Security Bug in StealC Malware Panel Let Researchers Spy on Threat Actor Operations
2026/01/19 TheHackerNews — 情報窃取マルウェア StealC の運用者が使用する Web ベース管理パネルに、クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、サイバーセキュリティ研究者たちが明らかにした。この脆弱性を通じて研究者たちは、StealC を運用する脅威アクターの活動に関する重要な情報を収集できた。先週公開されたレポートにおいて CyberArk の研究者 Ari Novick は、「この脆弱性を活用することで、StealC システムのフィンガープリントを収集し、アクティブなセッションを監視し、さらに情報窃取を目的として設計された悪意のインフラから、脅威アクター自身の Cookie を窃取することに成功した」と述べている。
Continue reading “StealC マルウェア管理パネルに XSS の脆弱性:脅威アクターの活動が解析可能に”Windows SMB Client Vulnerability Enables Attacker to Own Active Directory
2025/01/19 CyberSecurityNews — Windows SMB クライアント認証における深刻な脆弱性を介したNTLM リフレクションの悪用により、Active Directory 環境が侵害される可能性がある。この脆弱性 CVE-2025-33073 は不適切なアクセス制御に分類され、ネットワーク接続上で精巧に構成された認証リレー攻撃を用いる認可済みの攻撃者に対して、権限昇格を許す可能性がある。2025年6月のセキュリティパッチ公開から、すでに 7ヶ月が経過しているが、エンタープライズ・インフラ全体で適用が進んでいない状況が確認されている。
Continue reading “Windows SMB の脆弱性 CVE-2025-33073:認証リレー攻撃による Active Directory 侵害の可能性”JFrog Researchers Uncover RCE Exploit for Existing Redis Database Vulnerability
2026/01/17 SecurityBoulevard — 今週、Redis データベースに存在する脆弱性 CVE-2025-62507 の分析結果が公開された。この脆弱性に対するリモートコード実行 (RCE) エクスプロイトへの経路が発見され、当初の想定よりも深刻である可能性が示されている。複数の ID を指定して XACKDEL コマンドを実行することでスタック・オーバーフローが引き起こされ、結果としてリモートコード実行 (RCE) に至る可能性があることが、JFrog の研究者たちにより明らかにされた。
Continue reading “Redis の脆弱性 CVE-2025-62507:RCE エクスプロイトの可能性を JFrog が実証”Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover
2026/01/17 gbhackers —Meta の Conversions API Gateway に存在する、2 件の深刻なクロスサイト・スクリプティング (XSS) 脆弱性がセキュリティ研究者たちにより発見された。これらの欠陥を悪用する攻撃者は、ユーザー操作を一切必要とせずに Facebook アカウントの大規模な乗っ取りが可能となる。この脆弱性は、Meta 管理下ドメインである “facebook.com” や “meta.com” に影響するだけではなく、オープンソースの Gateway インフラをデプロイしている、最大 1 億件とも言われるサードパーティ環境にも波及する可能性がある。
Continue reading “Meta Conversions API Gateway における 2 件の深刻な脆弱性:アカウント乗っ取りの可能性”Actively exploited critical flaw in Modular DS WordPress plugin enables admin takeover
2026/01/16 SecurityAffairs — WordPress の Modular DS WordPress プラグインに存在する深刻な脆弱性 CVE-2026-23550 (CVSS 10) が、脅威アクターにより積極的に悪用されている。この脆弱性はバージョン 2.5.1 以下に影響し、認証チェックをバイパスして管理者として自動ログインすることを可能にするものである。これにより、攻撃者は Web サイトの完全な制御権を掌握できる。
Continue reading “Modular DS WordPress プラグインの脆弱性 CVE-2026-23550 が FIX:積極的な悪用を確認”Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild
2026/01/16 CyberSecurityNews — Cisco が認めたのは、Secure Email Gateway/Secure Email and Web Manager アプライアンスにおける深刻なゼロデイ・リモートコード実行の脆弱性が、実環境で悪用されている状況である。この脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者は、スパム隔離機能に対する細工された HTTP リクエストを介して、ルート権限での任意のコマンド実行を可能にする。
Continue reading “Cisco Email Gateway の脆弱性 CVE-2025-20393:APT による積極的な悪用を観測”Go 1.26 Released With Fixes for Multiple Vulnerabilities Causing Memory Exhaustion
