Multiple Vulnerabilities in TP-Link Devices Enable Arbitrary Command Execution
2026/03/24 gbhackers — TP-Link が公開したのは、Archer Series Router NX200/NX210/NX500/NX600に存在する、深刻度 High の 4 件の脆弱性に対処する、重要なセキュリティ・アドバイザリである。一連の脆弱性の悪用に成功した攻撃者は、認証バイパス/OS コマンドの不正実行/機密コンフィグ・ファイルの改竄を可能にする。
Continue reading “TP-Link Archer Series ルーターの 4 件の脆弱性が FIX:認証バイパスやコマンド・インジェクションの恐れ”Dell Wyse Management Flaws Could Lead to Full System Compromise
2026/03/24 gbhackers — Dell Wyse Management Suite における深刻なエクスプロイト・チェーンを、PT Security のセキュリティ研究者 Aleksandr Zhurnakov が発見した。些細に見える複数のロジック欠陥を組み合わせることで、攻撃者は認証不要のリモート・コード実行 (RCE) を実現できるという。この攻撃で標的とされるのは、オンプレミス版の Standard/Pro である。
Continue reading “Dell Wyse Management Suite の 2 件の脆弱性を連鎖:システム全体の侵害につながる恐れ”Chrome Security Update Fixes 8 Vulnerabilities That Could Enable Remote Code Execution
2026/03/24 gbhackers — Google が公表したのは、Chrome ブラウザの 8 件の深刻な脆弱性に対処する、重要なセキュリティ・アップデートである。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、潜在的なリモート・コード実行の攻撃からシステムを保護することである。Windows/Mac 向けのバージョン 146.0.7680.164/146.0.7680.165 と、Linux 向けのバージョン 146.0.7680.164 が、数日から数週間の間に Stable チャネルで段階的に提供される予定である。
Continue reading “Google Chrome の脆弱性 8件が修正:リモート・コード実行などの可能性”Roundcube Webmail Security Updates Patches Multiple Critical Vulnerabilities
2026/03/24 CyberSecurityNews — Roundcube Webmail が公開したバージョン 1.6.14 は、1.6.x 系列における複数の深刻な脆弱性に対処する重要なセキュリティ・パッチを提供するものだ。今回のリリースでは、認証前の任意ファイル書き込み/クロスサイト・スクリプティング (XSS) /サーバサイド・リクエスト・フォージェリ (SSRF) などの、複雑なセキュリティ問題が修正されている。システム管理者に強く推奨されるのは、この更新プログラムを速やかに適用し、脅威アクターによる悪用から通信インフラを保護することだ。
Continue reading “Roundcube Webmail 1.6.14 がリリース:任意ファイル書き込みなど複数の深刻な欠陥を修正”Hackers Exploit Quest KACE SMA Flaw to Harvest Credentials
2026/03/23 gbhackers — Quest KACE Systems Management Appliance (SMA) を標的とする現在進行形の攻撃が、セキュリティ研究者たちにより確認/報告されている。2026年3月の第二週以降において、認証バイパス脆弱性 CVE-2025-32975 を悪用する攻撃者が、企業ネットワークへの侵入と機密認証情報の収集を行い、重要インフラへのラテラル・ムーブメントを開始している。
Continue reading “Quest KACE SMA を標的とする攻撃チェーン:認証バイパスの脆弱性 CVE-2025-32975 を悪用”Critical QNAP QVR Pro Vulnerability Let Remote Attackers Gain Access to the System
2026/03/23 CyberSecurityNews — QNAP が公開したのは、同社の監視ソフトウェア QVR Pro に存在する深刻な脆弱性 CVE-2026-22898 に対処する重要なセキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステムへの不正アクセスを可能にする。QVR Pro 2.7.x を利用するユーザーは、直ちに最新パッチを適用し、NAS 環境を潜在的な侵入から保護する必要がある。
Continue reading “QNAP QVR Pro の脆弱性 CVE-2026-22898 が FIX:アクセス制御の不備とシステム侵害の可能性”Critical NetScaler ADC and Gateway Vulnerabilities Enable Remote Attacks on Affected Systems
2026/03/23 CyberSecurityNews — Cloud Software Group が公表したのは、NetScaler ADC (旧 Citrix ADC)/NetScaler Gateway (旧 Citrix Gateway) に存在する 2 件の深刻な脆弱性 CVE-2026-3055/4368 に対する緊急セキュリティ・パッチである。これらの脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステムを侵害する可能性を得る。自社でデプロイメントを管理する組織に強く推奨されるのは、更新プログラムの速やかな適用である。
