Critical 18-Year-Old NGINX Vulnerability Enables Remote Code Execution Attacks
2026/05/14 CyberSecurityNews — NGINX のソース・コードにおいて、2008年から存在していた深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2026-42945 (CVSS 9.2) が発見された。この脆弱性に対しては、すでに PoC エクスプロイトが公開され、認証を必要としないリモート・コード実行 (RCE) が実証されている。NGINX は、世界で最も広く利用される Web サーバの 1つであるため、その影響は広範に及ぶ。
Continue reading “NGINX の深刻な脆弱性 CVE-2026-42945 が FIX:RCE と PoC の登場”Critical MongoDB Vulnerability Allow Attackers to Execute Arbitrary Code
2026/05/14 CyberSecurityNews — MongoDB の深刻な脆弱性を悪用するリモートの攻撃者は、任意のコード実行を達成し、対象サーバを完全に制御する可能性がある。この脆弱性 CVE-2026-8053 は、MongoDB Server のデプロイメントへ直接影響するものであり、数百万件規模のデータ窃取のリスクを引き起こしている。
Continue reading “MongoDB の脆弱性 CVE-2026-8053 が FIX:セルフホスト環境で RCE の可能性”Critical SandboxJS Escape Vulnerability Enables Host Takeover
2026/05/13 CyberSecurityNews — npm 上で広く利用されている JavaScript サンドボックス・ライブラリ SandboxJS において、深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2026-43898 (CVSS 10.0) を悪用する攻撃者は、サンドボックスを完全に突破し、ホストシステム上での任意のコード実行を可能にする。
Continue reading “SandboxJS Escape の脆弱性は CVE-2026-43898 が FIX:ホスト上での任意のコード実行と PoC”Avada Builder Flaws Expose One Million WordPress Sites
2026/05/13 InfoSecurity — Avada Builder WordPress プラグインにおいて新たに 2件の脆弱性 CVE-2026-4782/4798 が公表され、約 100 万のサイトが任意のファイル読み取り/SQL インジェクション攻撃のリスクにさらされている。2026年5月12日に公開された Wordfence の分析によると、これらの脆弱性は 2026年3月21日に独立研究者 Rafie Muhammad により、Wordfence Bug Bounty Program を通じて報告された。
Continue reading “WordPress Avada プラグインの脆弱性 CVE-2026-4782/4798 が FIX:100万件のサイトが危険な状態”Fragnesia Linux Vulnerability Let Attackers Gain Root Privileges – PoC Released
2026/05/13 CyberSecurityNews — 新たに公開された Linux Kernel 脆弱性 Fragnesia により、ローカルの非特権ユーザーであっても、競合状態を必要とせずに root 権限へ昇格可能となることが判明した。その特性から、近年確認されたローカル権限昇格エクスプロイトの中でも、特に信頼性の高いものとみられている。 この脆弱性は、V12 Security チームの William Bowling により発見されたものであり、Linux セキュリティの前提を静かに変化させる、危険な Kernel バグ群の一つである。
Continue reading “Linux カーネルの脆弱性 Fragnesia CVE-N/A:root 権限奪取と PoC の公開”New Exim BDAT GnuTLS Vulnerability Enables Code Execution Attacks
2026/05/13 CyberSecurityNews — 現在インターネット上で最も広く導入されている Mail Transfer Agent である Exim において、深刻なセキュリティ欠陥が発見された。この EXIM-Security-2026-05-01.1 で公開された脆弱性を悪用するリモート攻撃者は、特権/認証情報/事前アクセスを一切必要とせずにサーバ・メモリを破壊し、悪意のコード実行を可能にする。2026年5月初旬からの協調的な責任開示プロセスを経て、2026年5月12日に今回のアドバイザリが公開された。
Continue reading “Exim の GnuTLS バックエンドに深刻な UAF 脆弱性 CVE-N/A:認証不要の任意のコード実行”Microsoft Teams Vulnerability Allows Hackers to Perform Spoofing Attacks
