Critical Wazuh Flaw Enables Threat Actors to Alter Alerts and Remove Logs
2026/06/15 gbhackers — Wazuh Manager に存在する深刻なセキュリティ脆弱性 CVE-N/A (CVSS 10.0) を悪用する未認証の脅威アクターが、新しいインベントリ同期パイプラインにおける入力検証の弱点を突く可能性がある。それにより、アラートの改竄/フォレンジック証拠の削除/任意の OpenSearch 操作の実行などが引き起こされる恐れがある。この脆弱性は、GitHub アドバイザリ GHSA-ff9g-85jq-r3g3 として追跡され、Wazuh Manager バージョン 5.0.0-beta1 に影響を及ぼす。
Continue reading “Wazuh の脆弱性 CVE-N/A (CVSS 10.0) が FIX:危険なインジェクション・プリミティブ”ServiceNow Confirms Vulnerability Allowing Unauthorized Access to Customer Instance Tables
2026/06/10 CyberSecurityNews — ServiceNow が認めたのは、顧客インスタンスのテーブルに対するクエリ実行を、未認証の攻撃者に許す可能性のある、セキュリティ脆弱性 CVE-N/A の存在である。脅威インテリジェンス・チャネルを通じて明らかになったのは、この問題により、企業環境全体におけるデータ露出や情報漏洩への懸念が高まっていることである。情報によると、不適切なアクセス制御を突く攻撃者が、適切な認証なしにバックエンドのインスタンス・テーブルに対してクエリを実行する可能性があるという。
Continue reading “ServiceNow の脆弱性 CVE-N/A:顧客インスタンス・テーブルへの不正クエリの可能性”Windows Search URI Handler Flaw Leaks NTLMv2 Hashes to Attacker-Controlled Servers
2026/06/03 CyberSecurityNews — Windows の “search URI” ハンドラーで発見された脆弱性 CVE-N/A により、攻撃者が用意したサーバへ向けて NTLMv2 ハッシュが漏洩する可能性がある。この挙動は、Snipping Tool の CVE-2026-33829 と同一クラスのバグであり、ユーザーによる 1 回のリンク・クリックで発生するものであるが、Microsoft は CVE 割り当ても修正も行っていない。
Continue reading “Windows の NTLMv2 ハッシュ漏洩の脆弱性 CVE-N/A:Huntress がエクスプロイトを確認”1-Click GitHub Token Vulnerability Lets Attackers Steal Users’ OAuth Tokens
2026/06/03 CyberSecurityNews — Visual Studio Code の WebView 実装に存在する、深刻なセキュリティ脆弱性を悪用する攻撃者は、被害者に悪意のリンクを 1-Click させるだけで、GitHub OAuth トークンの窃取および、非公開リポジトリの Read/Write 権限を取得する可能性がある。 このバグは、2026年6月2日に、セキュリティ研究者 Ammar Askar により公表された。同氏は、Microsoft Security Response Center (MSRC) の過去の対応に対する不満や不愉快な経験を理由に、完全公開を選択した。
Continue reading “Visual Studio Code の脆弱性 CVE-N/A:1-Click で GitHub OAuth トークンを窃取”New Linux CIFSwitch Kernel Vulnerability Allows Attackers to Gain Root Access
2026/05/28 CyberSecurityNews — 新たに公開された Linux のローカル権限昇格の脆弱性 CIFSwitch (CVE-N/A) により、Linux カーネルの CIFS クライアントとユーザー・スペースの cifs-utils パッケージ間のロジック不備を悪用することで、低権限ユーザーであっても root 権限を取得できることが判明した。この脆弱性は、セキュリティ研究者 Asim Manizada により発見されたものであり、防御側における影響範囲の評価とパッチ適用の検証を支援するための、詳細な技術解説と PoC が公開されている。
Continue reading “Linux カーネルに新たな CIFSwitch 脆弱性 CVE-N/A:root アクセスの可能性と PoC の提供”Roundcube Webmail Vulnerability Allows Hackers to Execute Malicious SQL Queries
2026/05/28 gbhackers — Roundcube Webmail のユーザーに対して、複数のセキュリティ脆弱性に対応するための、速やかなシステム・アップデートが強く推奨されている。一連の脆弱性の中には、認証情報やログイン権限を必要としない攻撃者に対して、悪意のデータベース・クエリの実行を許す、深刻な SQL インジェクションの欠陥が含まれる。これらの脆弱性は、2026年5月24日に公開されたバージョン 1.6.16/1.7.1 で修正されている。このセキュリティ・アップデートにより、長期サポート版と現行版がカバーされる。
