Symantec DLP Agent Flaw Exposed Systems to Privilege Escalation Attacks
2026/04/02 gbhackers — Symantec Data Loss Prevention (DLP) Agent for Windows に存在する、深刻な脆弱性 CVE-2026-3991 (CVSS 7.8) を悪用する攻撃者は、影響を受けるマシンの完全な制御が可能となる。基本的なシステム・アクセス権限を持つ攻撃者であっても、このローカル権限昇格 (LPE) の脆弱性を悪用することで SYSTEM 権限への昇格が可能になるため、システムに対する深刻な侵害リスクに至る恐れがある。
Continue reading “Symantec DLP Agent の脆弱性 CVE-2026-3991 が FIX:SYSTEM 権限奪取の可能性”Cisco Warns of Critical IMC Vulnerability Enabling Authentication Bypass
2026/04/02 gbhackers — Cisco が公開したのは、Integrated Management Controller (IMC) ソフトウェアに影響を及ぼす深刻な認証バイパス脆弱性 CVE-2026-20093 (CVSS 9.8) に関する、緊急のセキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、管理者パスワードを上書きすることで、脆弱な Cisco 製のサーバおよび事前コンフィグ済みネットワーク・アプライアンスの完全な制御が可能となる。
Continue reading “Cisco IMC の認証バイパス脆弱性 CVE-2026-20093 (CVSS 9.8):管理者権限の奪取の恐れ”CrewAI Hit by Critical Vulnerabilities Enabling Sandbox Escape and Host Compromise
2026/04/01 gbhackers — マルチエージェント AI システムのオーケストレーションに使用される主要ツール CrewAI に、複数の重大なセキュリティ欠陥の連鎖による危険な状況が生じている。AI エージェントを操作する攻撃者は、直接/間接プロンプト・インジェクションを介してサンドボックス・エスケープを引き起こし、ホストマシンの侵害を可能にする。
Continue reading “CrewAI に 4件の深刻な脆弱性:連鎖的な悪用を阻止するための応急処置とは?”New Chrome Zero-Day Vulnerability Actively Exploited in Attacks — Patch Now
2026/04/01 CyberSecurityNews — Google が公開した Chrome ブラウザの緊急セキュリティ・アップデートは、すでに実環境でのアクティブな悪用が確認されているゼロデイ脆弱性に対応するものだ。Windows/Mac 向けのバージョン 146.0.7680.177/178 と、Linux 向けの 146.0.7680.177 が、Stable チャネルで提供されている。このアップデートは、今後の数日から数週間をかけて、すべてのユーザーへ展開される予定である。
Continue reading “Chrome のゼロデイ CVE-2026-5281 が FIX:実環境でのアクティブな悪用を確認”PoC Exploit Code Published for nginx-ui Backup Restore Security Flaw
2026/04/01 gbhackers — nginx-ui のバックアップ復元メカニズムに存在する、深刻なセキュリティ欠陥 CVE-2026-33026 (CVSS:9.4) を悪用する攻撃者は、暗号化バックアップの改竄と任意のコマンド実行を可能にし得る。すでに Proof-of-Concept (PoC) エクスプロイト・コードが公開されているため、バージョン 2.3.4 への即時アップデートが管理者にとって必要となっている。
Continue reading “nginx-ui の脆弱性 CVE-2026-33026 が FIX:PoC エクスプロイト・コードも登場”Google Cloud’s Vertex AI Hit by Vulnerability Enabling Sensitive Data Access
2024/04/01 gbhackers — AI エージェントがエンタープライズ・ワークフローを変革しているが、それと同時に、新たな攻撃ベクターをもたらしている。Google Cloud Platform (GCP) の Vertex AI Agent Engine に存在する深刻な脆弱性が、Palo Alto Networks Unit 42 のセキュリティ研究者たちにより発見された。デフォルトで設定される過度に広範な権限を悪用する攻撃者たちは、悪意のダブルエージェント (二重スパイ) を展開することで、秘密裏に機密データを流出させ、重要なクラウドインフラの侵害を可能にする。
Continue reading “Google Cloud Vertex AI の脆弱性 CVE-N/A:権限過多による機密データへの不正アクセス”Hackers Actively Exploit Critical WebLogic RCE Vulnerabilities in Ongoing Attacks
2026/04/01 gbhackers — Oracle WebLogic Server に存在する、リモート・コード実行 (RCE) 脆弱性 CVE-2026-21962 (CVSS:10.0) が、実環境の未認証の攻撃者により積極的に悪用されている。最新のハニーポット調査によると、2026年1月22日に GitHub 上でエクスプロイト・コードが公開された当日に、この脆弱性の悪用が開始されている。