2026/05/12 CyberSecurityNews — Microsoft Teams の新たなセキュリティ脆弱性を悪用する脅威アクターが、ローカル・デバイスを偽装するというリスクが判明した。それにより、このプラットフォームを、日常的なコミュニケーションで利用している企業/個人ユーザーの間で懸念が高まっている。
Continue reading “Microsoft Teams の脆弱性 CVE-2026-32185 が FIX:未認証ローカル攻撃者がスプーフィング攻撃を実行”Critical Fortinet FortiSandbox Vulnerability Enables Code Execution Attacks
2026/05/12 CyberSecurityNews — Fortinet の FortiSandbox における深刻なセキュリティ脆弱性が、エンタープライズ・ネットワークに重大なリスクをもたらしている。この脆弱性を悪用する未認証のリモート攻撃者は、任意のコード/コマンドの実行を可能にする。2026年5月12日に Fortinet は、脆弱性 CVE-2026-26083 (FG-IR-26-136) を公開し、CVSSv3 スコア 9.1 を付与し Critical に分類した。
Continue reading “FortiSandbox の脆弱性を CVE-2026-26083 が FIX:任意のコード/コマンド実行の恐れ”Ivanti Patches Multiple Vulnerabilities in Secure Access, Xtraction, vTM and Endpoint Manager
2026/05/12 CyberSecurityNews — 2026年5月に Ivanti は、Patch Tuesday セキュリティ更新を公開し、4 製品にわたる複数の脆弱性を開示した。また、従来のスキャナーでは検出できない欠陥の発見に、すでに人工知能ツールが寄与していることを明らかにし、AI が発見する脆弱性の件数が増えることで、今後の開示ペースが加速する可能性があると警告している。
Continue reading “Ivanti Secure Access/Xtraction/vTM/EPM の深刻な脆弱性群が FIX:AI による検出が加速”Open WebUI File Upload Vulnerability Enables 1-Click RCE Attack
2026/05/12 gbhackers — Open WebUI の深刻な脆弱性 CVE-N/A を悪用する攻撃者が、単純なプロフィール画像をアップロードすることで、完全なシステム侵害への足がかりを得るという脅威が現実化している。セキュリティ研究者が公開したのは、1 クリックでリモートコード実行 (RCE) とアカウント完全乗っ取りを可能にする、深刻な蓄積型 Cross-Site Scripting (XSS) の欠陥である。
Fortinet Patches Five Vulnerabilities Across FortiAP, FortiOS, and Enterprise Products
2026/05/12 CyberSecurityNews — 2026年5月12日に Fortinet が公開したのは、ワイヤレス AP コントローラ/ネットワーク OS/エンタープライズ管理プラットフォームにまたがる、5 件の脆弱性に対するセキュリティ・アドバイザリである。この中には、FortiSandbox における深刻な認可バイパスの脆弱性が含まれる。
Continue reading “Fortinet 製品の脆弱性群が FIX:Critical な認可バイパスの脆弱性への対応が急務”Microsoft May 2026 Patch Tuesday fixes 120 flaws, no zero-days
2026/05/12 BleepingComputer — 2026年5月の Patch Tuesday において、Microsoft は 120 件の脆弱性に対するセキュリティアップデートを公開したが、今回はゼロデイ脆弱性の開示はなかった。今月の Patch Tuesday は、17 件の “Critical” 脆弱性に対応しており、その内訳はリモートコード実行 14 件、権限昇格 2 件、情報漏洩 1 件である。
Continue reading “Microsoft 2026-05 月例アップデート:Critical 7 件を含む 120 件の脆弱性に対応”cPanel and WHM Servers Targeted in Attacks Exploiting CVE-2026-41940
2026/05/11 gbhackers — cPanel および WHM サーバに影響を及ぼす、深刻な認証バイパスの脆弱性 CVE-2026-41940 (CVSS 9.8) が、現在アクティブに悪用されている。この攻撃を背後で操るのは、高度で追跡が困難なサイバー犯罪シンジケート Mr_Rot13 である。この脆弱性を悪用する未認証のリモート攻撃者は、標準認証プロトコルを完全にバイパスし、影響を受ける Linux システムに対する完全な管理者権限を取得できる。
Continue reading “cPanel/WHM の脆弱性 CVE-2026-41940:Linux 管理者権限窃取のアクティブな攻撃を確認”PHP SOAP Extension Flaw Could Let Attackers Execute Code Remotely