Continue reading “NetScaler の脆弱性 CVE-2026-3055/4368 が FIX:メモリの境界外読み取りの恐れ”Microsoft Emergency Out-of-Band Update for Windows 11 to Fix Microsoft Account Sign-In Failure
2026/03/23 CyberSecurityNews — Microsoft が公開したのは、Windows 11 バージョン 25H2/24H2 向けに提供される緊急アップデート KB5085516 である。このアップデートは、2026年3月の Patch Tuesday 更新により混入した深刻なサインインの不具合を修正すると同時に、OS ビルド 26200.8039/26100.8039 を取り込むものであり、通常の月例更新スケジュール外の更新として、2026年3月21日に提供された。
Continue reading “Microsoft の緊急アップデート KB5085516:Windows 11 の Sign-In 不具合を修正”2026/03/22 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Apple/Laravel Livewire/Craft CMS に存在する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。追加された脆弱性は、以下の通りである。
Oracle Fixes High-Severity RCE Vulnerability Affecting Identity and Web Services Platforms
2026/03/21 gbhackers — Oracle が公開したのは、Oracle Identity Manager および Oracle Web Services Manager に影響を及ぼす深刻なリモート・コード実行 (RCE) の脆弱性に関する緊急セキュリティ・アラートである。この脆弱性 CVE-2026-21992 を悪用する攻撃者は、ユーザー認証を必要とすることなく、リモートからのシステム侵害を可能にする。この脆弱性を抱える Fusion Middleware コンポーネントを利用する組織は、適切な対応を速やかに実施し、システムの乗っ取りを防ぐ必要がある。
Continue reading “Oracle Identity/Web Services の脆弱性 CVE-2026-21992 が FIX:未認証の RCE の恐れ”Chrome Security Update Fixes 26 Vulnerabilities Enabling Remote Malicious Code Execution
2026/03/20 gbhackers — Google が公開したのは、デスクトップ向け Web ブラウザ Chrome に関する重要なセキュリティ更新プログラムである。この更新は、リモートコード実行などの恐れのある 26 件の脆弱性に対処するものだ。Windows/macOS 向けのバージョン 146.0.7680.153/146.0.7680.154、Linux 向けのバージョン 146.0.7680.153 が、Stable チャネルで提供される。この大規模なパッチは、今後の数日から数週間にかけて段階的に展開され、深刻なメモリ破損脆弱性に対する重要な防御を提供する。ユーザーに対して強く推奨されるのは、自動ダウンロード後のブラウザの再起動により、セキュリティ対策を確実に適用し、完全な保護を確保することだ。
Continue reading “Google Chrome の 26 件の脆弱性が FIX:リモートコード実行などの深刻な欠陥に対処”Bamboo Data Center and Server Vulnerability Let Attackers Execute Remote Code
2026/03/20 CyberSecurityNews — Atlassian の Bamboo Data Center に存在する、リモートコード実行 (RCE) の脆弱性 CVE-2026-21570 (CVSS:8.6) が修正された。この脆弱性を悪用する認証済みのリモート攻撃者は、ホスト上で任意のコード実行を引き起こし、エンタープライズ向けのソフトウェアのビルド/リリース管理のプラットフォームに深刻なリスクをもたらす。
Continue reading “Bamboo Data Center の脆弱性 CVE-2026-21570 が FIX:ホスト上での RCE の恐れ”New Critical Jenkins Vulnerabilities Put CI/CD Servers at Risk of RCE Exploits
2026/03/20 gbhackers — Jenkins プロジェクトが公開したのは、コア自動化サーバおよび LoadNinja プラグインに存在する、複数の深刻な脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性が CI/CD (Continuous Integration / Continuous Deployment) 環境にもたらすリスクには、任意のファイル作成/認証情報の漏洩/リモートコード実行 (RCE) などがある。
Continue reading “Jenkins の複数の脆弱性が FIX:コントローラー上での RCE や CLI 実行などの恐れ”Claude Vulnerabilities Allow Data Exfiltration and User Redirection to Malicious Sites