2026/01/16 gbhackers — Go 開発チームが公表したのは、サービス拒否攻撃/任意のコード実行/不正なセッション再開を引き起こす可能性のある、6件の深刻なセキュリティ脆弱性を修正するバージョン 1.25.6/1.24.12 のリリースである。これらのマイナー・アップデートは Go セキュリティ・ポリシーに準拠しており、暗号化/ネットワーク/ツールチェーンといったコア・コンポーネント全体をカバーする重要な強化が含まれている。
Continue reading “Go 1.25.6 がリリース:メモリ枯渇/不適切なセッション管理/認証バイパスの問題などに対処”Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account
2026/01/15 CyberSecurityNews — Cal.com のスケジュール管理プラットフォームに、深刻な認証バイパスの脆弱性が発見された。この脆弱性 CVE-2026-23478 を悪用する攻撃者は、NextAuth JWT コールバック機構の欠陥を悪用することで、任意のユーザー・アカウントを乗っ取ることが可能になる。この脆弱性は、バージョン 3.1.6 〜 6.0.7 未満に影響を及ぼし、バージョン 6.0.7 以降で修正されている。
Continue reading “Cal.com の脆弱性 CVE-2026-23478 が FIX:認証バイパスと任意のユーザー・アカウント乗っ取り”HPE Aruba Vulnerabilities Enables Unauthorized Access To Sensitive Information
2026/01/15 gbhackers — HPE が公表したのは、HPE Aruba Networking Instant On デバイスに存在する複数の深刻な脆弱性に対するセキュリティ・パッチのリリースである。これらの脆弱性を悪用するリモート攻撃者は、内部 VLAN コンフィグ・データの窃取/ワイヤレス・ネットワークの妨害/機密ネットワーク情報の不正取得を行う可能性がある。一連の脆弱性が影響を及ぼす範囲は、Instant On アクセス・ポイントおよび 1930 スイッチのソフトウェア・バージョン 3.3.1.0 以下であり、修正はバージョン 3.3.2.0 以降で提供されている。
Continue reading “HPE Aruba Instant On の複数の脆弱性が FIX:機密情報の不正取得や DoS 攻撃の恐れ”Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks
2026/01/15 CyberSecurityNews — Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が、現在も実環境で積極的に悪用されていることが、Defused によるハニーポット展開の結果として確認された。この脆弱性が未認証のリモート攻撃者に悪用された場合には、深刻な OS コマンド・インジェクションにより、認証不要のリモート・コード実行 (RCE) を許す恐れがあるため、企業のセキュリティ監視基盤に深刻なリスクが生じている。
Continue reading “Fortinet FortiSIEM の RCE 脆弱性 CVE-2025-64155 が FIX:PoC の公開と積極的な悪用”Azure Identity Token Vulnerability Enables Tenant-Wide Compromise in Windows Admin Center
2026/01/15 CyberSecurityNews — Windows Admin Center の Azure Single Sign-On (SSO) 実装に、深刻度の高い脆弱性 CVE-2026-20965 が発見された。それにより、Azure VM および Arc 接続システムが、テナント全体にわたる不正アクセスのリスクにさらされている。この脆弱性が示すのは、不適切なトークン検証により、個々のマシンと Azure 環境全体との間に存在すべきセキュリティ境界が崩壊する恐れである。
Continue reading “Azure SSO の深刻な脆弱性 CVE-2026-20965 が FIX:Windows Admin Center 全体への侵害の恐れ”Palo Alto Networks Firewall Vulnerability Allows Attacker to Trigger DoS Attacks
2026/01/15 CyberSecurityNews — Palo Alto Networks が 2026年1月14日に公表したのは、PAN-OS ファイアウォール・ソフトウェアに存在する深刻なサービス拒否 (DoS) の脆弱性 CVE-2026-0227 (CVSS v4.0:7.7:HIGH) の修正に関する情報である。この脆弱性を悪用する未認証の攻撃者は、GlobalProtect (VPN) のゲートウェイおよびポータルに対する妨害を引き起こせる。
Continue reading “Palo Alto Networks Firewall の脆弱性 CVE-2026-0227:DoS 攻撃と PoC の登場”U.S. CISA adds a flaw in Microsoft Windows to its Known Exploited Vulnerabilities catalog
2026/01/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Windows の脆弱性 CVE-2026-20805 (CVSS:5.5) を、Known Exploited Vulnerabilities (KEV) に登録した。Microsoft の 2026年1月の Patch Tuesday では、Windows/Office/Azure/Edge/SharePoint/SQL Server/SMB/Windows 管理サービスに影響を与える 112 件の CVE がリリースされた。サードパーティ製の Chromium 修正プログラムを含めると、脆弱性の総数は 114 件となる。