Continue reading “Roundcube Webmail の脆弱性 CVE-N/A が FIX:悪意の SQL クエリ実行の可能性”Angular Language Service Extension Flaws Allow Remote Code Execution
2026/05/26 gbhackers — Angular Language Service の VS Code エクステンション (Angular.ng-template) において、複数の高深刻度の脆弱性が発見された。アドバイザリ GHSA-ccq4-xmxr-8hcq として追跡されている、一連の脆弱性を悪用する攻撃者は、悪意のプロジェクト・ファイルや依存関係を通じてリモートコード実行 (RCE) 攻撃を可能にする。これらの脆弱性が影響を及ぼす範囲は、バージョン 21.2.4 未満であり、最新リリース 21.2.4 で修正されている。
Continue reading “Angular Language Service の複数の脆弱性 CVE-N/A が FIX:リモートコード実行の可能性”PuTTY 0.84 Released With Fix for SSH KEX Crashes and Telnet Prompt Spoofing Flaw
2026/05/26 CyberSecurityNews — PuTTY 0.84 がリリースされ、SSH 鍵交換時のクラッシュや Telnet プロンプトのスプーフィングに関する複数の軽微なセキュリティ問題が修正された。これらの脆弱性は、暗号処理やセッションロジックにおける低深刻度の欠陥とされるが、悪意のサーバや man-in-the-middle (MITM) 攻撃者により悪用され得るものである。
Continue reading “PuTTY 0.84 がリリース:SSH クラッシュや Telnet プロンプト・スプーフィングなどに対応”New NGINX 0-Day RCE “nginx-poolslip” Threatens Millions of Servers
2026/05/21 gbhackers — 新たに発見された NGINX のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) が悪用されると、数百万台のサーバが潜在的なリモート・コード実行 (RCE) 攻撃の危険にさらされる可能性がある。この脆弱性により、世界中のサイバーセキュリティ・コミュニティにおいて、深刻な懸念が引き起こされている。この脆弱性は、世界中の Web サイトの推定 30〜40% で利用されている、Web サーバ・ソフトウェア NGINX のバージョン 1.31.0 に影響するものであり、NebSec チームのセキュリティ研究者 Vega により発見され、2026年5月21日に公開された。
Continue reading “NGINX 1.31.0 のゼロデイ脆弱性 nginx-poolslip (CVE-N/A) を検出:ASLR バイパスによる RCE の可能性”Fragnesia Linux Vulnerability Let Attackers Gain Root Privileges – PoC Released
2026/05/13 CyberSecurityNews — 新たに公開された Linux Kernel 脆弱性 Fragnesia により、ローカルの非特権ユーザーであっても、競合状態を必要とせずに root 権限へ昇格可能となることが判明した。その特性から、近年確認されたローカル権限昇格エクスプロイトの中でも、特に信頼性の高いものとみられている。 この脆弱性は、V12 Security チームの William Bowling により発見されたものであり、Linux セキュリティの前提を静かに変化させる、危険な Kernel バグ群の一つである。
Continue reading “Linux カーネルの脆弱性 Fragnesia CVE-N/A:root 権限奪取と PoC の公開”New Exim BDAT GnuTLS Vulnerability Enables Code Execution Attacks
2026/05/13 CyberSecurityNews — 現在インターネット上で最も広く導入されている Mail Transfer Agent である Exim において、深刻なセキュリティ欠陥が発見された。この EXIM-Security-2026-05-01.1 で公開された脆弱性を悪用するリモート攻撃者は、特権/認証情報/事前アクセスを一切必要とせずにサーバ・メモリを破壊し、悪意のコード実行を可能にする。2026年5月初旬からの協調的な責任開示プロセスを経て、2026年5月12日に今回のアドバイザリが公開された。
Continue reading “Exim の GnuTLS バックエンドに深刻な UAF 脆弱性 CVE-N/A:認証不要の任意のコード実行”Open WebUI File Upload Vulnerability Enables 1-Click RCE Attack
2026/05/12 gbhackers — Open WebUI の深刻な脆弱性 CVE-N/A を悪用する攻撃者が、単純なプロフィール画像をアップロードすることで、完全なシステム侵害への足がかりを得るという脅威が現実化している。セキュリティ研究者が公開したのは、1 クリックでリモートコード実行 (RCE) とアカウント完全乗っ取りを可能にする、深刻な蓄積型 Cross-Site Scripting (XSS) の欠陥である。
Critical Gemini CLI Flaw Raises Supply Chain Security Concerns