2026/03/19 CyberSecurityNews — Anthropic の AI アシスタント Claude.ai で発見された 3 つの脆弱性は、機密会話データの流出や、悪意の Web サイトへのユーザーのリダイレクトなどを引き起こす。それぞれの悪用チェーンにおいて、インテグレーション/ツール/MCP サーバのコンフィグなどは一切必要とされない。これらの脆弱性チェーンは Claudy Day と命名され、Responsible Disclosure Program を通じて OASIS から Anthropic に報告されている。”claude.com” プラットフォームにおける 3 つの脆弱性を組み合わせて、エンドツーエンドの侵害パイプラインを構築することも可能とされる。
Continue reading “Claude の脆弱性 Claudy Day:データ侵害などを引き起こす不可視プロンプト・インジェクションとは?”Critical Ubiquiti UniFi Vulnerabilities Allow Attackers to Seize Full Control of Underlying Systems
2026/03/19 CyberSecurityNews — Ubiquiti が公開したのは、UniFi Network Application に存在する 2件の深刻な脆弱性 CVE-2026-22557/CVE-2026-22558 の情報である。前者は、未認証の攻撃者に基盤システムの完全な制御を許す、きわめて深刻なものであるため、速やかなパッチ適用が求められる。
Continue reading “Ubiquiti UniFi の脆弱性に CVE-2026-22557/22558 が FIX:深刻なパス・トラバーサルと NoSQLi”CISA Adds Exploited Zimbra Collaboration Suite Flaw to Warning List
2026/03/19 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zimbra Collaboration Suite (ZCS) に影響を及ぼす深刻な脆弱性 CVE-2025-66376 を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。このプラットフォームを使用する連邦政府の機関/組織は、2026年4月1日までに必要なアップデートを適用し、積極的な攻撃によるリスクを軽減する必要がある。
Continue reading “CISA KEV 警告 26/03/18:Zimbra Collaboration の脆弱性 CVE-2025-66376 を登録”CISA Warns of Microsoft SharePoint Vulnerability Exploited in Attacks
2026/03/19 CyberSecurityNews — Microsoft SharePoint における深刻なセキュリティ脆弱性 CVE-2026-20963 が、現在進行形で積極的に悪用されている。2026年3月18日の時点で CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。今回の KEV への追加により、連邦政府機関へのネットワーク攻撃においても、この脆弱性が悪用されていることが確認された。
Continue reading “CISA KEV 警告 26/03/18:Microsoft SharePoint の脆弱性 CVE-2026-20963 を登録”Cisco Firewall 0-day Vulnerability Exploited in the Wild to Deploy Interlock Ransomware
2026/03/18 CyberSecurityNews — Cisco Secure Firewall Management Center (FMC) Software における深刻な脆弱性が、Interlock ランサムウェア・グループの大規模キャンペーンで悪用されている。2026年3月4日の時点で Cisco は、root 権限での任意の Java コード実行を未認証のリモート攻撃者に許す、ゼロデイ脆弱性 CVE-2026-20131 を公表している。しかし、公表の 36日前である 2026年1月26日の時点で、すでに Interlock による悪用が始まっていたことが、Amazon の脅威インテリジェンス・チームの分析により判明した。
Continue reading “Cisco FMC のゼロデイ脆弱性 CVE-2026-20131:Interlock ランサムウェアが実環境で悪用”Ubuntu Desktop Vulnerability Lets Attackers Escalate Privileges to Full Root Access
2026/03/18 gbhackers — Qualys Threat Research Unit (TRU) が公開したのは、Ubuntu Desktop バージョン 24.04 以降のデフォルト・インストールに影響を及ぼす、深刻なローカル権限昇格 (LPE) の脆弱性である。脆弱性 CVE-2026-3888 (CVSS v3.1:7.8 High) を悪用する低権限のローカル攻撃者は、root への権限昇格を可能にし、ホスト・システムの完全な侵害を引き起こす恐れがある。この脆弱性の詳細を解説するのは、Qualys においてセキュリティ調査および脆弱性検出イニシアチブを統括するシニア・マネージャ Saeed Abbasi である。
Continue reading “Ubuntu Desktop の脆弱性 CVE-2026-3888 が FIX:システム深部での競合状態と権限昇格”Critical FortiClient SQL Injection Vulnerability Enables Arbitrary Database Access