Continue reading “CISA KEV 警告 26/01/13:Windows の脆弱性 CVE-2026-20805 を登録”Elastic Patches Multiple Vulnerabilities That Enables Arbitrary File Theft and DoS Attacks
2026/01/14 CyberSecurityNews — Elastic がリリースした重要なセキュリティ・アップデートは、スタック全体に影響を及ぼす 4 件の脆弱性に対処するものである。このアップデートには、悪意のコネクタ・コンフィグを通じて任意のファイル漏洩を引き起こし得る High の深刻度を持つ欠陥が含まれている。Kibana および関連コンポーネントにおける、ファイル処理/入力検証/リソース割り当てメカニズムの問題を、このアップデートにより修正した。
Continue reading “Elastic の脆弱性 CVE-2026-0530/0531/0532/0543 が FIX:任意のファイル窃取/ DoS 攻撃の恐れ”Spring CLI Vulnerability Allows Attackers to Execute Commands on User Systems
2026/01/14 gbhackers — Spring CLI VSCode エクステンションには、影響を受けるユーザーのマシン上で攻撃者が任意のコマンドを実行できる、コマンド・インジェクションの脆弱性 CVE-2026-22718 が存在する。この脆弱性が影響を及ぼす範囲は、同エクステンションのバージョン 0.9.0 以下であり、すでにサポートが終了したツールを継続して使用している開発者に深刻なリスクをもたらす。
Continue reading “Spring CLI VSCode エクステンションの脆弱性 CVE-2026-22718:削除が必須の EOL”Critical FortiSIEM Vulnerability Enables Arbitrary Commands Execution via Crafted TCP Packets
2026/01/14 CyberSecurityNews — 2026年1月13日に Fortinet が公表したのは、FortiSIEM に存在する深刻な OS コマンド・インジェクション脆弱性に関する情報である。この脆弱性 CVE-2025-64155 が悪用された場合、未認証の攻撃者によって任意のコードが実行される可能性がある。この問題は、ポート 7900 で動作する phMonitor コンポーネントにおける OS コマンドのメタ文字に対する不適切な無効化 (CWE-78) に起因する。具体的には、Super ノードおよび Worker ノードに対して悪意ある TCP リクエストを送信する攻撃者により、システム全体が侵害される恐れがある。
Continue reading “Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が FIX:TCP パケット経由での任意のコマンド実行”FortiOS and FortiSwitchManager Flaw Allows Remote Code Execution
2026/01/14 gbhackers — FortiOS および FortiSwitchManager に搭載されている “cw_acd” デーモン・コンポーネントにおいて、ヒープバッファ・オーバーフローの脆弱性が発見/公表された。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステム上で任意のコードを実行する可能性がある。この脆弱性 CVE-2025-25249 は、CVSS v3.1 スコア 7.4 と評価されており、企業ネットワーク・インフラに対して深刻なリスクをもたらす。
Continue reading “Fortinet 製品群の脆弱性 CVE-2025-25249 が FIX:cw_acd デーモンにおける深刻な RCE の可能性”Chrome 144 Released With Fix for 10 Vulnerabilities in V8 JavaScript Engine
2026/01/14 CyberSecurityNews — Google は、Windows/Mac/Linux 向けの安定版チャンネルに Chrome 144 を正式にリリースした。このバージョンでは、V8 JavaScript エンジンを中心とする 10 件のセキュリティ脆弱性が修正されている。Linux 向けには Chrome バージョン 144.0.7559.59 が提供され、Windows/Mac 向けには Chrome バージョン 144.0.7559.59/60 が提供される。いずれも複数のセキュリティ強化が行われており、修正された脆弱性の 6 件は V8 JavaScript エンジンに直接影響する。ロールアウトは、今後の数日から数週間をかけて段階的にユーザーに提供される予定だ。
Continue reading “Chrome 144 がリリース:V8 JavaScript Engine に関連する脆弱性などが FIX”Microsoft Desktop Window Manager 0-Day Vulnerability Exploited in the wild
2026/01/14 CyberSecurityNews — 2026年1月13日の月例パッチで、Microsoft は Desktop Window Manager (DWM) に存在する深刻なゼロデイ情報漏洩の脆弱性を修正した。この脆弱性 CVE-2026-20805 を悪用するローカル攻撃者は、ALPC ポートを介して機密性の高いセクション・アドレスをはじめとするユーザーモード・メモリを露出させる恐れがある。この脆弱性は、すでに実環境での悪用が検知されており、さらなる権限昇格の連鎖を容易にするため、Windows システム全体に対する緊急のパッチ適用が求められている。