2026/04/27 gbhackers — Google が公開したのは、Gemini CLI と関連する GitHub Actions における、深刻な脆弱性へ対処するための緊急のセキュリティ更新である。この脆弱性 GHSA-wpqr-6v78-jr5g (CVSS 10.0) により、CI/CD (Continuous Integration and Continuous Deployment) パイプラインがリモート・コード実行 (RCE) 攻撃の危険にさらされる。この問題は、ワークスペースの信頼設定およびツール許可リスト処理の不備に起因し、自動化ワークフローの侵害を可能とするものである。それにより、サプライチェーン・セキュリティに関する深刻な懸念が引き起こされる。
Continue reading “Google Gemini CLI の RCE 脆弱性 CVE-N/A が FIX:サプライチェーン・セキュリティに懸念”OpenClaw Flaws Expose Systems to Policy Bypass Attacks
2026/04/27 gbhackers — オープンソースの自律型 AI エージェント・フレームワーク OpenClaw は、3 件の Medium レベルの脆弱性に対応するための重要なセキュリティ更新を公開した。これらの不備は npm パッケージのバージョン 2026.4.20 未満に存在し、ポリシー回避/不正なローカル・コンフィグ変更/API 資格情報漏洩といった深刻なリスクを引き起こす。IT 管理者およびセキュリティ担当者は、最新の 2026.4.20 へと速やかにアップデートし、エージェント環境を保護すべきである。
Continue reading “OpenClaw の 3件の脆弱性 CVE-N/A が FIX:ポリシー回避/コンフィグ変更などの対応”iTerm2 Flaw Turns SSH Escape Sequences Into Arbitrary Code Execution
2026/04/20 gbhackers — “cat” などのコマンドを用いたテキスト・ファイルの読み取りは、多くのサイバーセキュリティ・コミュニティにおいて安全な操作であると認識されている。その一方で、セキュリティ研究者たちが実証したのは、人気の macOS 用ターミナル・エミュレータである iTerm2 において、この単純な操作から任意のコード実行に至る可能性である。 OpenAI との共同研究により明らかとなったのは、無害に見えるターミナル出力を処理する際に、ターミナル・エミュレータの信頼モデルに根本的な欠陥が存在することだった。
Continue reading “iTerm2 の脆弱性 CVE-N/A:エスケープシーケンスに起因する任意のコード実行”Hackers Target Adobe Reader Users With Sophisticated Zero-Day Exploit
2026/04/08 gbhackers — Adobe Reader ユーザーを攻撃の標的にし得る、きわめて深刻なゼロデイ脆弱性が、EXPMON のセキュリティ研究者により特定された。2026年3月の後半に観測されたのは、この脆弱性を積極的に悪用する攻撃者が、ローカルファイルの窃取/機密情報の収集/リモートコード実行 (RCE) 攻撃を引き起こせる状況である。
Continue reading “Adobe Reader の深刻な脆弱性 CVE-N/A:洗練されたゼロデイ攻撃を観測”Critical Claude Code Flaw Silently Bypasses User-Configured Security Rules
2026/04/06 gbhackers — Anthropic の主力 AI コーディング・エージェントである Claude Code に存在し、開発者が設定したセキュリティ・ルールを密かにバイパスする、深刻な脆弱性が明らかになった。この脆弱性を悪用する攻撃者は、50 個を超える無害なサブ・コマンドを付加するだけで、本来ブロックされるべきデータ流出スクリプトなどを実行できるようになる。
Continue reading “Anthropic Claude Code の脆弱性 CVE-N/A が FIX:ユーザー定義セキュリティ制御の密かな回避”Google Cloud’s Vertex AI Hit by Vulnerability Enabling Sensitive Data Access
2024/04/01 gbhackers — AI エージェントがエンタープライズ・ワークフローを変革しているが、それと同時に、新たな攻撃ベクターをもたらしている。Google Cloud Platform (GCP) の Vertex AI Agent Engine に存在する深刻な脆弱性が、Palo Alto Networks Unit 42 のセキュリティ研究者たちにより発見された。デフォルトで設定される過度に広範な権限を悪用する攻撃者たちは、悪意のダブルエージェント (二重スパイ) を展開することで、秘密裏に機密データを流出させ、重要なクラウドインフラの侵害を可能にする。
Continue reading “Google Cloud Vertex AI の脆弱性 CVE-N/A:権限過多による機密データへの不正アクセス”Open VSX Scanner Vulnerability Lets Malicious Extensions Go Live
2026/03/28 gbhackers — Open VSX が公表したのは、新たに導入された公開前スキャン・パイプラインに存在し、悪意のエクステンションの公開を可能にする深刻な脆弱性の修正である。それにより、Cursor や Windsurf などの VS Code フォークで利用される、エクステンション・マーケットプレイス Open VSX において、セキュリティ・チェックの回避が発生する可能性が生じていた。この “Open Sesame” と呼ばれる問題は、スキャン・ワークフローにおける “fail-open” 条件に起因していた。