2026/05/11 gbhackers — 先日に公開された PHP の脆弱性の中で、広く使用される SOAP エクステンションに存在する問題が、サイバーセキュリティ・コミュニティ全体に深刻な警鐘を鳴らしている。新たに特定された脆弱性の中には、対象サーバ上でのリモートコード実行 (RCE) を攻撃者に許す、深刻なものが含まれる。
Continue reading “PHP SOAP Extension の脆弱性 CVE-2026-6722 などが FIX:リモートコード実行の恐れ”New cPanel and WHM Flaws Enable Code Execution, DoS Attacks
2026/05/10 CyberSecurityNews — cPanel & WHM および WP Squared に影響を及ぼす、3 件の Critical なセキュリティ脆弱性 CVE-2026-29201/CVE-2026-29202/CVE-2026-29203 が公開された。これらの欠陥を突く攻撃者は、任意のファイル読み取り/Perl コード・インジェクション/サービス拒否 (DoS) 攻撃を可能にする。すでに、 2026年5月8日の時点で修正されているため、ホスティング・プロバイダーおよびサーバ管理者にとって、即時のパッチ適用が必須となっている。
Continue reading “cPanel/WHM の脆弱性 CVE-2026-29201/29202/29203 が FIX:コード実行や DoS 攻撃の可能性”Critical Microsoft 365 Copilot Vulnerabilities Expose sensitive Information
2026/05/09 CyberSecurityNews — Microsoft が公開したのは、365 Copilot/Edge Copilot Chat に影響を及ぼす、3 件の深刻な情報漏洩の脆弱性に関する情報である。これらの脆弱性は、2026年5月7日に公開され、すでに修正されているため、エンドユーザーや管理者による対応は不要である。Microsoft Security Response Center は、クラウドサービスにおける透明性向上の継続的な取り組みの一環として、脆弱性 CVE-2026-26129/CVE-2026-26164/CVE-2026-33111 に対するアドバイザリを公開している。
Continue reading “Microsoft 365 Copilot の脆弱性 CVE-2026-26129/26164/33111 が FIX:情報漏洩の恐れ”Cline Kanban WebSocket Vulnerability Enables Malicious Sites to Take Over AI Coding Agents
2026/05/08 gbhackers — オープンソースの AI コーディング・エージェント Cline の、ローカル Kanban サーバに存在する深刻な脆弱性が明らかにされた。この開発者のためのツールは、ソースコード/クラウド認証情報/ターミナルへの深層アクセス権を持つものであり、複雑なコーディングタスクを自動化するものだ。Oasis Security の研究者が発見したのは、警告を一切表示せずに AI エージェントに対して不正コマンドを注入できる、脆弱性 CVE-N/A (CVSS:9.7:Critical) である。この脆弱性を悪用する悪意の Web サイトは、開発者マシンを密かに乗っ取り、機密ワークスペース・データを窃取する可能性がある。
Continue reading “Cline Kanban WebSocket の脆弱性 CVE-N/A が FIX:悪意の Web サイトからの乗っ取りの可能性”Multiple Critical Flaws Fixed in Next.js and React Server Components
2026/05/08 gbhackers — Vercel が公開したのは、Next.js のバージョン 13.x 〜 16.x に影響を及ぼす、高深刻度の脆弱性に対処するための、重要なセキュリティ・アップデートである。一連の脆弱性に含まれるのは、未認証サービス拒否 (DoS)/サーバサイド・リクエスト・フォージェリ (SSRF)/複数のミドルウェア認証バイパスなどの欠陥であり、Web アプリケーションに深刻なリスクをもたらすものである。
Continue reading “Next.js に 5 件の深刻な脆弱性が FIX:DoS/SSRF/認証バイパスに対応”PoC Exploit Released for Dirty Frag Linux Kernel Vulnerability
2026/05/08 gbhackers — “Dirty Frag” と呼ばれる、新たな Linux kernel 脆弱性クラスに対する PoC エクスプロイトが公開された。この悪用が容易なローカル権限昇格の脆弱性により、攻撃者は主要な Linux ディストリビューションの大半において、安定して root 権限を取得可能となっている。脆弱性情報が非公開にされるべき期間中であったが、第三者による猶予違反により、公式パッチや CVE 識別子が割り当てられる前に、PoC エクスプロイトが公開されてしまった。その結果、CVE-N/A で公式パッチが未提供の状況で、PoC エクスプロイトが流通する事態を招いている。