Continue reading “Window DWM のゼロデイ脆弱性 CVE-2026-20805 が FIX:実環境での情報漏洩を確認”Adobe Patches Critical Apache Tika Bug in ColdFusion
2026/01/13 SecurityWeek — Adobe が発表したのは、2026年1月の月例パッチにおいて 11 製品を対象としたセキュリティ・アップデートのリリースと、合計 25 件に及ぶ脆弱性の修正である。その中で、最も深刻な脆弱性 CVE-2025-66516 (CVSS:10) は、Apache Tika モジュールにおける XML 外部エンティティ (XXE) インジェクションに起因するものだ。具体的には、PDF ドキュメント内に配置された XFA ファイルを介して悪用される可能性がある。
Continue reading “Adobe ColdFusion の深刻な脆弱性 CVE-2025-66516 が FIX:Apache Tika の XXE を修正”FortiSandbox SSRF Vulnerability Allow Attacker to proxy Internal Traffic via Crafted HTTP Requests
2026/01/13 CyberSecurityNews — Fortinet が 2026年1月13日に公開したのは、FortiSandbox アプライアンスにおけるサーバーサイド・リクエスト・フォージェリ (SSRF) の脆弱性である。この脆弱性 CVE-2025-67685 (FG-IR-25-783) は、GUI コンポーネントに存在し、CWE-918 に起因する。認証済みの攻撃者は、この脆弱性を悪用することで、内部の非TLS (プレーンテキスト) エンドポイントに対してトラフィックをプロキシする HTTP リクエストを作成できる。Fortinet は、内部ネットワークへの影響リスクを踏まえ、ユーザーに対して速やかなアップデートの適用を促している。
Continue reading “FortiSandbox の脆弱性 CVE-2025-67685:SSRF によるネットワーク・セグメント破壊”Node.js Security Release Patches 7 Vulnerabilities Across All Release Lines
2026/01/13 CyberSecurityNews — 2026年1月13日に Node.js が公表したのは、すべてのアクティブなリリース・ラインを対象とするセキュリティ・アップデートであり、メモリ・リーク/サービス拒否攻撃 (DoS) /権限バイパスにつながる可能性のある複数の脆弱性が修正されている。特に深刻度が High の脆弱性は 3 件確認されており、影響を受けるシステムに対しては直ちにアップグレードすることが強く推奨される。
Continue reading “Node.js における 7 件の脆弱性が FIX:メモリ・リーク/DoS/権限バイパスなどの恐れ”ServiceNow Vulnerability Enables Privilege Escalation Without Authentication
2026/01/13 gbhackers — ServiceNow の AI プラットフォームで発見された、深刻な権限昇格の脆弱性 CVE-2025-12420 が、世界中の企業ユーザーに深刻なリスクをもたらしている。この脆弱性を悪用する未認証の攻撃者は、他のユーザーになりすますことでアカウントを侵害し、その権限を用いて不正な操作を実行できる。重要なビジネス・オペレーションに ServiceNow の AI 機能を利用している組織にとって、この脆弱性は深刻な脅威となる。
Continue reading “ServiceNow AI プラットフォームの脆弱性 CVE-2025-12420 が FIX:認証不要の権限昇格”New Angular Vulnerability Enables an Attacker to Execute Malicious Payload
2026/01/13 CyberSecurityNews — Angular のテンプレート・コンパイラに、深刻なクロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2026-22610 が発見された。この脆弱性の影響が及ぶ範囲は、@angular/compiler および @angular/core パッケージの複数のバージョンとなる。この脆弱性を悪用する攻撃者は、Angular に組み込まれたセキュリティ保護を回避しながら、標的とするブラウザ内で任意の JavaScript コードを実行できる。
Continue reading “Angular の XSS 脆弱性 CVE-2026-22610 が FIX:サニタイズ・スキーマのバグと悪意のペイロード挿入”Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws
2026/01/13 BleepingComputer — Microsoft が公表した 2026年1月の Patch Tuesday では、114 件の脆弱性に対するセキュリティ・アップデートが提供されている。その中には、現時点で悪用されている1件の脆弱性と、公開済みの2件のゼロデイ脆弱性が含まれている。今月の Patch Tuesday では、深刻度 Critical に分類される8件の脆弱性が修正された。その内訳は、リモートコード実行の脆弱性が6件、権限昇格の脆弱性が2件である。
Continue reading “Microsoft 2026-01 月例アップデート:3件のゼロデイを含む 114件の脆弱性に対応”U.S. CISA adds a flaw in Gogs to its Known Exploited Vulnerabilities catalog
