Vulnerability – IoT OT Security News

Google Chrome のゼロデイ脆弱性 CVE-2026-2441：PoC 公開と実環境での悪用の確認

PoC Released for Critical Chrome 0-day Vulnerability Exploited in the Wild

2026/02/20 CyberSecurityNews — Google が公開したのは、Chrome の Blink CSS エンジンに存在する深刻な use-after-free のゼロデイ脆弱性 CVE-2026-2441 に対する Proof-of-Concept (PoC) エクスプロイトの情報である。Google は、この脆弱性が実環境で積極的に悪用されていることを確認している。この欠陥は、2026年2月11日にセキュリティ研究者 Shaheen Fazim により報告されたものであり、その 2 日後に Google は緊急パッチで対応している。 2026年における、最初の Chrome ゼロデイ脆弱性は、Chrome の Blink CSS エンジン内の CSSFontFeatureValuesMap コンポーネントに存在する。

Jenkins の脆弱性 CVE-2026-27099／27100 が FIX：ビルド環境が XSS 攻撃の標的に

Critical Jenkins Flaw Exposes Build Environments to XSS Attacks

2026/02/20 gbhackers — 2026年2月18日に報告されたのは、Jenkins のコア・ソフトウェアに存在する 2 件の脆弱性 CVE-2026-27099／CVE-2026-27100 に関する情報である。この脆弱性により、世界中の開発者がソフトウェアのビルド／テスト／デプロイに使用している Jenkins は、深刻なセキュリティ・リスクに直面している。最も深刻な問題は、蓄積型クロス・サイト・スクリプティング (XSS) の脆弱性である。この脆弱性 CVE-2026-27099 を悪用する攻撃者は、ビルド環境への悪意のスクリプトの挿入が可能となり、データ窃取やセッション乗っ取りを引き起こし得る。

Apache Tomcat 脆弱性 CVE-2026-24733 が FIX：HTTP/0.9 を介したセキュリティ・バイパス

Apache Tomcat Vulnerabilities Let Attackers Bypass Security Constraints via HTTP/0.9 Requests

2026/02/20 CyberSecurityNews — Apache Tomcat が公表したのは、特定のアクセス制御ルールコンフィグの下で HTTP/0.9 リクエストを介して発生する、深刻度 Low のセキュリティ制約回避の脆弱性 CVE-2026-24733 に関する情報である。この問題を特定した Apache Tomcat セキュリティ・チームは、2026年2月17日にアドバイザリを公開した。

Windows Notepad 脆弱性 CVE-2026-20841：コマンド・インジェクションの PoC がリリース

PoC Released for Windows Notepad Vulnerability that Enables Malicious Command Execution

2026/02/20 CyberSecurityNews — Microsoft は 2026年2月の Patch Tuesday において、最新の Windows Notepad アプリに存在する深刻なリモートコード実行 (RCE) の脆弱性を修正した。この脆弱性 CVE-2026-20841 は、コマンド・インジェクションに起因するものである。Delta Obscura の Cristian Papa／Alasdair Gorniak により発見された後に、TrendAI Research の Nikolai Skliarenko／Yazhi Wang により詳細が分析された。

BeyondTrust の脆弱性 CVE-2026-1731：VShell／SparkRAT 展開キャンペーンを分析

Hackers Exploit Critical BeyondTrust Vulnerability to Deploy VShell and SparkRAT

2026/02/20 gbhackers — BeyondTrust の Remote Support ソフトウェアに存在する深刻な脆弱性を、脅威アクターたちが積極的に悪用している。この脆弱性を悪用する攻撃者は、VShell バックドアおよび SparkRAT を展開し、公開されているシステムを完全に侵害している。この脆弱性 CVE-2026-1731 は、米国／欧州／アジア太平洋地域の複数業界に対する攻撃で実際に悪用されている。

Splunk の脆弱性 CVE-2026-20140 が FIX：DLL サイドローディング攻撃による SYSTEM 権限昇格

Splunk Enterprise for Windows Vulnerability Let Attackers Hijack DLLs and Gain SYSTEM Access

2026/02/20 CyberSecurityNews — Splunk が公表したのは、Windows 版 Splunk Enterprise に存在する高深刻度の脆弱性に関する情報である。この脆弱性により、低権限のローカル・ユーザーであっても、DLL サイドローディング攻撃を通じて SYSTEM 権限への昇格が可能になる。この脆弱性 CVE-2026-20140 (CVSSv3.1：7.7：High) は、2026年2月18日付けのアドバイザリ SVD-2026-0205 として公開されている。なお、脆弱性のカテゴリーとしては、CWE-427 (Uncontrolled Search Path Element) に分類される。