2026/03/18 CyberSecurityNews — Fortinet の FortiClient Endpoint Management Server (EMS) において、深刻な SQL インジェクションの脆弱性 CVE-2026-21643 (CVSS:9.1) が発見された。この脆弱性を悪用する未認証の攻撃者は、任意の SQL コマンドを実行し、機密データベース情報へアクセスできる。なお、この脆弱性が影響を及ぼす範囲は、マルチテナント・モードが有効化された FortiClient EMS バージョン 7.4.4 である。
Continue reading “Fortinet FortiClient の SQLi 脆弱性 CVE-2026-21643 が FIX:機密データベースへの不正アクセス”Critical Telnetd Vulnerability Enables Remote Code Execution Attacks
2026/03/18 gbhackers — GNU InetUtils telnetd デーモンにおいて、深刻なバッファ・オーバーフロー脆弱性 CVE-2026-32746 (CVSS 3.1:9.8) が確認された。この脆弱性 (CWE-120) を悪用する未認証の攻撃者は、root 権限で任意コードを実行する可能性を得る。現時点で、実際の悪用は確認されていないが、その深刻度から即時対応が求められる。この脆弱性は Dream Security Labs により発見され、バージョン 2.7 以下に影響を及ぼす。
Continue reading “Telnetd の深刻な脆弱性 CVE-2026-32746:認証前の root 権限での RCE”‘RegPwn’ Windows Registry Vulnerability Enables Full System Access to Attackers
2026/03/18 CyberSecurityNews — “RegPwn” と呼ばれる Windows の脆弱性 CVE-2026-24291 は、管理者権限 (SYSTEM 権限) の不正な取得を、一般ユーザーに許してしまう権限昇格の欠陥である。この脆弱性は、MDSec のレッド・チームにより発見された。2025年1月以降に実施された内部での演習とテストで悪用の可能性が実証され、その後の Microsoft の Patch Tuesday 2026 March で修正されている。
Continue reading “Windows の脆弱性 RegPwn CVE-2026-24291:システム権限の取得と PoC の公開”Apple WebKit Security Flaw Exposes iOS and macOS Users to Content-Based Bypass Attacks
2026/03/18 gbhackers — Apple が公開したのは、iPhone/iPad/Mac をコンテンツ・ベースのバイパス攻撃にさらす、深刻な WebKit の脆弱性に対処する緊急セキュリティ・アップデートである。このパッチは、2026年3月17日 に Background Security Improvements メカニズムを通じてシームレスに配信され、Same Origin Policy 違反のリスクからデバイスを保護するが、完全な OS アップグレードは必要としない。
Continue reading “WebKit の脆弱性 CVE-2026-20643 が FIX:iOS/macOS のクロス・オリジン処理を修正”ScreenConnect Vulnerability Allows Hackers to Extract Unique Machine Keys and Hijack Sessions
2026/03/18 CyberSecurityNews — ConnectWise が公開したのは、同社のリモート・デスクトップ・ソフトウェア ScreenConnect に関する緊急のセキュリティ・アドバイザリである。この脆弱性 CVE-2026-3564 (CVSS:9.0:Critical) を悪用する未認証の攻撃者は、サーバ・レベルのマシンキーを抽出し、セッション認証を乗っ取る可能性がある。この脆弱性の影響が及ぶ範囲は、ScreenConnect バージョン 26.1 未満である。
Continue reading “ScreenConnect の脆弱性 CVE-2026-3564 が FIX:マシンキー抽出とセッション乗っ取りの恐れ”Kubernetes CSI Driver for NFS Vulnerability Lets Attackers Delete or Modify NFS Server Directories
2026/03/17 CyberSecurityNews — Kubernetes Container Storage Interface (CSI) Driver for NFS に、パス・トラバーサル脆弱性 CVE-2026-3864 が発見された。この脆弱性を悪用する攻撃者は、本来であれば到達不能な NFS サーバ上の任意のディレクトリを、削除/変更する可能性を得る。この脆弱性は、ボリューム識別子における subDir パラメータの検証不足に起因するものであり、NFS CSI ドライバーを参照する PersistentVolume の作成が可能なクラスターを、脆弱な状態に陥れる。
Continue reading “Kubernetes CSI Driver for NFS の脆弱性 CVE-2026-3864 が FIX:パス・トラバーサルによる不正操作”CISA Alerts Users to Exploited Chrome 0-Day Flaws
2026/03/17 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、きわめて深刻なゼロデイ脆弱性 CVE-2026-3909/CVE-2026-3910 について緊急警告を発表した。これらの脆弱性は、Google Chrome と基盤技術に影響を与え、実環境において現在進行形で悪用されている。そのため CISA は、2 件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関に対して即時パッチ適用を義務付けるとともに、民間組織にも同様の対応を強く推奨している。