2026/01/12 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Gogs のパス・トラバーサルの脆弱性 CVE-2025-8110 (CVSS:8.7) を Known Exploited Vulnerabilities (KEV) カタログに登録した。Gogs (Go Git Service) は、Go で記述された軽量なオープンソースのセルフホスト型 Git サービスである。この脆弱性は、Gogs の PutContents API における不適切なシンボリックリンク処理に起因し、ローカルでのコード実行を引き起こすものである。
Continue reading “CISA KEV 警告 26/01/12:Gogs のパス・トラバーサル脆弱性 CVE-2025-8110 を登録”Critical React Router Vulnerability Let Attackers Access or Modify Server Files
2026/01/12 CyberSecurityNews — React Router に深刻な脆弱性 CVE-2025-61686 が発見された。このディレクトリトラバーサル脆弱性を悪用する攻撃者は、サーバファイルに対する窃取/改変を引き起こす可能性がある。この脆弱性は React Router エコシステム内の複数のパッケージに影響し、CVSS v3.1 スコアは 9.8 (Critical) と評価されている。
Continue reading “React Router の脆弱性 CVE-2025-61686 が FIX:サーバ・ファイルの窃取/改変が可能”Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data
2026/01/12 gbhackers — Apache Struts 2 の XWork コンポーネントに、脆弱性 CVE-2025-68493 が発見された。この脆弱性は Important と評価されており、Struts 2.0.0 〜 2.3.37 (EOL)/2.5.0 〜 2.5.33 (EOL)/6.0.0 〜 6.1.0 までの広範なバージョンに影響を及ぼし、多くの Java Web アプリケーションに深刻なリスクをもたらす。この脆弱性が悪用されると、Java Web アプリケーションにおける機密データの漏洩/サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃につながる可能性がある。
Continue reading “Apache Struts 2 の脆弱性 CVE-2025-68493 が FIX:機密データ窃取の可能性”Critical InputPlumber Vulnerabilities Allows UI Input Injection and Denial-of-Service
2026/01/12 CyberSecurityNews — SteamOS で使用される Linux 入力デバイス・ユーティリティ InputPlumber に発見されたのは、不十分な D-Bus 認証メカニズムに起因する深刻な脆弱性 CVE-2025-66005/CVE-2025-14338 である。この脆弱性を悪用した攻撃者は UI 入力を不正に挿入することで、影響を受けるシステム上でサービス拒否状態を引き起こす可能性がある。SUSE の研究者により調査された 2 件の脆弱性が、InputPlumber バージョン 0.69.0 未満に影響を及ぼすことが確認されている。
Continue reading “InputPlumber の脆弱性 CVE-2025-66005/14338 が FIX:UI 入力インジェクションと DoS の可能性”Critical Zlib Vulnerability Let Attackers Trigger Buffer Overflow by Invoking untgz
2026/01/12 CyberSecurityNews — zlib に同梱される untgz ユーティリティのバージョン 1.3.1.2 に発見されたのは、深刻なグローバルバッファ・オーバーフローの脆弱性 CVE-N/A である。攻撃者は、細工したコマンドライン入力を介してメモリを破壊し、悪意あるコードを実行する可能性がある。この欠陥は、untgz ユーティリティの TGZfname() 関数に存在する。この関数は、ユーザーが指定したアーカイブ名を処理する際、入力サイズの検証を行わずに strcpy() を呼び出す実装となっている。その結果、1,024 バイト固定長の静的グローバル・バッファに対して境界を超えるデータコピーが発生し、メモリ破壊が引き起こされる。
Continue reading “zlib untgz ユーティリティのバッファ・オーバーフローの脆弱性 CVE-N/A:メモリ破損の恐れ”New ChatGPT Vulnerabilities Enable Data Exfiltration from Gmail, Outlook, and GitHub
2026/01/09 gbhackers — ChatGPT が、外部サービスや自身のメモリ・システムと連携する方法に、複数の深刻な脆弱性が存在することが新たな調査により明らかになった。これにより生じるのは、クロスプラットフォームでのデータ窃盗や長期的なアカウント侵害につながる、新たな攻撃経路である。これらの脆弱性は、侵害された1回のチャット・セッションが、メール/クラウド・ストレージ/コード・リポジトリや、他ユーザーへの侵入経路となり得ることを示している。
Undertow Vulnerability Lets Hackers Take Over User Sessions in Java Apps