Microsoft 365 Copilot 脆弱性 CVE-N/A：高機密メールが誤って要約されてしまう

Microsoft 365 Copilot Vulnerability Exposes Sensitive Emails Through AI Summaries

2026/02/19 gbhackers — Microsoft 365 Copilot に存在するセキュリティ不具合により、高機密性のラベルが付与されたメールを AI アシスタントが誤って要約するという問題が発生している。これは、設定済みの Data Loss Prevention (DLP) ポリシーを事実上回避する挙動である。この脆弱性により、組織の機密データが未承認の AI 処理に晒される可能性が生じる。

OpenClaw の 6 件の脆弱性が FIX：SSRF／認証不備／パス・トラバーサル

Researchers Reveal Six New OpenClaw Vulnerabilities

2026/02/19 InfoSecurity — OpenClaw が公表したのは、人気の AI アシスタントに存在する 6 件の新たな脆弱性の修正である。それらには、Server-Side Request Forgery (SSRF)／認証不備／パス・トラバーサルなどの不具合が含まれると、Endor Labs は述べている。これらの脆弱性の一部には CVE ID が付与されていないが、深刻度は Moderate から High に及ぶという。この発表は、2月18日に公開されたブログ投稿で行われた。

中国における脆弱性管理：戦略的な遅延による情報ギャップが CVE の武器化を促す？

Beyond CVE China’s Dual Vulnerability Databases Reveal a Different Disclosure Timeline

2026/02/19 CyberSecurityNews — 中国における独自の脆弱性公開エコシステムの台頭が、グローバルな脅威環境に複雑な層を加えている。国際的に使用されている集中型 CVE システムとは異なり、中国では CNVD と CNNVD という 2 つの独立したデータベースが維持されている。この両者には、公開タイムラインと優先順位において違いがある。この二重構造により、西側の防御側から可視化されない脆弱性が、長期間にわたり静かに存在するという状況が生じている。

CISA KEV 警告 26/02/18：Dell RecoverPoint と GitLab の脆弱性を登録

U.S. CISA adds Dell RecoverPoint and GitLab flaws to its Known Exploited Vulnerabilities catalog

2026/02/19 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Dell RecoverPoint および GitLab の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。追加された脆弱性は以下の通りである。

CVE-2021-22175 (CVSS：6.8)：GitLab Server の SSRF の脆弱性
CVE-2026-22769 (CVSS：10.0)：Dell RecoverPoint 認証情報ハードコード

MCP Server のセキュリティを考える：相反する高次元の能力と信頼境界への侵食

Critical MCP Server Enables Arbitrary Code Execution and Sensitive Data Exfiltration

2026/02/19 gbhackers — MCP サーバは、AI アシスタントを強力な攻撃基盤へと、静かに変質させるものでもある。それにより、任意のコード実行／大規模なデータ流出や、ローカル／クラウド環境における巧妙なユーザー操作が可能になってしまう。新たな研究の結果だけではなく、最近の実際のインシデントにおいても、この新たなエコシステムの悪用が示されている。典型的なインシデントとしては、週に数千件の機密メールを密かに収集していた、悪意の Postmark MCP サーバが挙げられる。

Ivanti EPMM の脆弱性 CVE-2026-1281／1340：積極的な悪用と侵害の手法

Critical Ivanti EPMM Zero-Day Vulnerabilities Exploited in the Wild, Targeting Corporate Networks

2026/02/18 gbhackers — Ivanti Endpoint Manager Mobile (EPMM) に存在する、2 件の重大ゼロデイ脆弱性 CVE-2026-1281／CVE-2026-1340 が積極的に悪用されている。これらのリモートコード実行の脆弱性は、エンタープライズにおけるモバイルフリート／コーポレート・ネットワーク侵害に悪用されている。これらの脆弱性を悪用する未認証の攻撃者は、外部公開された EPMM サーバ上で任意コマンドを実行できる。それにより、ユーザー操作を必要とせずに、MDM インフラの完全な制御が可能になる。

VS Code の 4 件のエクステンションに深刻な脆弱性：累計インストール数は 1億2,500万回を超える

Critical Flaws Found in Four VS Code Extensions with Over 125 Million Installs

2026/02/18 TheHackerNews — Microsoft Visual Studio Code (VS Code) の 4 件の人気エクステンションに存在するセキュリティ脆弱性について、サイバー・セキュリティ研究者たちが詳細を公表した。これらの脆弱性を悪用する脅威アクターは、ローカル・ファイルを窃取し、リモート・コード実行を引き起こす可能性がある。対象となるエクステンションは、Live Server／Code Runner／Markdown Preview Enhanced／Microsoft Live Preview であり、累計インストール数は 1億2,500万回を超える。