Continue reading “CISA KEV 警告 26/03/13:Google Skia/V8 JavaScript の脆弱性 CVE-2026-3909/3910 を登録”Researchers Decrypt and Exploit Encrypted Palo Alto Cortex XDR BIOC Rules
2026/03/17 CyberSecurityNews — Palo Alto Networks の Cortex XDR エージェントにおいて、振る舞い検知 (行動ベース検知) の完全な回避を攻撃者に許す脆弱性が、サイバー・セキュリティ研究者たちにより発見された。 InfoGuard Labs チームが、暗号化された検知ルールをリバース・エンジニアリングした結果、ハードコードされたグローバル許可リスト (グローバル・ホワイトリスト) の存在が確認された。この仕組みを悪用する脅威アクターは、セキュリティ・アラートを発生させることなく悪意ある操作を実行できる。
Continue reading “Palo Alto Networks Cortex XDR に深刻な検知バイパス:暗号化ルールの解読と攻撃への悪用”Angular XSS Vulnerability Threatens Thousands of Web Applications
2026/03/17 gbhackers — Angular において、深刻なクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2026-32635 (CVSS:8.6) が確認された。Angular は世界で広く使用されている Web アプリケーション・フレームワークの一つである。この脆弱性は Angular の ランタイムおよびコンパイラ に存在し、国際化 (i18n) 属性バインディングに影響する。この欠陥の悪用に成功した攻撃者は、ビルトインされているサニタイズ機構を回避し、Web アプリケーションに悪意のスクリプトを直接注入できる。
Continue reading “Angular の XSS 脆弱性 CVE-2026-32635 が FIX:i18n 属性バインディングとサニタイズ回避”Researchers Find Data Leak Risk in AWS Bedrock AI Code Interpreter
2026/03/16 hackread — Amazon Web Services (AWS) のツールに存在する脆弱性 CVE-N/A (CVSS:7.5) を悪用する脅威アクターが、企業の機密データを窃取する可能性があることを、サイバー・セキュリティ研究者たちが明らかにした。ID セキュリティ企業 BeyondTrust の研究部門 Phantom Labs により実施された調査の対象は、AWS Bedrock AgentCore Code Interpreter である。
Continue reading “AWS Bedrock AI Code Interpreter の脆弱性 CVE-N/A:DNS を介したプロンプト・インジェクション”U.S. CISA adds a flaw in Wing FTP Server to its Known Exploited Vulnerabilities catalog
2026/03/16 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Wing FTP Server の脆弱性 CVE-2025-47813 (CVSS:4.3) を Known Exploited Vulnerabilities (KEV) カタログへ追加した。この脆弱性 CVE-2025-47813 は、Wing FTP Server バージョン 7.4.4 未満に影響を及ぼす情報漏洩の欠陥である。この問題は、Web 認証プロセス中の “loginok.html” ページで発生する。
Continue reading “CISA KEV 警告 26/03/16:Wing FTP Server の脆弱性 CVE-2025-47813 を登録”Google Looker Studio Vulnerabilities Allow Attackers to Exfiltrate Data from Google Services
2026/03/16 CyberSecurityNews — Google Looker Studio に存在し、LeakyLooker と総称される合計 9 件のクロス・テナント脆弱性が明らかにされた。任意 SQL クエリを実行する攻撃者により、機密データの流出が引き起こされ、さらには Google Cloud 環境内のレコードの変更/削除に至る可能性があった。これらの攻撃は、被害者による明示的な許可を必要とせずに実行可能であった。Tenable からの責任ある開示を受けた Google は、すべての問題を修正している。
Continue reading “Google Looker Studio の脆弱性 9 件が FIX:2 種類の認証モードと 2 種類の攻撃経路”Microsoft Releases Out-of-Band Patch For Critical RRAS RCE Vulnerabilities in Windows 11
2026/03/15 CyberSecurityNews — 2026年03月13日に Microsoft が公開した緊急のホットパッチは 、Windows 11 version 24H2/25H2 に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2026-25172/CVE-2026-25173/CVE-2026-26111 に対処するものである。このアップデート KB5084597 は、OS Build 26200.7982/26100.7982 を対象としており、Windows の Routing and Remote Access Service (RRAS) 管理ツールに存在する 3 件の重大な脆弱性を修正するものだ。なお、この修正は、デバイス再起動を必要としない。