Continue reading “Oracle WebLogic 脆弱性 CVE-2026-21962 (CVSS 10.0):実環境での継続的な悪用を確認”PNG Vulnerabilities Allow Attackers to Trigger Crashes and Leak Sensitive Data
2026/03/31 gbhackers — Portable Network Graphics (PNG) 画像ファイル処理に広く使用される、リファレンス・ライブラリ libpng の 2件の深刻な脆弱性が、セキュリティ研究者たちにより公開された。これらの深刻な欠陥を悪用するリモート攻撃者は、特別に細工され標準準拠の PNG 画像を処理させることで、プロセスクラッシュ/機密ヒープメモリ漏洩/任意のコード実行などを引き起こせる。影響を受けるソフトウェア・エコシステムの保護のために、この 2 つの脆弱性に対する即時のパッチ適用が必要となっている。
Continue reading “PNG ライブラリ libpng の脆弱性 CVE-2026-33416/33636 が FIX:クラッシュと情報漏洩の恐れ”CISA Warns of Citrix NetScaler Vulnerability Actively Exploited in Attacks
2026/03/31 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Citrix NetScaler 製品に影響する深刻な脆弱性について緊急の警告を発出した。この脆弱性 CVE-2026-3055 は、実環境におけるアクティブな悪用が確認されたことを受け、CISA の Known Exploited Vulnerabilities (KEV) カタログへ正式に追加された。
Continue reading “CISA KEV 警告 26/03/30:Citrix NetScaler の脆弱性 CVE-2026-3055 を登録”Claude AI Discovers Zero-Day RCE Vulnerabilities in Vim and Emacs
2026/03/31 CyberSecurityNews — Anthropic の AI “Claude” は、Vim および GNU Emacs に存在するゼロデイのリモート・コード実行 (RCE) の脆弱性を発見した。この発見が浮き彫りにするのは、バグハンティングにおける大きなパラダイム・シフトであり、AI モデルの単純な自然言語プロンプトのみを用いることで、レガシー・ソフトウェアの深刻な脆弱性を発見できることを実証している。
Continue reading “Claude AI が Vim/Emacs のゼロデイ RCE を発見:セキュリティの歴史的な転換点となるのか?”Notepad++ v8.9.3 Released With Fixes for cURL Security Flaw and Crash Bugs
2026/03/31 gbhackers — Notepad++ が公開したバージョン 8.9.3 は、深刻な cURL のセキュリティ脆弱性に対処し、複数のクラッシュ・バグを解消するための重要な更新である。このリリースでは、アプリケーションに対する重要なセキュリティ・パッチに加えて、新しい XML パーサへの移行が正式に完了し、コンフィグ・ファイル操作のパフォーマンスが大幅に向上している。
Continue reading “Notepad++ v8.9.3 がリリース:cURL 関連のセキュリティ欠陥とクラッシュ問題を修正”OpenAI Patches ChatGPT Data Exfiltration Flaw and Codex GitHub Token Vulnerability
2026/03/30 TheHackerNews — OpenAI ChatGPT に存在する未知の脆弱性により、ユーザーの認識や同意なしに機密性の高い会話データが外部へ送信される可能性があったことが、Check Point の新たな調査で明らかになった。同社は、「単一の悪意のプロンプトにより、通常の会話が秘匿的なデータ流出チャネルへと変化し、ユーザーメッセージ/アップロードファイルなどの機密情報が漏洩する可能性がある。また、バックドア化された GPT により、ユーザーの認識なしにデータへのアクセスが行われる」と指摘していた。
Continue reading “OpenAI が公表:ChatGPT のデータ漏洩とCodex の GitHub トークン窃取の脆弱性”Vim Vulnerability Let Attackers Execute Arbitrary Command Via Weaponized Files
2026/03/30 CyberSecurityNews — 開発者の間で広く使用されるテキストエディタ Vim において、きわめて深刻なセキュリティ脆弱性 CVE-2026-34714 (CVSS:8.2) が発見された。この脆弱性を悪用する攻撃者は、特別に細工されたファイルをユーザーに開かせるだけで、任意の OS コマンド実行を可能にする。このバグ・チェーンは、アプリケーションがファイル内に埋め込まれた命令を処理する仕組みにおける、継続的なリスクを示すものである。
Continue reading “Vim の脆弱性 CVE-2026-34714 が FIX:武器化されたファイルによる任意のコマンド実行”WordPress Plugin Flaw Exposes Sensitive Data Across 800,000+ Sites