Moltbook の脆弱性と危険性：具体的な攻撃手法と影響範囲を研究者たちが実証

Moltbook is Dangerous, but Scale Doesn’t Match the Hype: Zenity

2026/02/18 SecurityBoulevard — Moltbook は、AI エージェント同士の通信専用に設計された Reddit 風ソーシャルネットワークである。2026年1月下旬に公開されると同時に、全世界に広まった。ユーザーは自分のエージェントをサイトに接続し、他者のエージェントと会話した内容を観察している。その一方で、サイバー・セキュリティ研究者たちは、AI エージェントが本質的に抱えるセキュリティ問題を懸念している。AI エージェントは自律的に問題解決できる反面、攻撃面を拡大させる。

Windows Admin Center の脆弱性 CVE-2026-26119：認証不備による権限昇格の恐れ

Critical Windows Admin Center Vulnerability Allows Privilege Escalation

2026/02/18 CyberSecurityNews — Microsoft が提供する Windows Admin Center (WAC) に存在する、深刻な権限昇格の脆弱性 CVE-2026-26119 (CVSS：8.8：Critical) に対するセキュリティ更新が公開された。この脆弱性は、認証の不備 (CWE-287) に起因し、権限を持つ攻撃者に対してネットワーク特権昇格を許す可能性がある。

Notepad++ が v8.9.2 で更新インフラのセキュリティを刷新：”Double-Lock” 機構を実装

Notepad++ v8.9.2 Released with “Double-Lock” Update Mechanism Following Recent Hack

2026/02/18 CyberSecurityNews — Notepad++ は v8.9.2 をリリースし、”Double-Lock” 更新メカニズムと呼ばれる重要なセキュリティ強化策を導入した。この更新は、広く利用されている OSS テキスト／コード・エディタにおける更新インフラの脆弱性を標的とする、国家支援型の APT 攻撃に対処するものである。

CISA KEV 警告 26/02/17：Chrome／ThreatSonar／Zimbra／Windows の脆弱性を登録

CISA Flags Four Security Flaws Under Active Exploitation in Latest KEV Update

2026/02/18 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、実環境におけるアクティブな悪用の証拠を根拠として、Known Exploited Vulnerabilities (KEV) カタログに 4 件のセキュリティ欠陥を追加した。それらの脆弱性は、Google Chrome／TeamT5 ThreatSonar Anti-Ransomware／Synacor Zimbra Collaboration Suite／Microsoft Windows Video ActiveX Control に存在するものだ。

Dell RecoverPoint のゼロデイ脆弱性 CVE-2026-22769：最新の UNC6201 攻撃キャンペーン

Dell 0-Day Vulnerability Exploited by Chinese Hackers since mid-2024 to Deploy Malware

2026/02/18 CyberSecurityNews — Dell Technologies RecoverPoint for Virtual Machines を標的とする、深刻なゼロデイ攻撃キャンペーンが確認された。この脆弱性 CVE-2026-22769 (CVSSv3.1：10.0)は、遅くとも 2024 年の後半から、積極的に悪用されてきたことが判明している。インシデント・レスポンス活動において、この活動は UNC6201 に帰属すると判断されている。このクラスターは中国との関連性が疑われており、Silk Typhoon (UNC5221) として公に知られるグループとの顕著な重複が確認されている。

OpenClaw のログ・ポイズニング脆弱性 CVE-N/A が FIX：間接プロンプト・インジェクションの恐れ

OpenClaw AI “Log Poisoning” Vulnerability Allows Malicious Content Injection

2026/02/17 CyberSecurityNews — OpenClaw は、メッセージング／クラウド・サービス／ローカル・システム・ツールへの接続を提供し、現在進行形で急成長しているオープンソース AI アシスタントである。この OpenClaw が、ログ・ポイズニングの脆弱性を修正した。この脆弱性を悪用するリモート攻撃者は、悪意のユーザー制御コンテンツをログへ注入し、その後にエージェントが取り込む可能性があった。この問題は、OpenClaw Security Advisory で文書化されており、OpenClaw バージョン 2026.2.13 未満が影響を受ける。

Mozilla Firefox の脆弱性 CVE-2026-2447 が FIX：動画処理を介して任意のコード実行

Firefox v147.0.3 Released with Critical Fix for Heap Buffer Overflow Vulnerability