Continue reading “新たな Linux kernel 脆弱性 Dirty Frag:PoC の公開による root 権限奪取の恐れ”423 Firefox Flaws Fixed as Browser Gains Support for Claude, Mythos, and More
2026/05/08 gbhackers — Mozilla は、先進的な AI モデルである Anthropic の Claude Mythos Preview をはじめとする高度な人工知能モデルを活用して、Firefox に潜在していた 423 件のセキュリティ脆弱性を特定/修正した。それに加えて、イニシアチブの発表から 2 週間後に、きわめて高効率な脅威検知パイプラインの構築手法を公開した。
Continue reading “Firefox の脆弱性 423 件を修正:Mozilla が Claude Mythos とファジングを統合”Critical Vulnerability in Rancher Fleet Enables Full Cluster-Admin Privileges
2026/05/08 gbhackers — SUSE Rancher Security チームは、Rancher Fleet における深刻な脆弱性 CVE-2026-41050 を公開した。Rancher Fleet とは、大規模な Kubernetes クラスタを管理するための GitOps ツールである。この問題は、プラットフォームのマルチテナント分離メカニズムを完全に破壊するものであり、悪意のユーザーに対して、セキュリティ境界の回避と機密データの窃取を許す。
Hackers Leveraged Hugging Face and ClawHub With 575+ Malicious Skills to Deploy Malware
2026/05/08 CyberSecurityNews — 著名な AI プラットフォーム Hugging Face と ClawHub を悪用し、正規の AI ツールやエージェント・エクステンションを装いながら、トロイの木馬/暗号通貨マイナー/情報窃取マルウェアなどを配布する、進行中のマルウェア配布キャンペーンが確認された。このキャンペーンが示すのは、従来のソフトウェア・リポジトリから、信頼された AI エコシステムへと攻撃対象が移行している状況であり、サプライチェーン攻撃の大きな進化といえる。
Continue reading “Hugging Face と ClawHub を悪用するハッカーを検知:575+ の悪意の Skills がマルウェアをデプロイ”CISA Issues Warning Over Palo Alto PAN-OS Flaw Enabling Root-Level Access
2026/05/07 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Palo Alto Networks の PAN-OS に存在する深刻な脆弱性 CVE-2026-0300 について緊急警告を発出し、2026年5月6日に KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性を悪用する未認証ユーザーは、完全なシステム制御を可能にするため、連邦機関には 2026年5月9日までの対策の完了が指示されている。
Continue reading “CISA KEV 警告 26/05/06:Palo Alto PAN-OS の脆弱性 CVE-2026-0300 を KEV に登録”New Cisco Network Vulnerability Let Remote Attacker Cause DoS Attack
2026/05/07 CyberSecurityNews — Cisco Systems が公開したのは、Crosswork Network Controller (CNC)/Network Services Orchestrator (NSO) に影響を及ぼす、深刻度 High の脆弱性に関する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2026-20188 (CVSS 7.5) の悪用に成功した未認証のリモート攻撃者は、対象システム上で深刻な DoS (サービス拒否) 状態を引き起こす可能性があり、ネットワーク基盤に重大なリスクをもたらす恐れがある。
Continue reading “Cisco CNC/NSO の脆弱性 CVE-2026-20188 が FIX:深刻な DoS 攻撃の可能性”Spring Vulnerabilities Open Door to Arbitrary File Access and GCP Secret Leaks
2026/05/07 gbhackers — Spring Cloud Config において、Medium から Critical に分類される 4件の新たな脆弱性が特定された。新たに公開された脆弱性を悪用する攻撃者は、任意のファイル・アクセス/Google Cloud Platform (GCP) シークレットの漏洩/システム・ディレクトリの不正操作を引き起こす恐れがある。管理者にとって必要なことは、直ちにパッチを適用して、積極的な悪用を防ぐことである。
Continue reading “Spring の4件の脆弱性が FIX:ディレクトリ・トラバーサルや GCP Secret リークなどに対応”Critical Redis Vulnerabilities Enables Remote Code Execution Attacks