Continue reading “Windows RRAS の脆弱性 CVE-2026-25172/25173/26111 が FIX:緊急のホットパッチ提供”FortiGate Firewalls Exploited in Wave of Attacks to Breach Networks and Steal Credentials
2026/03/15 CyberSecurityNews ‐‐‐ FortiGate Next-Generation Firewalls (NGFW) を2026年初頭に侵害した脅威アクターが、エンタープライズ環境内に持続的な足場を確立しようとする、一連の侵入インシデントが確認された。いずれのケースも、攻撃者は目的を完全に達成する前のラテラル・ムーブメントの段階で阻止された。SentinelOne によると、この攻撃の波は 2025年12月から 2026年1月に公開された、Fortinet の 3 件の深刻な脆弱性と密接に関連しているという。
Continue reading “FortiGate のゼロデイ脆弱性 CVE-2026-24858 などを悪用:ネットワーク侵入と資格情報窃取を検出”Critical LangSmith Account Takeover Vulnerability Puts Users at Risk
2026/03/14 CyberSecurityNews — LangSmith に存在する深刻な脆弱性 CVE-2026-25750 を、Miggo Security の研究者たちが発見した。この脆弱性を悪用する攻撃者は、トークン窃取や完全なアカウント乗っ取りを引き起こす可能性がある。LangSmith は大規模言語モデルデータのデバッグおよび監視の中核プラットフォームとして機能し、毎日数十億件のイベントを処理する。そのため、この欠陥は、エンタープライズ AI 環境にとって極めて深刻なセキュリティ問題を引き起こす。
Continue reading “LangSmith の脆弱性 CVE-2026-25750 が FIX:API 設定不備とセッション情報の流出”Veeam Patches Multiple Critical RCE Vulnerabilities on Backup Server
2026/03/13 CyberSecurityNews — Veeam が公表したのは、Backup & Replication ソフトウェアに存在する深刻な脆弱性を修正する重要なセキュリティ・アップデートである。これらの欠陥を悪用する攻撃者は、リモートコード実行や権限昇格を可能にする恐れがある。2026年03月12日に公開された最新セキュリティ・パッチ (Build 12.3.2.4465) は、バックアップ・インフラを脅威から保護するために、管理者にとって必須のアップデートである。Veeam バックアップ・ソフトウェアに対する修正の継続的な適用は、現代のインフラ・セキュリティにおける重要な要素である。
Continue reading “Veeam の複数の深刻な脆弱性が FIX:リモートコード実行や権限昇格の恐れ”Two Newly Discovered Chrome Zero-Days Exploited in the Wild to Run Malicious Code
2026/03/12 gbhackers — Google が公表したのは、Chrome デスクトップ・ブラウザに存在する 2 件の深刻なゼロデイ脆弱性に対する、緊急セキュリティ・アップデートである。それらの脆弱性 CVE-2026-3909/CVE-2026-3910 は、いずれも深刻度 High に分類されており、実際の攻撃での悪用が確認されている。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、コード実行やシステム侵害から保護することだ。
Continue reading “Chrome 2件のゼロデイ CVE-2026-3909/3910 が FIX:実環境での悪用を確認”Microsoft Copilot Email and Teams Summarization Vulnerability Enables Phishing Attacks
2026/03/12 CyberSecurityNews — AI アシスタントにより、日常の業務が急速に変革されている。それにより、大量のメール・インボックス管理/クライアント・コミュニケーション/インシデント・レスポンスを担当するチームの作業が効率化されている。Microsoft Copilot のようなツールが、日常のワークフローに直接統合され、Microsoft 365 エコシステム全体からコンテキストを取得しながら、メールやミーティングの内容を要約する。しかし、多くの組織が防御準備を整えていないため、この利便性による新たなセキュリティ境界の問題が生じている。
Continue reading “Microsoft Copilot の脆弱性 CVE-2026-26133 が FIX:Email/Teams 要約を介したフィッシング”GitLab Security Update – Patch for XSS and API DoS Vulnerabilities