2026/01/09 gbhackers — Undertow HTTP サーバ・コアのバージョン 2.4.0.Alpha1 以下に発見されたのは、深刻なセキュリティ脆弱性 CVE-2025-12543 である。このコンポーネントは WildFly/JBoss EAP/多数の Java アプリケーションで広く使用されている重要なソフトウェア基盤だ。この脆弱性を悪用した攻撃者は、ユーザー・セッションの乗っ取り/キャッシュ・ポイズニング/不正なネットワーク・スキャンを実行できる。
Continue reading “Undertow の脆弱性 CVE-2025-12543 が FIX:Java アプリにユーザー・セッション乗っ取りの恐れ”Trend Micro fixed a remote code execution in Apex Central
2026/01/09 securityaffairs — Trend Micro が公表したのは、Apex Central 管理コンソールに存在する 3 件の脆弱性 CVE-2025-69258/CVE-2025-69259/CVE-2025-69260 の修正である。しかし、これら一連の脆弱性は、すでに Tenable により詳細情報と PoC コードが公開されていたものである。研究者らは 2025年8月にこれらの脆弱性を発見しており、悪用された場合にはリモート・コード実行 (RCE) やサービス拒否 (DoS) 攻撃が可能になるとされている。
Continue reading “Trend Micro Apex Central の脆弱性 CVE-2025-69258/69259/69260 が FIX:RCE と DoS の可能性”SmarterTools SmarterMail Vulnerability Enables Remote Code Execution Attack – PoC Released
2026/01/09 CyberSecurityNews — SmarterTools の SmarterMail ソリューションに発見された認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2025-52691 は、CVSS スコア 10.0 と評価されており、影響を受けるシステムに対して深刻な影響を及ぼす可能性がある。SmarterMail は Windows/Linux 向けのオールインワン型ビジネス・メール/コラボレーション・サーバであり、Microsoft Exchange の代替製品として広く利用されている。
Continue reading “SmarterTools SmarterMail の脆弱性 CVE-2025-52691:認証不要の RCE 攻撃が可能”OWASP CRS Vulnerability Allows Attackers to Bypass Charset Validation
2026/01/09 CyberSecurityNews — OWASP Core Rule Set (CRS) に、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、文字セットベースの攻撃を防ぐために設計された重要なセキュリティ保護を回避できる。この脆弱性 CVE-2026-21876 の深刻度スコアは 9.3 で Critical に分類され、ルール 922110 に影響する。ルール 922110 は、マルチパート・フォーム・リクエストにおいて、UTF-7 や UTF-16 などの危険な文字エンコーディングをブロックするよう設計されている。
Continue reading “OWASP CRS 脆弱性 CVE-2026-21876 が FIX:文字セットベースの攻撃で防御策を突破”React2Shell Vulnerability Hit by 8.1 Million Attack Attempts
2025/01/08 gbhackers — React Server Components (RSC) の Flight プロトコルに存在するリモート・コード実行の脆弱性 CVE-2025-55182 (通称 React2Shell) は、大規模なエクスプロイト・キャンペーンの標的となっており、その勢いに衰える気配はない。この脆弱性が公表されて以降、脅威インテリジェンス企業 GreyNoise は 810 万件以上の攻撃セッションを記録している。1 日あたりの攻撃件数は、2025年12月下旬に 43 万件を超えた後、30 万件から 40 万件の範囲で推移している。このキャンペーンの規模の大きさは、React/Next.js/RSC Flight プロトコルに依存する多数の下流フレームワークに影響を与えるこの脆弱性の深刻さを、明白に示している。
Continue reading “React2Shell CVE-2025-55182 を悪用するキャンペーン:810 万件以上の攻撃試行を観測”Cisco Snort 3 Detection Engine Vulnerability Leaks Sensitive Data
2026/01/08 CyberSecurityNews — Cisco の Snort 3 検出エンジンに、2件の深刻な脆弱性 CVE-2026-20026/CVE-2026-20027 が発見された。これにより、複数の Cisco 製品にまたがるネットワーク・セキュリティ・インフラに深刻なリスクが生じている。これらの脆弱性は、Distributed Computing Environment/Remote Procedure Call (DCE/RPC) リクエストの不適切な処理に起因する。この脆弱性を悪用するリモートの攻撃者は、パケット検査サービスの妨害や、システムからの機密情報の抽出を可能にする。
Continue reading “Cisco Snort 3 検出エンジンの脆弱性 CVE-2026-20026/20027 が FIX:機密データ漏洩の可能性”GitLab Patches Multiple Flaws Allowing Arbitrary Code Execution