2026/03/30 gbhackers — 80万以上の Web サイトで稼働する WordPress プラグイン Smart Slider 3 に、深刻なセキュリティ脆弱性が存在することが明らかにされた。この脆弱性 CVE-2026-3098 を悪用する認証済み攻撃者は、ホスト・サーバから直接に任意ファイルを読み取ることが可能になり、バックエンド・インフラの重要情報が露出する。
Continue reading “WordPress Smart Slider 3 の脆弱性 CVE-2026-3098 が FIX:インフラの重要情報が露出”Critical Fortinet Forticlient EMS Vulnerability Exploited in Attacks
2026/03/30 CyberSecurityNews — Fortinet の FortiClient Endpoint Management Server (EMS) に存在する深刻な SQL インジェクション脆弱性 CVE-2026-21643 (CVSS:9.1) が、実環境で積極的に悪用されていることが確認されている。この攻撃は、遅くとも数日前から観測されているが、CISA の Known Exploited Vulnerabilities (KEV) カタログには未掲載である。この脆弱性を悪用する未認証の攻撃者は、リモートからの不正なコマンドの実行を可能にする。その影響の範囲は FortiClient EMS バージョン 7.4.4 であり、エンタープライズ環境に深刻な脅威をもたらしている。
Continue reading “FortiClient EMS の脆弱性 CVE-2026-21643: 実環境での攻撃キャンペーンを確認”Critical Grafana Flaws Allow Attackers to Achieve Remote Code Execution
2026/03/30 gbhackers — Grafana Labs が公開したのは、広く利用されている分析/可視化のプラットフォーム Grafana に影響を及ぼす、2 件の深刻な脆弱性に対するセキュリティ・アップデートである。最も深刻な脆弱性 CVE-2026-27876 (CVSS:9.1) を悪用する攻撃者は、完全なリモートコード実行 (RCE) を達成し、ホスト・サーバへの SSH 接続の確立を可能にする。
Continue reading “Grafana の深刻な脆弱性 CVE-2026-27876/27880 が FIX:RCE と DoS の可能性”Hackers Probe Citrix NetScaler Instances Ahead of Likely CVE-2026-3055 Exploitation
2026/03/29 CyberSecurityNews — Citrix の NetScaler ADC/Gateway アプライアンスに存在する深刻な脆弱性の実環境での悪用が差し迫っていると、サイバー・セキュリティ研究者たちが警告している。脅威インテリジェンス企業 watchTowr と Defused Cyber が、NetScaler の脆弱性 CVE-2026-3055 を標的とするアクティブな偵察活動を検出した。この脆弱性は高深刻度のメモリ読み取りの欠陥であり、未認証の攻撃者に対して機密データの抽出を許すものである。
Continue reading “Citrix NetScaler の脆弱性 CVE-2026-3055:SAML IdP コンフィグをスキャンする攻撃者の意図は?”CISA Warns of F5 BIG-IP Vulnerability Actively Exploited in Attacks
2026/03/28 CyberSecurityNews — 米国 Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、F5 BIG-IP システムに影響を及ぼす脆弱性の Known Exploited Vulnerabilities (KEV) カタログへの登録である。この脆弱性 CVE-2025-53521 は、2026年3月27日に正式に登録され、連邦機関に対して 2026年3月30日までの対応期限が設定された。
Continue reading “CISA KEV 警告 26/03/27:F5 BIG-IP の脆弱性 CVE-2025-53521 を登録”Open VSX Scanner Vulnerability Lets Malicious Extensions Go Live
2026/03/28 gbhackers — Open VSX が公表したのは、新たに導入された公開前スキャン・パイプラインに存在し、悪意のエクステンションの公開を可能にする深刻な脆弱性の修正である。それにより、Cursor や Windsurf などの VS Code フォークで利用される、エクステンション・マーケットプレイス Open VSX において、セキュリティ・チェックの回避が発生する可能性が生じていた。この “Open Sesame” と呼ばれる問題は、スキャン・ワークフローにおける “fail-open” 条件に起因していた。
Continue reading “Open VSX Scanner の脆弱性 CVE-N/A が FIX:曖昧なエラー処理による検証バイパス”BIND 9 Security Flaws Allow Attackers to Bypass Security Controls and Crash Servers