2026/03/12 CyberSecurityNews — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する広範な脆弱性へ対応する緊急セキュリティ・アップデートである。新たに公開されたバージョン 18.9.2/18.8.6/18.7.6 は、深刻度 High の Cross-Site Scripting (XSS) および Denial-of-Service (DoS) 欠陥を含む、合計 15 件のセキュリティ問題を修正するものだ。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:深刻な XSS や API DoS 攻撃の問題に対処”2026/03/12 gbhackers — Palo Alto Networks が公開したのは、Cortex XDR Broker Virtual Machine (VM) で新たに発見された脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2026-0231 (Medium) を悪用する脅威アクターは、機密のシステム情報へのアクセスや変更を可能にする。Broker VM は、オンプレミスのネットワーク資産と、クラウド・ベースの Cortex XDR platform を接続する、重要なブリッジとして機能するものだ。そのため、このコンポーネントの保護は、組織全体の防御体制の維持にとって極めて重要である。
Continue reading “Palo Alto Cortex XDR Broker の脆弱性 CVE-2026-0231 が FIX:機密情報の漏洩/改竄の恐れ”Cisco IOS XR Software Vulnerability Allow Attacker to Execute Commands as Root
2026/03/12 CyberSecurityNews — Cisco が公開したのは、IOS XR Software に存在する 2 件の特権昇格の脆弱性 CVE-2026-20040/CVE-2026-20046 (High) に関するセキュリティ・アドバイザリである。これらの脆弱性を悪用する認証済みのローカル攻撃者は、影響を受けるルーティング・デバイスにおいて、root としての任意のコマンド実行の可能性と、完全な管理者権限を取得する可能性を得る。
Continue reading “Cisco IOS XR の脆弱性 CVE-2026-20040/20046 が FIX:root でのコマンド実行と管理者権限の取得”Splunk RCE Vulnerability Exposes Systems to Arbitrary Shell Command Execution by Attackers
2026/03/12 gbhackers — Splunk の Enterprise/Cloud Platform で発見された、深刻度 High のリモートコード実行 (RCE) の脆弱性は、システムに深刻なセキュリティ・リスクを招くものだ。この脆弱性 CVE-2026-20163 (CVSS:8.0) を悪用する脅威アクターは、ホスト・オペレーティング・システム上で、任意のシェル・コマンド実行の可能性を得る。このバグは、エンタープライズ・ソフトウェアにおける、入力値の不適切な無害化 (CWE-77) の危険性を示すものだ。
Continue reading “Splunk の RCE 脆弱性 CVE-2026-20163 が FIX:REST API における適切なサニタイズ”SolarWinds Web Help Desk Deserialization Vulnerability Enables Command Execution
2026/03/12 CyberSecurityNews — SolarWinds Web Help Desk に存在する深刻なセキュリティ脆弱性について、サイバーセキュリティ当局は警告を発し、システム管理者に対して直ちに対応するよう呼びかけている。脆弱性 CVE-2025-26399 を悪用する攻撃者は、ホスト・マシン上で不正なコマンドを直接実行する可能性を得る。この脆弱性は、連邦政府機関内での悪用が確認されていることから、米国 Cybersecurity and Infrastructure Security Agency (CISA) は Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。
Continue reading “CISA KEV 警告 26/03/09:SolarWinds Web Help Desk の脆弱性 CVE-2025-26399 を KEV カタログへ登録”Critical Vulnerability in Microsoft Office Allows Malicious Code to Run Remotely
2026/03/11 gbhackers — 2026年3月10日の Patch Tuesday で Microsoft が公開したのは、Office スイートに存在する深刻なセキュリティ脆弱性 CVE-2026-26110 の情報である。 このリモート・コード実行 (RCE) の脆弱性 (CVSS:8.4) は、Office ソフトウェアに依存する組織/個人にとって重大な脅威となる。企業ユーザーにおいては、IT 管理者/セキュリティ・チームによる迅速な対応が求められる。
Continue reading “Microsoft Office の RCE 脆弱性 CVE-2026-26110 が FIX:タイプ・コンフュージョンに起因”Microsoft Active Directory Domain Services Vulnerability Let Attackers Escalate Privileges
2026/03/11 CyberSecurityNews — 2026年3月10日 Patch Tuesday で、Active Directory Domain Services (AD DS) に存在する深刻な脆弱性 CVE-2026-25177 (CVSS:8.8:Important) が公開された。この脆弱性は、ファイル名およびリソース名に対する不適切な制限 (CWE-641) に起因し、認証済みのネットワーク攻撃者に権限昇格を許容するものである。