2026/01/08 gbhackers — GitLab が公開した複数の脆弱性に対処するために、管理者たちに求められるのは、速やかなアップデートの実施である。これらの脆弱性には、セルフマネージド・インスタンスにおいて、クロスサイト・スクリプティング/認証バイパス/サービス拒否攻撃を可能にする欠陥が含まれている。最新のパッチリリースである GitLab 18.7.1/18.6.3/18.5.5 では、これらのセキュリティ問題への対処に加え、複数のバグ修正および依存関係の更新が行われており、すでに GitLab.com に導入済みである。
Continue reading “GitLab の脆弱性 CVE-2025-9222 などが FIX:任意のコード実行の可能性”CISA Warns of Microsoft PowerPoint Code Injection Vulnerability Exploited in Attacks
2026/01/08 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft PowerPoint のコード・インジェクション脆弱性 CVE-2009-0556 に関する緊急アラートと、Known Exploited Vulnerabilities (KEV) カタログへの登録である。これは、2009年に公開された古い脆弱性であるが、現在も悪意ある PowerPoint ファイルを用いた任意のコード実行により実際に悪用されている。これにより、システムのセキュリティが侵害され、機密データへの不正アクセスが発生する可能性がある。
Continue reading “CISA KEV 警告 26/01/07:PowerPoint のコード・インジェクション脆弱性 CVE-2009-0556 登録”Cisco ISE Vulnerability Let Remote attacker Access Sensitive Data – Public PoC Available
2026/01/08 CyberSecurityNews — Cisco が公表したのは、Identity Services Engine (ISE) および ISE Passive Identity Connector (ISE-PIC) に存在する、深刻な脆弱性の修正に関する情報である。この脆弱性を悪用する認証済みの管理者は、機密サーバ上のファイルへの不正アクセスが可能になる。この脆弱性 CVE-2026-20029 は、Web 管理インターフェイスの XML 解析に起因する。CVSS スコアは 4.9 であるが、データ漏洩の可能性があるため、深刻度は Medium と評価されている。
Continue reading “Cisco ISE の脆弱性 CVE-2026-20029 が FIX:機密情報の漏洩と PoC のリリース”Linux Battery Utility Vulnerability Allows Authentication Bypass and System Tampering
2026/01/08 gbhackers — Linux 用の電力管理ツール TLP に、認証バイパスおよびシステム改竄を可能にする深刻な脆弱性 CVE-2025-67859 が発見された。この脆弱性は、TLP バージョン 1.9.0 で導入された電力プロファイル・デーモンに影響を及ぼすものであり、ルート権限で電源プロファイルを管理するための D-Bus API を公開している。
Continue reading “Linux 電力管理ツール TLP の認証バイパスの脆弱性 CVE-2025-67859 が FIX:競合状態による権限昇格”2026/01/08 CyberSecurityNews — 人気のワークフロー自動化プラットフォームである n8n に、未認証でのリモートコード実行の脆弱性 CVE-2026-21858 (CVSS:10.0) が発見された。この深刻な脆弱性 (通称:Ni8mare) により、世界中で推定 10 万台のサーバに侵害の可能性が生じている。この脆弱性を悪用する未認証の攻撃者は、警告をトリガーすることなく任意のシステム・コマンドを実行し、その結果としてホストを完全に侵害できる。この脆弱性の影響が及ぶ範囲は、n8n のバージョン 1.121.0 未満である。特に、インターネットに公開されているセルフホスト型の導入において、最大のリスクが生じる。
Continue reading “n8n Server の脆弱性 CVE-2026-21858 が FIX:26,512 のホストを危険にさらす Ni8mare とは?”CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited
2026/01/08 TheHackerNews — 1月7日 (水) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office と Hewlett Packard Enterprise (HPE) OneView に影響を及ぼす2件のセキュリティ欠陥を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 26/01/07:HPE OneView と PowerPoint の脆弱性を登録”Vulnerability in Totolink Range Extender Allows Device Takeover
2026/01/07 SecurityWeek — 販売終了となった Totolink EX200 Wireless Range Extender にセキュリティ上の欠陥が存在し、攻撃者が脆弱なデバイスを乗っ取る可能性があると、CERT Coordination Center (CERT/CC) が警告している。この脆弱性 CVE-2025-65606 は、EX200 のファームウェア・アップロードにおけるエラー処理ロジックの欠陥に起因するものだ。
Continue reading “Totolink Range Extender の脆弱性 CVE-2025-65606:サポート終了デバイスに乗っ取りの危機”PoC Exploit Released for Android/Linux Kernel Vulnerability CVE-2025-38352