2026/02/17 gbhackers — Mozilla が公開したのは、libvpx ライブラリに存在する深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2026-2447 に対処する緊急セキュリティ・アップデートである。Firefox 147.0.4 は 2026年2月16日に発表され、Firefox ESR 140.7.1／115.32.1 向けの修正パッチも同時に提供された。この脆弱性は、セキュリティ研究者 jayjayjazz により発見されたものである。

Apache NiFi の脆弱性 CVE-2026-25903 が FIX：認可チェック不備によるシステム・コマンド実行の恐れ

Apache NiFi Vulnerability Enables Authorization Bypass

2026/02/17 CyberSecurityNews — Apache が公表したのは、NiFi に存在する深刻度 High の脆弱性 CVE-2026-25903 に関する情報である。この脆弱性の悪用は、低権限のユーザーであっても可能であり、認可バイパスを引き起こし、Restricted と注釈 (アノテーション) されたコンポーネントを変更する可能性が生じる。この脆弱性の影響が及ぶ範囲は、Apache NiFi バージョン 1.1.0 〜 2.7.2 であり、修正バージョンは 2.8.0 として提供されている。

LangChain の脆弱性 CVE-2026-26019 が FIX：脅威アクターが制御するドメインからの SSRF 攻撃

LangChain Community SSRF Bypass Vulnerability Exposes Internal Services to Unauthorized Access

2026/02/17 gbhackers — LangChain 開発チームが公開したのは、@langchain/community パッケージに存在する Server-Side Request Forgery (SSRF) の脆弱性に対処する、重大なセキュリティ・アップデートである。この脆弱性 CVE-2026-26019 は、Web クローリング用のユーティリティである RecursiveUrlLoader クラス内に存在する。この脆弱性を悪用する攻撃者は、ドメイン制限を回避し、アプリケーション内部のネットワーク・リソースや機密クラウド・メタデータへのアクセスを可能にする。

主要クラウド・パスワード・マネージャーに 25 件の脆弱性：Bitwarden／LastPass／Dashlane を評価する

25 Vulnerabilities in Cloud Password Managers Allow Unauthorized Access and Modifications

2026/02/17 CyberSecurityNews — 主要なクラウド型パスワード・マネージャ 3 製品、Bitwarden／LastPass／Dashlane に存在する 25 件の深刻な脆弱性が、ETH Zurich の研究者たちにより発見された。これらの欠陥を突く悪意のサーバは、”zero-knowledge encryption” という主張を回避できる。そして、ユーザーが保存しているパスワード／ヴォールト・データへの不正アクセス／改竄／奪取などを可能にする。

WordPress CleanTalk プラグインの脆弱性 CVE-2026-1490 が FIX：Reverse DNS 偽装と RCE

CleanTalk Plugin for WordPress Exposes Sites to Authorization Bypass via Reverse DNS

2026/02/16 gbhackers — 人気の WordPress プラグイン CleanTalk Spam Protection に深刻な脆弱性 CVE-2026-1490 (CVSS：9.8) が発見された。この脆弱性を悪用する未認証の攻撃者は認可機構を回避し、任意のプラグインを対象となるサイトにインストールできる。その結果として、Web サイトが完全に乗っ取られる恐れがあるため、旧バージョンを利用している管理者にとって速やかにアップデートが必須となる。

FileZen の脆弱性 CVE-2026-25108 が FIX：OS コマンド・インジェクションの悪用試行を観測

FileZen File Transfer App Vulnerability Enables Arbitrary Command Execution

2026/02/16 CyberSecurityNews — Soliton Systems K.K. のファイル転送ソリューション FileZen に、深刻な脆弱性 CVE-2026-25108 (CVSS v3.0：8.8) が発見された。その原因は、FileZen の処理機構における OS コマンド・インジェクション (CWE-78) にあり、Antivirus Check Option が有効な場合に発生する。この脆弱性の影響が及ぶ範囲において、任意のシステム・コマンド実行が可能となる恐れがある。

Joomla エクステンションに深刻な脆弱性 CVE-N/A：Novarain／Tassos フレームワークを介した SQLi と RCE の恐れ

Joomla Vulnerabilities in Novarain/Tassos Framework Expose SQL Injection Risks

2026/02/16 gbhackers — Novarain／Tassos フレームワークをバンドルする、Joomla エクステンションのソースコード・レビューにより、複数の攻撃プリミティブが確認された。これらのプリミティブを連鎖させることで、パッチ未適用インスタンスにおいて、深刻なリスクが発生するという。具体的には、管理者権限の乗っ取りや、リモート・コード実行 (RCE) に関する警告が発せられている。