Continue reading “Microsoft AD DS の脆弱性 CVE-2026-25177 が FIX:Unicode SPN 偽装による SYSTEM 権限奪取”Microsoft .NET 0-Day Vulnerability Enables Denial-of-Service Attacks
2026/03/11 CyberSecurityNews — .NET の脆弱性 CVE-2026-26127 (CVSS:7.5:Important) は、2026年3月の Patch Tuesday でゼロデイとして公開されたものである。この脆弱性を悪用する未認証のリモート攻撃者は、ネットワーク経由で Denial-of-Service (DoS) 状態を引き起こせる。Windows/macOS/Linux 上の複数の .NET バージョンが影響を受けるため、管理者は公式パッチを速やかに適用する必要がある。
Continue reading “Microsoft .NET のゼロデイ DoS 脆弱性 CVE-2026-26127 が FIX:境界外読み込みによるクラッシュ”Microsoft SQL Server Zero-Day Vulnerability Allows Attackers to Escalate Privileges
2026/03/11 CyberSecurityNews — 2026年3月10日の Microsoft Patch Tuesday で、SQL Server に存在する深刻なゼロデイ脆弱性 CVE-2026-21262 (CVSS v3.1:8.8:Important) が公開された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデータベース・システム上の最高管理者レベルへの権限の昇格が可能となる。すでに情報が公開されている脆弱性であるため、エンタープライズ環境で SQL Server を運用する組織は深刻なリスクに直面している。
Continue reading “Microsoft SQL のゼロデイ CVE-2026-21262:最高管理者レベルへの権限昇格”Fortinet FortiManager fgtupdates Vulnerability Allows Attackers to Execute Malicious Commands
2026/03/10 CyberSecurityNews — Fortinet が公開したのは、FortiManager プラットフォームに存在する深刻なスタックバッファ・オーバーフローの脆弱性 CVE-2025-54820 の情報である。この脆弱性を悪用する未認証のリモート攻撃者は、不正なコマンドを実行する可能性を得る。この脆弱性 CVE-2025-54820 (CVSSv3:7.0) は、FortiManager を運用するエンタープライズ・ネットワーク管理環境内の、影響を受けるバージョンに対して深刻なリスクをもたらす。
Continue reading “FortiManager fgtupdates の脆弱性 CVE-2025-54820 が FIX:悪意のコマンド実行の恐れ”Gogs Flaw Could Let Attackers Quietly Overwrite Large File Storage Data
2026/03/10 gbhackers — オープンソースのセルフホスト型 Git サービスである Gogs において、深刻なセキュリティ脆弱性が確認された。この CVE-2026-25921 (CVSS:9.3) を悪用する未認証の脅威アクターは、任意のリポジトリの Git Large File Storage (LFS) オブジェクトを密かに上書きできる。コンテンツ検証の欠如を悪用する脅威アクターは、ステルス型のソフトウェア・サプライチェーン攻撃を実行し、正規のプロジェクト・ファイルをバックドアへと置き換えることが可能になる。
Continue reading “Gogs の脆弱性 CVE-2026-25921 が FIX:未認証ユーザーによる LFS データ改竄の恐れ”Ivanti Desktop and Server Management Vulnerability Allows Attackers to Escalate Privileges
2026/03/10 CyberSecurityNews — Ivanti が公開したのは、Desktop and Server Management (DSM) ソフトウェアのセキュリティ更新である。この脆弱性を悪用するローカルで認証済みの攻撃者は、影響を受けるシステム上で権限の昇格を達成する。この脆弱性 CVE-2026-3483 (CVSS:7.8) が影響を及ぼす範囲は、DSM 2026.1 以下の全バージョンである。
Continue reading “Ivanti DSM の脆弱性 CVE-2026-3483 が FIX:権限昇格を許す恐れ”SAP Security Update – Patch for Multiple Vulnerabilities that Enable Remote Code Execution
2026/03/10 CyberSecurityNews — SAP は 2026年3月 Patch Day において、15件の新規 Security Note を公開した。そこには、Remote Code Execution および完全なシステム侵害につながる可能性のある、2件の Critical 脆弱性が含まれる。すべての顧客に対して SAP が強く推奨するのは、Support Portal を確認し、迅速にパッチを適用することである。最も深刻な脆弱性は CVE-2019-17571 (CVSS 9.8) であり、SAP Quotation Management Insurance (FS-QUO 800) に影響する。
Continue reading “SAP の 2026年3月 Patch Day:未検出だった Log4j CVE-2019-17571 などに対応”
IoT OT Security News 
You must be logged in to post a comment.