実行を可能とするため、データの保護／復旧の運用を Veeam に依存する組織に深刻なリスクが生じている。

Apache HTTP Server の複数の脆弱性が FIX：コード実行や権限昇格の恐れ

Apache HTTP Server 2.4.68 Patches Multiple Security Vulnerabilities

2026/06/09 gbhackers — Apache は HTTP Server バージョン 2.4.68 をリリースし、コアモジュールとコンポーネントに存在する複数のセキュリティ脆弱性に対応した。このアップデートは、バージョン 2.4.67 以下に影響を及ぼす、メモリ安全性／権限昇格／サービス拒否／入力検証の欠陥などの問題を修正するものだ。複数の中程度の脆弱性により、クラッシュ／境界外読み取り／権限の不正利用などが引き起こされる可能性がある。

Microsoft 2026-06 月例アップデート：Critical 4 件を含む 200 件の脆弱性に対応

Microsoft June 2026 Patch Tuesday fixes 3 zero-day, 200 flaws

2026/06/09 BleepingComputer — Microsoft の 2026年06月 Patch Tuesday では、200 件の脆弱性に対するセキュリティ更新が提供されたが、そのうちの 3 件は、すでに情報が公開済みのゼロデイ脆弱性である。また、今回の Patch Tuesday では、Critical に分類される脆弱性が 33 件修正されているが、その内訳はリモートコード実行 28 件／権限昇格 4 件／情報漏洩 1 件となる。

Check Point VPN のゼロデイ脆弱性 CVE-2026-50751：ランサムウェア攻撃を確認

Check Point VPN 0-day Vulnerability Exploited in the Wild to Deploy Ransomware

2026/06/08 CyberSecurityNews — Check Point Research が認めたのは、同社の Remote Access VPN および Mobile Access 環境に存在する深刻な認証バイパスの脆弱性 CVE-2026-50751 (CVSS：9.3) が実環境で悪用されていることである。また、侵害後の攻撃活動が Qilin ランサムウェア・グループと関連していることも明らかになった。

VMware VCF Operations の脆弱性 CVE-2026-41722／41723／41724 が FIX：深刻な蓄積型 XSS

Multiple VMware Stored XSS Flaw Enable Attackers to Inject Malicious Scripts

2026/06/08 gbhackers — VMware は VMware Cloud Foundation (VCF) Operations に影響を及ぼす、複数の深刻な蓄積型クロスサイト・スクリプティング (XSS) 脆弱性を公表した。これらの欠陥を突く攻撃者は、悪意のスクリプトを注入し、管理環境を侵害する可能性がある。これらの脆弱性 CVE-2026-41722／CVE-2026-41723／CVE-2026-41724 は、2026年6月8日にアドバイザリ VMSA-2026-0004 として公開されている。一連の脆弱性の CVSS v3 基本スコアは 8.0 であり、企業環境において高いリスクをもたらすことを示している。

Linux カーネルの新たな脆弱性 CVE-2026-23111 が FIX：root 権限昇格エクスプロイトが公開

New Linux Kernel Vulnerability Lets Attackers Escalate Privileges to Root

2026/06/08 CyberSecurityNews — Linux Kernel の nftables サブシステムにおける、解放後メモリ使用 (use-after-free) 脆弱性 CVE-2026-23111 に対するエクスプロイトが公表された。それにより、この脆弱性を悪用する権限を持たないローカル攻撃者は、root 権限への昇格が容易になる。影響を受けるディストリビューションとしては、Debian Bookworm／Debian Trixie／Ubuntu 22.04 LTS／Ubuntu 24.04 LTS などが挙げられる。脆弱性 CVE-2026-23111 は 2025 年初頭に発見され、2026年2月5日に Kernel コミットを通じてアップストリーム修正された。