2026/01/07 CyberSecurityNews — Linux カーネルにおける深刻な競合状態の脆弱性 CVE-2025-38352 に対する PoC エクスプロイトが GitHub 上で公開された。この脆弱性は今年初めに発見されたものであり、POSIX CPU タイマーの実装を標的としている。これまでに、32-bit Android デバイスに対する限定的かつ標的型の攻撃で悪用されたことが確認されている。
Continue reading “Android デバイスに影響を及ぼす Linux カーネルの CVE-2025-38352:PoCエクスプロイトが公開”Veeam Backup Vulnerability Exposes Systems to Root-Level Remote Code Execution
2026/01/07 gbhackers — Veeam が公開したのは、Veeam Backup & Replication に存在する、複数の深刻な脆弱性に対処するための重要なセキュリティ・アップデートに関する情報である。最も深刻な脆弱性は、攻撃者により root 権限でのリモート・コード実行 (RCE) を可能にし、影響を受けるシステムの完全な制御を奪われる可能性がある。一連の脆弱性は、Veeam Backup & Replication バージョン 13.0.1.180 以下の 13系ビルドに影響を及ぼす。ただし、広く利用されているバージョン 12.x 系は影響を受けないことを Veeam は確認している。
Continue reading “Veeam Backup & Replication の複数の脆弱性が FIX:root 権限 RCE の恐れ”Ongoing Attacks Exploiting Critical RCE Vulnerability in Legacy D-Link DSL Routers
2026/01/07 TheHackerNews — D-Link の旧型 DSL ゲートウェイ・ルーターにおいて、新たに発見された重大なセキュリティ脆弱性 CVE-2026-0625 (CVSS:9.3) が、すでに実際の攻撃で悪用されていることが確認された。この脆弱性は、”dnscfg.cgi” エンドポイントに存在するコマンド・インジェクションの欠陥に起因する。DNS 設定パラメータに対する入力値のサニタイズが不十分であるため、未認証のリモート攻撃者が任意のシェルコマンドを実行できる状態となっている。
Continue reading “D-Link 旧型 DSL ルーターの脆弱性 CVE-2026-0625:影響を受ける EoL デバイス群”Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions
2026/01/07 CyberSecurityNews — Google が公表したのは、WebView タグ・コンポーネントに存在する重大度の高い脆弱性 CVE-2026-0628 に対処するための、Chrome ブラウザ緊急セキュリティ・アップデートの情報である。この脆弱性を悪用する攻撃者は、重要なセキュリティ制限を回避する可能性があるため、ユーザーにとって深刻なリスクとなる。このアップデートにより、Windows/macOS 向けの Chrome バージョン 143.0.7499.192/.193 と、Linux 向けの Chrome バージョン 143.0.7499.192 が Stable チャンネルを通じて提供される。更新は、今後の数日から数週間をかけて段階的に展開される予定である。
Continue reading “Chrome WebView の脆弱性 CVE-2026-0628 が FIX:セキュリティ制限回避の恐れ”CISA Expands KEV Catalog with 1,484 New Vulnerabilities as Active Exploitation Surges 20% in 2025
2026/01/06 CyberSecurityNews — 2025年12月時点で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログを、1,484 件まで拡大した。それは、現在も実運用で悪用されている脆弱性に対抗するための、連邦政府における取り組みの重要な節目である。このデータベースは、2021年11月に 311 件の脆弱性から始まったが、これまでの4年間で大幅に拡張されており、公共/民間の両部門が直面する脅威環境の高度化を反映している。
Continue reading “CISA KEV 2025:4年間で蓄積された 1,484 件の脆弱性と最新の動向を分析する”New macOS TCC Bypass Vulnerability Allow Attackers to Access Sensitive User Data
2026/01/06 CyberSecurityNews — macOS に発見された脆弱性は、Transparency/Consent/Control (TCC) 保護の完全な回避を可能にする、きわめて深刻なものである。この脆弱性を悪用する攻撃者は、ユーザーの認識や許可を必要とせずに、機密性の高いデータへアクセスする可能性がある。Apple が採用している TCC (Transparency/Consent/Control) は、マイク/カメラ/ドキュメントなどの機密リソースに対する不正アクセスを防ぐための中核的な防御機構である。しかし、この脆弱性 CVE-2025-43530 は、その防御モデル自体を根底から無効化させるものである。
Continue reading “Apple macOS の脆弱性 CVE-2025-43530 が FIX:TCC 回避と機密データへのアクセス可能”
IoT OT Security News 
You must be logged in to post a comment.