Chrome ゼロデイ脆弱性 CVE-2026-2441 が FIX：実環境での積極的な悪用を確認

Chrome 0-Day Vulnerability Actively Exploited by Attackers in the Wild

2026/02/16 CyberSecurityNews — Google が発表したのは、Google Chrome に存在する深刻なゼロデイ脆弱性の修正と、実環境での積極的な悪用の確認に関する情報である。この脆弱性 CVE-2026-2441 は、ブラウザの CSS 処理における解放後メモリ使用 (use-after-free) のバグであり、2026年2月12日に独立系研究者の Shaheen Fazim により報告されたものである。この報告からわずか 5日後に、今回のアドバイザリが公開された。

CISA KEV 警告 26/02/13：BeyondTrust RS／PRA の脆弱性 CVE-2026-1731 を登録

U.S. CISA adds a flaw in BeyondTrust RS and PRA to its Known Exploited Vulnerabilities catalog

2026/02/14 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、BeyondTrust Remote Support (RS)／Privileged Remote Access (PRA) に影響する脆弱性 CVE-2026-1731 (CVSS：9.9) を Known Exploited Vulnerabilities (KEV) カタログへ追加した。2026年2月6日に BeyondTrust が公開したのは、RS および旧バージョンの PRA 製品に存在する深刻な欠陥に対処するセキュリティ更新プログラムである。この脆弱性を悪用する未認証の攻撃者は、特別に細工したリクエストを送信することで、リモートから OS コマンドを実行する可能性がある

Ivanti EPMM の脆弱性 CVE-2026-1281／1340：RCE 攻撃の 83% が単独の脅威アクターに起因

One threat actor responsible for 83% of recent Ivanti RCE attacks

2026/02/14 BleepingComputer — Ivanti Endpoint Manager Mobile (EPMM) に存在する 2 件の深刻な脆弱性 CVE-2026-1281／CVE-2026-1340 に対する積極的な悪用の大半が、単一の脅威アクターにより引き起こされていることが、脅威インテリジェンスの観測により判明した。これらのセキュリティ問題は、すでに Ivanti のセキュリティ・アドバイザリにおいて、積極的に悪用されているゼロデイ脆弱性として警告されている。このアドバイザリで同社は、2 件の脆弱性を Critical と評価し、ホット・フィックスの提供も発表している。

Unstructured.io の脆弱性 CVE-2025-64712：AI 対応のパイプラインに RCE の可能性

CVE-2025-64712 in Unstructured.io Puts Amazon, Google, and Tech Giants at Risk of Remote Code Execution

2026/02/13 gbhackers — Unstructured.io の “unstructured” ETL ライブラリに存在する、深刻な脆弱性 CVE-2025-64712 (CVSS 9.8) が新たに公開された。この脆弱性を悪用する攻撃者は、信頼できないドキュメントを処理するシステム上で任意のファイル書き込みを実行し、その結果としてリモート・コード実行 (RCE) を引き起こす可能性がある。

BeyondTrust RS／PRA の脆弱性 CVE-2026-1731 が FIX：未認証での任意のコマンド実行の恐れ

BeyondTrust RCE Vulnerability Under Active Exploitation – Urgent Patch Released

2026/02/13 gbhackers — BeyondTrust が公開したのは、広く利用されている Remote Support (RS) および Privileged Remote Access (PRA) 製品に影響を及ぼす、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-1731 (CVSS v4：9.9) に対処するセキュリティ・アップデートである。この欠陥を悪用する未認証のリモート攻撃者たちは、資格情報やユーザー操作を必要とすることなく、脆弱なインスタンスへ向けて特別に細工したリクエストを送信することで不正アクセスを可能にする。その結果として、任意のオペレーティング・システム・コマンドの実行が可能になってしまう。

Next-Mdx-Remote の深刻な脆弱性 CVE-2026-0969 が FIX：React Server での任意のコード実行

Critical Vulnerability in Next-Mdx-Remote Allows Arbitrary Code Execution in React Server-Side Rendering

2026/02/13 CyberSecurityNews — next-mdx-remote ライブラリに存在する深刻な脆弱性 CVE-2026-0969 が、セキュリティ・アドバイザリ HCSEC-2026-01 により明らかにされた。この脆弱性 CVE-2026-0969 により、信頼されていない MDX コンテンツをレンダリングするサーバ上で、任意のコード実行が可能となる。この脆弱性の影響が及ぶ範囲は、バージョン 4.3.0 〜 5.0.0 であり、修正版はバージョン 6.0.0 となる。