Continue reading “Open VSX Scanner の脆弱性 CVE-N/A が FIX:曖昧なエラー処理による検証バイパス”IPVanish VPN for macOS Vulnerability Let Attackers Escalate Privilege and Execute Arbitrary Code
2026/03/04 CyberSecurityNews — macOS 向け IPVanish VPN アプリケーションにおいて、深刻な権限昇格の脆弱性 CVE-N/A が発見された。この欠陥を突くローカル・ユーザーは、ユーザー操作を必要とせずに、 root 権限での任意のコード実行を可能にする。 このセキュリティ欠陥により、コード署名検証を含む macOS のセキュリティ機能が完全にバイパスされるため、システムに深刻なリスクが生じる。
Continue reading “IPVanish VPN for macOS の脆弱性 CVE-N/A:未認証 XPC による root での任意のコード実行”Zenity Details Perplexity AI Browser Vulnerability
2026/03/03 SecurityBoulevard — Perplexity が開発した Comet AI ブラウザに対して、ゼロクリック攻撃が可能であることを Zenity が詳述している。同社は、AI アプリケーションと AI エージェントのセキュリティを確保するための、プラットフォームを提供する企業である。Zenity の CTO である Michael Bargury によると、PerplexedComet と命名された攻撃ベクターを悪用する攻撃者は、コンテンツの制御を可能にするという。その結果、接続されたツール/ワークフロー全体において、自律的な動作が引き起こされる恐れがある。
Continue reading “Perplexity AI Browser の脆弱性 CVE-N/A が FIX:カレンダーから間接的プロンプト・インジェクション”New Deserialization Vulnerability in Ruby Workers Could Enable Full System Compromise
2026/02/24 CyberSecurityNews — Ruby のバックグラウンド・ジョブ処理システムに、深刻なリモートコード実行 (RCE) 脆弱性 CVE-N/A が発見された。原因は安全ではない JSON デシリアライズであり、信頼できない入力データが実行可能なオブジェクトへと変換されてしまう。この問題は、Ruby 環境におけるデシリアライズの潜在的な危険性を示すものであり、たった一行のコードが、バックグラウンド・ワーカー・コンテキストで致命的なコマンド実行を引き起こす。
Continue reading “Ruby のバックグラウンドに深刻な RCE 脆弱性 CVE-N/A:完全なシステム侵害の可能性”Microsoft 365 Copilot Vulnerability Exposes Sensitive Emails Through AI Summaries
2026/02/19 gbhackers — Microsoft 365 Copilot に存在するセキュリティ不具合により、高機密性のラベルが付与されたメールを AI アシスタントが誤って要約するという問題が発生している。これは、設定済みの Data Loss Prevention (DLP) ポリシーを事実上回避する挙動である。この脆弱性により、組織の機密データが未承認の AI 処理に晒される可能性が生じる。
Continue reading “Microsoft 365 Copilot 脆弱性 CVE-N/A:高機密メールが誤って要約されてしまう”OpenClaw AI “Log Poisoning” Vulnerability Allows Malicious Content Injection
2026/02/17 CyberSecurityNews — OpenClaw は、メッセージング/クラウド・サービス/ローカル・システム・ツールへの接続を提供し、現在進行形で急成長しているオープンソース AI アシスタントである。この OpenClaw が、ログ・ポイズニングの脆弱性を修正した。この脆弱性を悪用するリモート攻撃者は、悪意のユーザー制御コンテンツをログへ注入し、その後にエージェントが取り込む可能性があった。この問題は、OpenClaw Security Advisory で文書化されており、OpenClaw バージョン 2026.2.13 未満が影響を受ける。
Continue reading “OpenClaw のログ・ポイズニング脆弱性 CVE-N/A が FIX:間接プロンプト・インジェクションの恐れ”Joomla Vulnerabilities in Novarain/Tassos Framework Expose SQL Injection Risks
2026/02/16 gbhackers — Novarain/Tassos フレームワークをバンドルする、Joomla エクステンションのソースコード・レビューにより、複数の攻撃プリミティブが確認された。これらのプリミティブを連鎖させることで、パッチ未適用インスタンスにおいて、深刻なリスクが発生するという。具体的には、管理者権限の乗っ取りや、リモート・コード実行 (RCE) に関する警告が発せられている。
Continue reading “Joomla エクステンションに深刻な脆弱性 CVE-N/A:Novarain/Tassos フレームワークを介した SQLi と RCE の恐れ”Zimbra Issues Security Update to Address XSS, XXE, and LDAP Injection Flaws