2026/05/07 CyberSecurityNews — Redis で発見された 5 件の深刻な脆弱性は、認証済み攻撃者に対してリモートコード実行を許し、影響を受けるシステムへの直接的な侵害経路を提供するものだ。攻撃において認証アクセスが必要とされるが、悪用に成功した脅威アクターは、任意コード実行/データ流出/サービス妨害/システム全体の侵害を引き起こす可能性がある。
Continue reading “Redis の深刻な脆弱性 5 件が FIX:RCE によるシステム侵害の可能性”New Ivanti EPMM 0-Day Vulnerability Actively Exploited in Attacks
2026/05/07 CyberSecurityNews — Ivanti は、Endpoint Manager Mobile (EPMM) のセキュリティ・アドバイザリを公開し、すべてのオンプレミス環境に対して、修正された複数の脆弱性への即時のパッチ適用を強く求めている。この情報の公開時点において、Ivanti は CVE-2026-6973 の悪用を確認している。ただし、この脆弱性の悪用に際しては、管理者の認証情報が必要となる。
Critical vm2 Node.js Library Flaws Enable Arbitrary Code Execution Attacks
2026/05/07 gbhackers — vm2 に存在する、Critical なサンドボックス・エスケープの脆弱性群が公開された。Node.js で広く使用されるサンドボックス・ライブラリである、vm2 の脆弱性を悪用する攻撃者は、隔離された実行環境から脱出してホスト・システム上で任意のコマンド実行を可能にする。 数日前から、メンテナーである patriksimek が 11 件のアドバイザリを公開している。一連の脆弱性は、vm2 バージョン 3.11.0/3.11.1 で修正されている。ただし、バージョン 3.11.1 では、最新の 2 件の脆弱性に対するパッチが未提供である。
Continue reading “vm2 Node.js Sandbox ライブラリの 11 件の脆弱性:任意のコード実行などの可能性”Google Chrome 148 Released with Fix for 127 Security Vulnerabilities – Update Now!
2026/05/07 CyberSecurityNews — Google は Windows/Mac/Linux 向け Chrome 148 を Stable チャネルとして正式にリリースし、 Linux 向けのバージョン 148.0.7778.96 と、 Windows/Mac 向けの 148.0.7778.96/97 を公開した。このリリースは、単一のアップデートにより 127 件のセキュリティ脆弱性を修正するものだ。近年の Chrome において、特にセキュリティ対策が強化されたリリースの 1 つとなる。修正された 127 件の脆弱性のうち、3 件は深刻度 Critical であり、20 件以上が High に分類される一方、多数が Medium と Low に分類されている。
Continue reading “Google Chrome 148 がリリース:3件の Critical を含む 127 件の脆弱性を修正”WatchGuard Agent Flaws Allow Attackers to Gain Full SYSTEM Privileges on Windows
2026/05/07 gbhackers — WatchGuard Agent for Windows に存在する、複数の深刻な脆弱性を悪用する攻撃者は、権限昇格を実行して最高レベルのシステム権限を取得し、重要なセキュリティ・サービスを妨害する可能性がある。一連の脆弱性の CVSS スコアは最大 8.5 に達しており、エンドポイント・セキュリティ製品 WatchGuard を利用している組織に深刻なリスクをもたらしている。
Continue reading “WatchGuard Agent for Windows の複数の脆弱性が FIX:SYSTEM 権限取得の恐れ”2026/05/06 InfoSecurity — 2026年4月に Anthropic が発表した Project Glasswing では 、そこに参加した 11社の主要企業が Claude Mythos Preview モデルを用いて、重要なオープンソース・ソフトウェアの脆弱性を発見していった。長年にわたり監査されてきたコードベースに潜むバグを発見した Mythos は、サイバーセキュリティ業界から高く評価された。
Continue reading “GenAI が招くセキュリティ・リスク:オープンソースの脆弱性は氷山の一角に過ぎない”Argo CD ServerSideDiff Flaw Allows Attackers to Extract Kubernetes Secrets
2026/05/06 gbhackers — Argo CD に存在する深刻な脆弱性を、最小権限を持つ攻撃者が悪用し、etcd クラスタからの Kubernetes Secrets の抽出を可能にする。この脆弱性 CVE-2026-42880 (CVSS 9.6) は、Argo CD プラットフォームにおける認可の欠如とデータマスキングの不備を露呈するものだ。