Zimbra の複数の脆弱性 CVE-N/A が FIX：深刻な XSS や LDAP インジェクションに対応

Zimbra Issues Security Update to Address XSS, XXE, and LDAP Injection Flaws

2026/02/13 gbhackers — Zimbra が公開したバージョン 10.1.16 により、メール・インフラおよびユーザー・データを侵害し得る、複数の深刻な脆弱性が対処された。同社は、一連の脆弱性の深刻度を High に分類し、Web ベース攻撃に関連するリスク軽減のため、管理者に対して優先的なアップグレードを強く推奨している。

CISA KEV 警告 26/02/12：SolarWinds WHD／Notepad++／Microsoft Config Man／Apple の脆弱性を登録

U.S. CISA adds SolarWinds Web Help Desk, Notepad++, Microsoft Configuration Manager, and Apple devices flaws to its Known Exploited Vulnerabilities catalog

2026/02/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SolarWinds Web Help Desk／Notepad++／Microsoft Configuration Manager／Apple デバイスに関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。追加された脆弱性は、以下の通りである。

CVE-2024-43468 (CVSS：9.8)：Microsoft Config Manager の SQLi 欠陥
CVE-2025-15556 (CVSS：7.7)：Notepad++ のアップデート整合性欠如
CVE-2025-40536 (CVSS：8.1)：SolarWinds WHD のセキュリティ制御バイパス
CVE-2026-20700 (CVSS：7.8)：Apple のバッファ・オーバーフロー

OpenClaw 2026.2.12 がリリース：40 件強の脆弱性への対応とセキュリティ対策の見直し

OpenClaw 2026.2.12 Released to Patch Over 40 Security Vulnerabilities

2026/02/13 gbhackers — OpenClaw チームが公表したのは、セキュリティ強化とアーキテクチャ安定性に重点を置いた、包括的アップデート・バージョンである 2026.2.12 の正式なリリースに関する情報である。このリリースでは、40 件超のセキュリティ脆弱性および安定性問題を修正しており、この AI エージェント・フレームワークにおける重要なマイルストーンとなった。

Chrome 145 アップデート：コード実行などを引き起こす複数の深刻な脆弱性に対応

Chrome Security Update – Patch for Vulnerabilities that Enables Code Execution Attacks

2026/02/12 CyberSecurityNews — Google が公表したのは、ユーザー・システム上で悪意のコード実行を引き起こす 11 件のセキュリティ脆弱性を修正した Chrome 145 を、Windows／Mac／Linux 向けの Stable チャネルでリリースしたことである。このアップデートは、今後の数週間をかけて順次展開されるが、複数の深刻な修正を含むため、即時の対応が推奨される。最も深刻な脆弱性 CVE-2026-2313 は、CSS における use-after-free 脆弱性であり、発見者には $8,000 の報奨金が支払われた。

Aruba の脆弱性 CVE-2026-23595 などが FIX：権限昇格や DoS 攻撃の恐れ

HPE Aruba Flaw Exposes Networking Devices to Privilege Escalation and DoS Attacks

2026/02/12 gbhackers — HPE Aruba Networking が公開したのは、Private 5G Core Platform に存在する複数の脆弱性に対処する重大なセキュリティ・アドバイザリである。これらの脆弱性を悪用する攻撃者は、承認を必要とせずに管理者アカウントを作成し、サービスの妨害や機微なシステム情報へのアクセスを可能にする。今回のアップデートで修正された脆弱性は CVE-2026-23595／CVE-2026-23596／CVE-2026-23597／CVE-2026-23598 であり、影響が及ぶ範囲はバージョン 1.24.3.0 〜 1.24.3.3 となる。

WordPress WPvivid Backup の脆弱性 CVE-2026-1357 が FIX：ファイル・アップロード機能の不備と RCE

WordPress Backup Plugin Vulnerability Exposes 800,000 Sites to Remote Code Execution Attacks

2026/02/12 CyberSecurityNews — WPvivid Backup & Migration WordPress プラグインに存在する重大な脆弱性により、未認証の攻撃者がファイルをアップロードし、サーバ上でリモートコード実行を可能にする。この経路からの攻撃により、サイトの完全な乗っ取りに至るケースもある。この脆弱性 CVE-2026-1357 (CVSS：9.8：Critical) の影響が及ぶ範囲は、このプラグインのバージョン 0.9.123 以下であり、修正版は 0.9.124 として提供されている。