2026/02/13 gbhackers — Zimbra が公開したバージョン 10.1.16 により、メール・インフラおよびユーザー・データを侵害し得る、複数の深刻な脆弱性が対処された。同社は、一連の脆弱性の深刻度を High に分類し、Web ベース攻撃に関連するリスク軽減のため、管理者に対して優先的なアップグレードを強く推奨している。
Continue reading “Zimbra の複数の脆弱性 CVE-N/A が FIX:深刻な XSS や LDAP インジェクションに対応”Claude Desktop Extensions 0-Click RCE Vulnerability Exposes 10,000+ Users to Remote Attacks
2026/02/09 CyberSecurityNews — Claude Desktop Extensions (DXT) の深刻な脆弱性が新たに発見され、大規模言語モデル (LLM) における信頼境界の処理方式を巡る、根本的なアーキテクチャ上の欠陥が明らかになった。この Claude DXT のゼロクリック型リモート・コード実行 (RCE) 脆弱性 CVE-N/A を悪用する攻撃者は、細工された Google Calendar のイベントのみでシステムを侵害できる。
Continue reading “Claude Desktop Extensions のゼロクリック RCE の脆弱性:1 万人以上のユーザーにリモート侵害の恐れ”CentOS 9 Security Flaw Enables Privilege Escalation – PoC Released
2026/02/06 gbhackers — CentOS 9 で発見されたセキュリティ脆弱性は、ローカル・ユーザーに対して root 権限へ昇格を許す深刻なものである。この脆弱性は、Linux kernel のネットワーク・サブシステムに存在する Use-After-Free (UAF) 状態に起因するものであり、TyphoonPWN 2025 ハッキング・コンテストの Linux カテゴリにおいて 1 位を獲得したものだ。
Continue reading “CentOS 9 の脆弱性 CVE-N/A:PoC が実証する深刻な権限昇格と No Patch”WatchGuard VPN Client Flaw on Windows Enables SYSTEM‑Level Command Execution
2026/02/05 gbhackers — WatchGuard が公開したのは、Windows 向け Mobile VPN with IPSec クライアントに存在する深刻な権限昇格の脆弱性に対処するセキュリティ・アップデートである。この脆弱性は、NCP engineering が提供する基盤ソフトウェアに起因するものであり、侵害されたマシン上のローカル攻撃者に対して、最高権限で任意のコマンド実行を許すものである。現時点では、CVE は採番されておらず、NCPVE-2025-0626 (WatchGuard Advisory WGSA-2026-00002) として追跡されている。
Continue reading “WatchGuard VPN の脆弱性 CVE-N/A が FIX:SYSTEM レベルでのコマンド実行の恐れ”Critical Zlib Vulnerability Let Attackers Trigger Buffer Overflow by Invoking untgz
2026/01/12 CyberSecurityNews — zlib に同梱される untgz ユーティリティのバージョン 1.3.1.2 に発見されたのは、深刻なグローバルバッファ・オーバーフローの脆弱性 CVE-N/A である。攻撃者は、細工したコマンドライン入力を介してメモリを破壊し、悪意あるコードを実行する可能性がある。この欠陥は、untgz ユーティリティの TGZfname() 関数に存在する。この関数は、ユーザーが指定したアーカイブ名を処理する際、入力サイズの検証を行わずに strcpy() を呼び出す実装となっている。その結果、1,024 バイト固定長の静的グローバル・バッファに対して境界を超えるデータコピーが発生し、メモリ破壊が引き起こされる。
Continue reading “zlib untgz ユーティリティのバッファ・オーバーフローの脆弱性 CVE-N/A:メモリ破損の恐れ”Roundcube Flaws Let Attackers Execute Malicious Scripts
2025/12/19 gbhackers — Roundcube が公表したのは、広く利用されているオープンソース Web メール・ソフトウェア Roundcube に存在する 2件の深刻な脆弱性に対処する重要なセキュリティ・アップデートである。これらの脆弱性を悪用する攻撃者は、悪意のスクリプト実行/機密情報の漏洩を引き起こす可能性があり、このプラットフォームをメール通信に利用する組織/個人にリスクをもたらす。
Continue reading “Roundcube の2件の脆弱性 CVE-N/A が FIX:XSS 攻撃と情報漏洩の可能性”Notepad++ fixes flaw that let attackers push malicious update files