Continue reading “Argo CD の脆弱性 CVE-2026-42880 が FIX:データマスキングの不具合による Kubernetes Secret の抽出”Salesforce Marketing Cloud Vulnerability Opened Door to Email Data Exposure
2026/05/06 CyberSecurityNews — Salesforce Marketing Cloud (SFMC) に発生した一連の深刻なセキュリティ脆弱性は、数百の組織にまたがる数百万のユーザーの、プライベートなメール・データの読み取り/露出を、攻撃者に許す可能性があるものだった。すでに、これらの脆弱性は修正済みであるが、その根本的な原因は、プラットフォームに組み込まれたスクリプト機能と、適切に廃止されなかった数十年前の暗号化手法にある。
Continue reading “Salesforce Marketing Cloud の複数の脆弱性が FIX:プライベート・メール・データが露出”Critical Palo Alto Firewalls Vulnerability Exploited in the Wild to Gain Root Access
2026/05/06 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ソフトウェアにおける深刻なバッファ・オーバーフローの脆弱性 CVE-2026-0300 (CVSS4.0:9.3:CRITICAL) に関する情報である。この脆弱性は、すでに実環境での悪用が確認されている。
Continue reading “Palo Alto Firewall の脆弱性 CVE-2026-0300:確認された悪用とパッチ提供までの緊急対応”Critical Weaver E-cology RCE Vulnerability Actively Exploited in Attacks
2026/05/05 CyberSecurityNews — Weaver E-cology の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2026-22679 (CVSS 9.8) が、未認証の脅威アクターたちに現在進行形で積極的に悪用されている。この脆弱性が影響を及ぼす範囲は、2026年3月12日より前にリリースされた Weaver E-cology 10.0 ビルドである。公開状態にあるデバッグ・エンドポイントに存在する脆弱性 CVE-2026-22679 は、認証が不要な任意のコマンド実行を、攻撃者に対して許すものとなる。細工された POST リクエストを送信する攻撃者は、悪意の入力をオペレーティング・システムへ直接渡すことが可能となる。
Continue reading “Weaver E-cology の脆弱性 CVE-2026-22679 が FIX:実環境での積極的な悪用を確認”GnuTLS 3.8.13 Released with Fix for 12 Vulnerabilities Affecting Network Communications
2026/05/05 CyberSecurityNews — GnuTLS バージョン 3.8.13 が正式にリリースされ、セキュアなネットワーク通信に影響を及ぼす、複数の深刻なセキュリティ脆弱性が修正された。このアップデートは、GnuTLS を使用している全システムに対して強く推奨されるものであり、メモリ破損/認証バイパス/証明書検証の不備などに対処するものだ。
Continue reading “GnuTLS 3.8.13 リリース:認証バイパスとメモリ破損を含む複数の脆弱性を修正”Critical Apache HTTP Server Flaw Exposes Millions of Servers to RCE Attacks
2026/05/05 CyberSecurityNews — Apache Software Foundation は、Apache HTTP Server 向けのセキュリティ更新を公開した。2026年5月4日にリリースされたバージョン 2.4.67 は、リモート・コード実行 (RCE) を引き起こす可能性があるダブルフリー (double-free) の欠陥などの、複数の脆弱性に対処している。バージョン 2.4.66 以前を使用している、すべてのユーザーに対して強く推奨されるのは、速やかなアップグレードである。
Wiz ZeroDay.Cloud Event Reveals 20-Year-Old PostgreSQL Vulnerabilities
2026/05/04 hackread — Wiz が主催する ZeroDay.Cloud ハッキングイベントにおいて、PostgreSQL に存在する 2 件の深刻な脆弱性の悪用が、サイバーセキュリティ研究者により実証された。このイベントは 2025年12月ロンドンで開催されたが、2026年5月4日になって PostgreSQL の脆弱性の詳細が公開されるに至っている。
Continue reading “PostgreSQL の脆弱性 CVE-2026-2005/2006 が FIX:Wiz の ZeroDay.Cloud イベント”CISA Warns of Linux “Copy Fail” 0-Day Vulnerability Exploited to Root Systems