Palo Alto Networks ファイアウォールの脆弱性 CVE-2026-0229 が FIX：再起動ループと DoS 攻撃

Palo Alto Networks Firewall Vulnerability Allows an Attacker to Force Firewalls into a Reboot Loop

2026/02/12 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ソフトウェアに存在する、深刻なサービス拒否 (DoS) の脆弱性に関する情報である。この脆弱性を悪用する未認証の攻撃者は、ファイアウォールを無限再起動ループに陥らせることが可能であり、エンタープライズ・ネットワークを機能不全にする可能性がある。この脆弱性 CVE-2026-0229 は、Advanced DNS Security (ADNS) 機能に潜在する。悪意をもって細工したパケットを送信する攻撃者は、システムの再起動を誘発させる可能性を得る。

Apple iOS の脆弱性 CVE-2026-20700 がなどが FIX：実環境での任意コード実行を検出

Apple 0-Day Flaw Actively Exploited in Targeted Cyberattacks on Individuals

2026/02/12 gbhackers — Apple が公開した、iOS／iPadOS 向けの緊急セキュリティ・アップデートは、実際の攻撃でハッカーたちに悪用されている、深刻なゼロデイ脆弱性を修正するためのものだ。この脆弱性 CVE-2026-20700 は、Google の Threat Analysis Group により発見されたものであり、Apple によると、特定の個人を標的とする “きわめて高度な” サイバー攻撃で悪用された可能性があるという。

GitLab の脆弱性 CVE-2025-7659 などが FIX：不正アクセス／DoS／XSS などの恐れ

GitLab Patches Multiple Vulnerabilities That Enables DoS and Cross-site Scripting Attacks

2026/02/11 CyberSecurityNews — GitLab の Community Edition (CE)／Enterprise Edition (EE) に対して、複数の深刻な脆弱性へ対処するための重大なセキュリティ・アップデートが、バージョン 18.8.4／18.7.4／18.6.6 としてリリースされた。一連の脆弱性を悪用する攻撃者は、サーバクラッシュ／データ窃取／ユーザーセッション乗っ取りなどを引き起こす可能性がある。セルフマネージド環境の管理者に対して、セキュリティ専門家たちが強く指摘するのは、速やかなアップグレードである。

Fiber v2 の脆弱性 CVE-2025-66630 が FIX：UUID の不備によるセッション・ハイジャックなどの可能性

Critical UUID Flaw in Fiber v2 on Go 1.24+ Enables Session Hijacking, CSRF Bypass, and Zero-ID DoS Risk

2026/02/11 CyberSecurityNews — Go Web フレームワーク Fiber v2 において、深刻な脆弱性 CVE-2025-66630 (CVSS v4：9.2：Critical) が発見された。この脆弱性を悪用する攻撃者は、ユーザー・セッションの乗っ取り／セキュリティ保護の回避／サービス妨害を引き起こす可能性がある。この脆弱性は、Go 1.23 以下で動作するすべての Fiber v2 バージョンに影響を及ぼすものであり、2月初旬にフレームワークのメンテナーにより報告された。

SandboxJS の脆弱性 CVE-2026-25881 が FIX：リモート経由でのホスト奪取の恐れと PoC の公開

Critical SandboxJS Vulnerability Allows Remote Host Takeover – PoC Released

2026/02/11 CyberSecurityNews — JavaScript ライブラリ SandboxJS に、深刻なサンドボックス・エスケープの脆弱性が発見された。脆弱性 CVE-2026-25881 (CVSS：9.1：Critical) は、バージョン 0.8.30 以下のすべてのリリースに影響する。この問題に対する修正は、バージョン 0.8.31 で実施されている。

CISA KEV 警告 26/02/10：Microsoft Office／Windows の複数の脆弱性を登録

U.S. CISA adds Microsoft Office and Microsoft Windows flaws to its Known Exploited Vulnerabilities catalog

2026/02/11 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office および Microsoft Windows の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。今回カタログに追加された脆弱性は、いずれも February 2026 Patch Tuesday でゼロデイとして公開されたものである。

Fortinet FortiOS の認証バイパス脆弱性 CVE-2026-22153 が FIX：LDAP 認証回避が可能

FortiOS Authentication Bypass Vulnerability Lets Attackers Bypass LDAP Authentication