2025/12/11 BleepingComputer — Notepad++ が公開したのは、WinGUp アップデート・ツールの脆弱性を修正するバージョン 8.8.9 である。研究者およびユーザーからインシデントが報告されたことを受け、このバージョンがリリースされた。その背景にあるのは、WinGUp アップデート・ツールが、正規のアップデート・パッケージではなく悪意の実行ファイルを取得するという問題である。この問題の最初の兆候は、Notepad++ コミュニティ・フォーラムのトピックで確認された。Notepad++ のアップデート・ツール GUP.exe (WinGUp) が、デバイス情報を収集する未知のコマンドである、”%Temp%\AutoUpdater.exe” というファイルを生成したと、あるユーザーが報告したのだ。
Continue reading “Notepad++ の脆弱性 CVE-N/A が FIX:悪意のアップデート・ファイル受信の可能性”New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request
2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。
Continue reading “Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ”Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
2025/11/24 CyberSecurityNews — Wireshark Foundation が公開したのは、広く利用されているネットワーク・プロトコル・アナライザーに存在する脆弱性へのセキュリティ・アップデートである。このアップデートは、サービス拒否 (DoS) につながる可能性のある、複数の脆弱性に対処している。最新リリースであるバージョン 4.6.1 は、Bundle Protocol バージョン 7 (BPv7) および Kafka のディセクタに発見された脆弱性に対処するものである。これらの脆弱性が修正されないまま放置されると、ネットワーク・ストリームまたはトレース・ファイルに悪意のあるデータを挿入する攻撃者は、アプリケーションを強制的にクラッシュさせることが可能になる。
Continue reading “Wireshark の脆弱性 CVE-N/A が FIX:BPv7 や Kafka に関連する問題に対処”Ollama Flaws Let Hackers Run Any Code Using Malicious Model Files
2025/11/20 gbhackers — GitHub で人気を博すオープンソース・プロジェクトであり、155,000 以上のスターを獲得している Ollama に、深刻なセキュリティ脆弱性 CVE-N/A が発見された。この脆弱性を悪用する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を得る。これらの脆弱性は、Ollama のバージョン 0.7.0 未満に影響を及ぼすものであり、このプラットフォームにより LLM をローカルで実行している、数多くの AI 愛好家や開発者を危険にさらしている。
Continue reading “Ollama の脆弱性 CVE-N/A が FIX:悪意のモデル・ファイルを介した RCE”Critical Imunify360 Vulnerability Exposes Millions of Linux-Hosted Sites to RCE Attacks
2025/11/14 gbhackers — 世界中で約 5,600 万の Web サイトを保護するセキュリティ製品 Imunify360 AV の、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-N/A が修正された。そのため、ホスティング企業にとって必要なことは、直ちにパッチを適用し、サーバ侵害を防ぐことである。この脆弱性の詳細は 2024年10月下旬に報告され始め、影響を受けるホスティング・プロバイダーにはサーバの完全性の確認が求められてきた。しかし、深刻な脆弱性にもかかわらず、Imunify360 チームは公式声明を発表しておらず、CVE 識別子も割り当てられていない。この問題は 2025年11月4日の時点で、Zendesk サポート・ポータルにひっそりと記載され、推定 CVSS スコア 8.2 と評価されている。
Continue reading “Imunify360 の重大な脆弱性 CVE-N/A が FIX:5,600 万以上の Web サイトが危険な状況”Ubuntu’s Kernel Vulnerability Let Attackers Escalate Privileges and Gain Root Access
2025/10/28 CyberSecurityNews — Ubuntu の Linux カーネルに深刻な脆弱性が発見された。この脆弱性を悪用するローカル攻撃者は、影響を受けるシステム上で権限を昇格させ、root アクセスを取得する可能性がある。TyphoonPWN 2025 で公開された、この脆弱性 (CVE-N/A) は af_unix サブシステムにおける参照カウントの不均衡に起因し、解放済みメモリ使用 (UAF) 状態を引き起こす可能性がある。研究者らは、完全な PoC エクスプロイトを開発し、この問題を実証している。
Continue reading “Ubuntu Linux Kernel の深刻な脆弱性 CVE-N/A が FIX:権限昇格と root アクセスの可能性”Critical Zimbra SSRF Flaw Exposes Sensitive Data
2025/10/18 gbhackers — Zimbra が公開したのは、深刻なサーバーサイド・リクエスト・フォージェリ (SSRF) 脆弱性 CVE-N/A (High) に対処するための緊急セキュリティパッチである。この脆弱性が影響を及ぼす範囲は、Zimbra バージョン 10.1.5~10.1.11 であり、プラットフォームのチャット・プロキシ設定を通じて、攻撃者が機密データにアクセスできる可能性がある。Zimbra がユーザーおよび管理者に対して強く推奨するのは、速やかなアップデートである。