2026/05/04 CyberSecurityNews — 米国の CISA は、Linux カーネルの深刻なゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関および世界中の組織に対して、即時のパッチ適用もしくは影響を受けるシステムの使用停止を求めた。Copy Fail と呼ばれる脆弱性 CVE-2026-31431 (CVSS:7.8:High) は、CWE-699 (Incorrect Resource Transfer Between Spheres) に分類される。
Continue reading “CISA KEV 警告 26/05/01:Linux Kernel の脆弱性 “Copy Fail” CVE-2026-31431 を KEV に登録”U.S. Officials Consider Three-Day Patch Rule in Wake of Anthropic’s Mythos
2026/05/04 SecurityBoulevard — Anthropic の Mythos および OpenAI の GPT-5.4-Cyber といった先端 AI モデルの登場を受け、政府当局が関連機関に課している重大な脆弱性の修正期限について、大幅な短縮を検討していると報じられている。これらの AI モデルは、ソフトウェア脆弱性の検出だけではなく悪用にも優れている。
Continue reading “CISA KEV の修正期間が 3 日に短縮? Anthropic Mythos などの登場が脆弱性への対応を変化させる”Critical MOVEit Vulnerabilities Enables Authentication Bypass
2026/05/04 CyberSecurityNews — Progress Software が公開したのは、同社の MOVEit Automation プラットフォームに存在する深刻なセキュリティ脆弱性の情報である。2026年4月に発出された、この脆弱性を悪用する攻撃者は、セキュリティ・チェックをバイパスしてシステム全体を完全に制御する可能性がある。同社は、2 件の深刻な脆弱性 CVE-2026-4670/CVE-2026-5174 について注意を喚起している。
Continue reading “Progress MOVEit の脆弱性 CVE-2026-4670/5174 が FIX:認証バイパスと権限昇格の恐れ”CISA Alert Highlights Active Exploitation of cPanel & WHM Security Bug
2026/05/04 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、WebPros の cPanel & WebHost Manager (WHM) および WordPress Squared (WP2) に影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-41940 (CVSS:9.8) について警告を発した。2026年4月30日に CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加し、実環境の攻撃で積極的に悪用されていることを確認した。
Continue reading “CISA KEV 警告 26/04/30:cPanel & WHM/WP Squared の脆弱性 CVE-2026-41940 を登録”FreeBSD DHCP Client Vulnerability Enables Remote Code Execution as Root
2026/05/02 CyberSecurityNews — FreeBSD Project が公開したのは、デフォルトの IPv4 DHCP クライアントに存在する深刻な脆弱性に対処する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2026-42511 (CVSS 8.1) を悪用するローカル・ネットワーク上の攻撃者は、root 権限で任意のコード実行を達成し、侵害したマシンの完全な制御を可能にする。AISLE Research Team の Joshua Rogers により発見された、この脆弱性は、現時点でサポートされている FreeBSD の全バージョンに影響を及ぼす。
Continue reading “FreeBSD DHCP クライアントの脆弱性 CVE-2026-42511 が FIX:root 権限での任意のコード実行”cPanelSniper PoC Exploit Disclosed as 44,000 Servers Reportedly Compromised
2026/05/02 gbhackers — cPanel および Web Host Manager (WHM) に存在する深刻なゼロデイ脆弱性が、大規模に悪用されている。脆弱性 CVE-2026-41940 に対する、高度な PoC エクスプロイトが公開されたことで、世界中の数万台のサーバが侵害される事態となっている。この認証バイパスの脆弱性は、ほぼ最高レベルの深刻度スコアを持つ。
Continue reading “cPanel/WHM のゼロデイ脆弱性 CVE-2026-41940:44,000 IP からの攻撃と PoC の登場”Multiple Exim Mail Server Vulnerabilities Could Trigger Crashes via Malicious DNS Data