2026/02/10 CyberSecurityNews — Fortinet が公開したのは、FortiOS に存在する深刻な認証バイパスの脆弱性 CVE-2026-22153 (FG-IR-25-1052) である。この脆弱性を悪用する未認証の攻撃者は、Agentless VPN または Fortinet Single Sign-On (FSSO) ポリシーにおける LDAP 認証を回避する可能性がある。この脆弱性は fnbamd デーモンに存在し、CWE-305 (不適切な実装による認証バイパス) に分類されている。この脆弱性を悪用するためには、未認証バインド (Unauthenticated Bind) を許可する LDAP サーバ側での設定の有効化が必要条件となる。

SAP の脆弱性 CVE-2026-0488／0509／23687 などが FIX：CRM や S/4HANA にコード・インジェクションの恐れ

SAP Security Patch Day Fixes Critical Code Injection Flaw in SAP CRM and S/4HANA

2026/02/10 gbhackers — SAP は 2026年2月10日の Patch Day において、複数の SAP 製品に対する修正を発表し、Support Portal 経由で優先的にパッチを適用することで、SAP 環境を保護するよう顧客に呼びかけた。今月の最もリスクの高い脆弱性 CVE-2026-0488 (CVSS：9.9) は、SAP CRM および SAP S/4HANA (Scripting Editor) に影響を及ぼすコード・インジェクションの欠陥である。SAP によると、この脆弱性を悪用する低権限の認証済み攻撃者は、任意のコードの注入／実行を可能にするという。この問題は、SAP Note 3697099 として管理されている。

FortiSandbox の XSS 脆弱性 CVE-2025-52436 が FIX：マルウェア解析環境でのサンドボックス回避

FortiSandbox XSS Vulnerability Let Attackers Run Arbitrary Commands

2026/02/10 CyberSecurityNews — Fortinet が公表したのは、FortiSandbox プラットフォームに存在する深刻なクロスサイト・スクリプティング (XSS) の脆弱性に関する情報 (FG-IR-25-093) である。この脆弱性 CVE-2025-52436 (CVSS：7.9) は、影響を受けるシステム上での任意のコマンド実行を、未認証の攻撃者に対して許す可能性がある。この欠陥は、GUI コンポーネントに存在し、Web ページ生成時の入力に対する不適切な無害化 (CWE-79) に分類される。

React2Shell CVE-2025-55182 攻撃キャンペーンを観測：React 19 標的の事前認証 RCE と広範な模悪用

React2Shell Vulnerability Exploited in the Wild, Analysts Warn

2026/02/10 gbhackers — React2Shell (CVE-2025-55182) は、React Server Components に存在する、事前認証が不要なリモート・コード実行の脆弱性であり、React 19 エコシステム全体で使用されている複数の React バージョンに深刻な影響を及ぼすものだ。それに対して、WXA Internet Abuse Signal Collective (WXA IASC) が開始した、脅威リサーチ・シリーズ “To Cache A Predator” は、CVE-2025-55182 (別名：React2Shell) に関連する攻撃者のインフラと戦術を可視化するためのものだ。具体的には、グローバル・テレメトリ／エンリッチメント・データセット／ハニーポット観測などの相関を分析するものとなる。

Windows Error Reporting Service の脆弱性 CVE-2026-20817：SYSTEM レベル権限昇格の恐れ

Windows Error Reporting Service Vulnerability Let Attackers Elevate Privileges – PoC Released

2026/02/10 CyberSecurityNews — Windows Error Reporting Service に深刻なセキュリティ欠陥が発見され、標準ユーザー権限を持つ攻撃者が SYSTEM レベルの権限に昇格できることが判明した。この脆弱性 CVE-2026-20817 は、2026年1月に Microsoft により修正されたものであり、攻撃の複雑性が低くシステム全体の侵害につながる可能性があることから、Windows 環境にとって重大な脅威となる。Microsoft は 30 日以内に悪用される可能性が高い “Exploitation More Likely (悪用の可能性が高い)” と評価し、パッチ適用の緊急性を強調している。

Ivanti EPM の脆弱性 CVE-2026-1602／1603 が FIX：リモート攻撃による機密データの漏洩

Ivanti Endpoint Manager Vulnerability Lets Remote Attacker Leak Arbitrary Data

2026/02/10 CyberSecurityNews — Ivanti が公開したのは、Endpoint Manager (EPM) プラットフォームに存在する、深刻な脆弱性に対するセキュリティ更新プログラムである。新たに発見された 2 件の脆弱性 CVE-2026-1602／CVE-2026-1603 に対処するものであり、それらが悪用されると、機密データベース情報への不正アクセス／ユーザー認証情報の侵害が引き起こされる可能性がある。この更新プログラムは、バージョン 2024 SU5 として提供されており、2025年10月に事前開示されていた 11 件の Medium 深刻度の脆弱性も同時に修正するものだ。