Continue reading “Zimbra の重大な SSRF の脆弱性 CVE-N/A が FIX:機密データ・アクセスの可能性”Windows Rust Kernel GDI Vulnerability Leads to Crash and Blue Screen of Death Error
2025/10/17 CyberSecurityNews — Microsoft が公表したのは、Windows の GDI用に新たに実装した、Rust ベースのカーネル・コンポーネントに存在する脆弱性の情報である。この脆弱性は、システム全体のクラッシュ (BSOD:Blue Screen of Death) を引き起こす可能性があり、メモリセーフな言語を重要な OS コンポーネントに統合する際の課題を浮き彫りにしている。Microsoft は、この問題の深刻度を Medium と分類している。しかし、この脆弱性を武器化する攻撃者が、広範囲にわたる混乱を引き起こす可能性があるため、エンタープライズ環境には潜在的なリスクが生じることになる。
Continue reading “Windows Rust Kernel GDI の脆弱性 CVE-N/A:Check Point が発見した BSOD クラッシュとは?”Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine
2025/09/10 CyberSecurityNews — Cursor AI Code Editor に、リモート・コード実行の脆弱性が発見された。この脆弱性により、悪意のコード・リポジトリが自動的に開かれ、ユーザーのマシン上でコードが実行される可能性がある。この脆弱性を発見した Oasis Security の研究チームは、人気エディタのデフォルト・コンフィグの悪用による、一般的なユーザー・プロンプトのバイパスを実証している。
Continue reading “Cursor AI Code Editor の脆弱性 CVE-N/A:Workspace Trust 無効化による悪意の自動実行”Nagios Flaw Enables Remote Attackers to Run Arbitrary JavaScript via XSS
2025/08/27 gbhackers — Nagios が公表したのは、エンタープライズ監視プラットフォーム Nagios XI の Graph Explorer 機能で発見された、深刻なクロスサイト・スクリプティング (XSS) の脆弱性の情報である。この脆弱性を悪用するリモート攻撃者は、ユーザーのブラウザ上で任意の JavaScript を実行できる可能性がある。この脆弱性は、セキュリティ研究者 Marius Lihet により責任を持って開示されたものであり、2024年8月12日にリリースされた 2024R2.1 で、修正済みとなっている。
Continue reading “Nagios XI Graph Explorer 脆弱性 CVE-N/A:XSS による任意のJavaScript 実行”Amazon AI coding agent hacked to inject data wiping commands
2025/07/25 BleepingComputer — Visual Studio Code 用の GenAI アシスタントである Amazon Q Developer Extension に、あるハッカーがデータ・ワイパー・コードを埋め込んだという。この Amazon Q の GenAI アシスタントを用いる開発者たちは、無料のエクステンションに支援され、コーディング/デバッグ/ドキュメント作成/カスタム・コンフィグ設定などを可能にしている。Microsoft の Visual Studio Code (VSC) マーケットプレイスで入手が可能な Amazon Q の人気は高く、インストール数は 100 万件近くに達している。
Continue reading “Amazon Q の脆弱性 CVE-N/A が FIX:リポジトリの侵害と謎めいたマルウェアの展開”ExpressVPN Windows Client Flaw Could Expose User Information
2025/07/22 gbhackers — ExpressVPN の Windows デスクトップ・クライアントに、ユーザーの接続情報を漏洩する脆弱性が発見された。この脆弱性は、RDP (Remote Desktop Protocol) およびポート 3389 経由で送信される他の TCPトラフィックに関連するものであり、特定の状況下においてユーザーの接続情報が漏洩するという。この脆弱性を発見したのは、セキュリティ研究者の Adam-X であり、ExpressVPN のバグ報奨金プログラムを通じて適切に発見されたという。
Continue reading “ExpressVPN Windows Client の脆弱性 CVE-N/A が FIX:ユーザー情報漏洩の可能性”Critical Linux Kernel’ Double Free Vulnerability Let Attackers Escalate Privileges
2025/07/10 CyberSecurityNews — Linux Kernel の NFT (netfilter) サブシステムの pipapo set モジュールに存在する、深刻な二重解放の脆弱性が明らかにされた。このセキュリティ欠陥により、細工された netlink メッセージを悪用する権限を持たない攻撃者が、カーネル・メモリの破壊を達成し、ローカル権限昇格を実行できるようになる。