2026/05/01 gbhackers — Exim が公開したのは、メールサーバで新たに発見された、4 件のセキュリティ脆弱性に対処するバージョン 4.99.2 である。これらの脆弱性の悪用に成功した攻撃者は、サーバ接続のクラッシュ/ヒープメモリの破壊/機密性の高いシステムデータの漏洩などを、引き起こす可能性がある。メールサーバ管理者に強く推奨されるのは、一連の修正を直ちに適用し、メール・インフラへの影響を防ぐことだ。
Continue reading “Exim Mail Server における 4 件の脆弱性が FIX:悪意の DNS データを介したクラッシュと情報漏洩”Critical Wireshark Vulnerabilities Let Attackers Execute Arbitrary Code Via Malformed Packets
2026/04/30 CyberSecurityNews — Wireshark が公開したのは、40 件以上の脆弱性に対処する大規模なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、細工されたパケット注入や悪意のキャプチャ・ファイルにより、任意のコード実行を可能にする。世界で最も広く使用されるオープンソースのネットワーク・プロトコル・アナライザー Wireshark を用いて、ネットワーク監視/フォレンジック/トラフィック分析を実践している組織/個人は、Wireshark 4.6.5 へと速やかにアップデートする必要がある。
Continue reading “Wireshark の脆弱性 40件以上が FIX:プロトコル・モジュールにおける欠陥を AI が解析”PoC Disclosed for Critical Root ASUSTOR ADM RCE Flaw
2026/04/30 gbhackers — ASUSTOR の ADM (ASUSTOR Data Master) オペレーティング・システムの PPTP VPN Client 機能内に存在する、深刻な OS コマンドインジェクションの脆弱性 CVE-2026-6644 (CVSS v4.0:9.4) が明らかにされた。この脆弱性を悪用する認証済み管理者は、root 権限での任意のコマンド実行を可能にする。すでに ASUSTOR は、ADM バージョン 5.1.3.RGO1 をリリースし、この問題に対処している。
Continue reading “ASUSTOR ADM の 脆弱性 CVE-2026-6644 が FIX:root 権限での RCE と PoC のリリース”Jenkins Plugin Updates Fix Path Traversal and Stored XSS Bugs
2026/04/30 gbhackers — Jenkins プロジェクトが公開したのは、複数のプラグインに存在する 7 件の脆弱性に対処する重大なセキュリティ・アドバイザリである。それらの脆弱性には、深刻なパス・トラバーサルおよび蓄積型クロスサイト・スクリプティング (XSS) が含まれており、攻撃者により悪用されると、任意のコード実行やユーザー・セッションの乗っ取りに至る恐れがある。
Continue reading “Jenkins プラグインの 7 件の脆弱性が FIX:パス・トラバーサルや蓄積型 XSS の不具合を修正”ProFTPD SQL Injection Flaw Opens Door To Remote Code Execution Attack
2026/04/30 gbhackers — ProFTPD が公開した新たな脆弱性が注目を集めている。この脆弱性により、単純な SQL インジェクションのバグから、認証バイパスや権限昇格が発生し、一部環境ではリモート・コード実行 (RCE) へと至る可能性がある。ProFTPD の mod_sql モジュールの脆弱性 CVE-2026-42167 は、MITRE により CVSS v3 スコア 8.1 (High) と評価されている。
Continue reading “ProFTPD の脆弱性 CVE-2026-42167 が FIX:SQL インジェクションによる RCE”SonicWall SonicOS Vulnerabilities Allow Attackers to Bypass Access Controls and Crash Firewall
2026/04/30 CyberSecurityNews — SonicWall が公開したのは、SonicOS ソフトウェアに存在する 3 件の脆弱性 CVE-2026-0204/0205/0206 に対処するセキュリティ・アドバイザリの情報である。これらの脆弱性を悪用する攻撃者は、アクセス制御のバイパスや制限されたサービスへのアクセスを行い、さらにファイアウォールをクラッシュさせることで、サービス拒否状態を引き起こす恐れがある。そのため、管理者に強く推奨されるのは、最新ファームウェアの更新を直ちに適用し、これらの脆弱性からネットワークを保護することだ。なお、一連の脆弱性は、CrowdStrike Advanced Research Team により発見された。
Continue reading “SonicOS の脆弱性 CVE-2026-0204/0205/0206 が FIX:アクセス制御回避と DoS の恐れ”
IoT OT Security News 
You must be logged in to post a comment.