Continue reading “Linux Kernel の二重解放の脆弱性 CVE-N/A と権限昇格:効果的な緩和策は?”Django App Vulnerabilities Chained to Execute Arbitrary Code Remotely
2025/07/01 CyberSecurityNews — Django Web アプリケーションに影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性が発見された。この脆弱性を悪用する攻撃者は、無害に見える CSV ファイルのアップロード機能を介して、サーバの完全な乗っ取りを可能にする。2025年6月30日に公開された、この脆弱性を悪用する攻撃者は、ディレクトリ・トラバーサルと pandas の CSV パーサー悪用を連鎖させることで、Django の wsgi.py ファイルを上書きし、任意のコード実行の可能性を得るという。CSV コメント内に埋め込まれた悪意の Python コードは、pandas の処理を回避して残存し、Django が “wsgi.py” を再読み込みする際に自動的に実行される。
Continue reading “Django Web アプリケーションの脆弱性 CVE-N/A:リモート・コード実行に No Patch/Yes PoC”Critical Salesforce Vulnerability Exposes Global Users to SOQL Injection Attacks
2025/06/09 gbhackers — Salesforce Aura コントローラーの、デフォルト・コンフィグに存在する SOQL (Salesforce Object Query Language) インジェクションの脆弱性を、あるセキュリティ研究者が発見した。この脆弱性により、数千のデプロイメントおよび、数百万のユーザーレコードに影響が生じる可能性がある。この発見が浮き彫りにするのは、動的なクエリ構築のリスクと、エンタープラ イズ・クラウドプラット・フォームにおける、セキュア・コーディングの重要性である。
Continue reading “Salesforce の SOQL インジェクション脆弱性 CVE-N/A:数百万のユーザーに影響をおよぼす可能性”New Safari XSS Flaw Leverages JavaScript Error Handling to Execute Arbitrary Code
2025/06/03 CyberSecurityNews — Safari にクロスサイト・スクリプティング (XSS) の脆弱性が、新たに発見された。この脆弱性を悪用する攻撃者は、ブラウザの TypeError 例外処理メカニズムを介して、任意の JavaScript コードを実行できるという。この脆弱性は、Gareth Heyes による、ペイロード隠蔽技術の研究中に発見されたものだ。TypeError メッセージ内の引用符エスケープを、Safari が不適切に処理することで、コード実行に悪用される可能性が生じるという。
Continue reading “Safari の XSS 脆弱性 CVE-N/A:エラー・メッセージ内の特殊文字と不適切な無効化”Leaky WordPress: Private Post Titles at Risk for 1 Billion Sites
2025/05/20 SecurityOnline — WordPress で発見された脆弱性を、Imperva の研究者たちが公開した。この脆弱性を悪用する攻撃者は、WordPress プラットフォームの XML-RPCインターフェイスを介して、機密性の高い下書きや非公開の投稿タイトルを暴露する機会を得る。この機能は、約10億の Web サイトにおいて、デフォルトで有効化されているという。
Continue reading “WordPress Core のタイトル・リークの脆弱性 CVE-N/A:XML-RPC ピンバック機能に欠陥”Critical Bubble.io Vulnerability Exposes Apps to Data Theft via Elasticsearch, No Patch
2024/04/18 SecurityOnline — 人気急上昇中のノーコード開発プラットフォーム Bubble.io に、アプリケーションと機密データを危険にさらす、深刻なセキュリティ脆弱性が発見された。この脆弱性は、2024年にセキュリティ研究者たちにより発見されたものであり、その悪用に成功した攻撃者は、プラットフォームの制限を回避し、基盤となる Elasticsearch データベースに対するダイレクトなクエリ実行を可能にする。
Continue reading “Bubble.io の深刻な脆弱性 CVE-N/A:全ユーザー・データの漏洩と No Patch と PoC”Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution
2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x/7.x/8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x/8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。
Continue reading “PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム”
IoT OT Security News 
You must be logged in to post a comment.