2026/03/27 gbhackers — Internet Systems Consortium が公開したのは、広く利用される BIND 9 Domain Name System (DNS) ソフトウェア・スイートにおける、3 件の深刻な脆弱性に対応するクリティカルなセキュリティ・アドバイザリである。これらの脆弱性が未修正の状態で放置されると、それを悪用するリモート攻撃者により、アクセス制御リストの回避/過剰なシステム・リソース消費/DNS サーバの完全なクラッシュなどが引き起こされる可能性がある。
Continue reading “BIND 9 の脆弱性 CVE-2026-1519 などが FIX:サーバ/プロセスの異常終了の恐れ”New Windows Error Reporting Vulnerability Lets Attackers Escalate to Gain SYSTEM Access
2026/03/27 CyberSecurityNews — Windows Error Reporting (WER) サービスにおいて、新たに発見されたローカル権限昇格の脆弱性を悪用する攻撃者は、SYSTEM 権限を容易に取得できる。この脆弱性 CVE-2026-20817 は、その構造的な危険性の高さを懸念する Microsoft により、従来のコード・パッチの適用ではなく、該当する機能自体を完全に削除するという対応が取られた。この脆弱性は、Windows Error Reporting サービスの主要ライブラリである “WerSvc.dll” ファイル内に存在する。
Continue reading “Windows Error Reporting の脆弱性 CVE-2026-20817:SvcElevatedLaunch の削除による対応”CISA Adds Critical Aquasecurity Trivy Scanner Vulnerability to KEV Catalog
2026/03/27 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Aqua Security の Trivy スキャナに影響を及ぼす深刻な脆弱性 CVE-2026-33634 を、Known Exploited Vulnerabilities (KEV) カタログへ緊急追加した。この脆弱性は、CI/CD (Continuous Integration/Continuous Deployment) 環境を標的とする埋め込み型 (エンベッド型) のマルウェア・コードに関係するものだ。
Continue reading “CISA KEV 警告 26/03/26:Trivy Scanner の脆弱性 CVE-2026-33634 を登録”Claude Chrome Extension 0-Click Vulnerability Enables Silent Prompt Injection Attacks
2026/03/27 CyberSecurityNews — Anthropic の Claude Chrome エクステンションに存在していた深刻なゼロクリックの脆弱性により、300万人以上のユーザーがサイレント・プロンプト・インジェクション攻撃に晒されていたことが判明した。この脆弱性は修正済みであるが、攻撃が発生した場合に可能だったのは、ユーザー操作を必要としない AI アシスタントの乗っ取りである。具体的には、Gmail アクセストークンの窃取/Google Drive ファイルの読み取り/チャット履歴のエクスポート/メール送信などが、ユーザーには不可視な状況で実行された可能性がある。
Continue reading “Claude Chrome エクステンションの脆弱性が FIX:信頼境界の拡大とプロンプト・インジェクション攻撃”ISC Issues Critical Warning Over Kea DHCP Vulnerability That Could Remotely Crash Services
2026/03/27 gbhackers — Internet Systems Consortium (ISC) が公開したのは、Kea DHCP サーバ・ソフトウェアに存在する深刻な脆弱性 CVE-2026-3608 に対処するセキュリティ・アドバイザリである。現代的で高性能な Kea DHCP サーバは、ネットワーク IP 割り当てを管理するために、エンタープライズ・ネットワークおよびインターネット・サービス・プロバイダで広く利用されている。
Continue reading “Kea DHCP の脆弱性 CVE-2026-3608 が FIX:完全なサービス拒否 (DoS) に至る恐れ”Cisco Secure Firewall Vulnerability Allows Remote Code Execution as Root User
2026/03/26 CyberSecurityNews — Cisco が公開したのは、Secure Firewall Management Center (FMC) ソフトウェアに存在する、深刻な脆弱性に対処する緊急セキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、root 権限で任意のコード実行を可能にする。脆弱性 CVE-2026-20131 (CVSS:10.0 Critical) は、不適切なデシリアライズ (CWE-502) に起因し、リモートからの特権を必要としない悪用を引き起こす。
Continue reading “Cisco Secure Firewall の脆弱性 CVE-2026-20131:リモートからの root 権限でのコード実行”2026/03/26 gbhackers — IDrive Cloud Backup Client において、ローカル権限昇格を発生させる深刻な脆弱性 CVE-2026-1995 が確認されている。この脆弱性を悪用する認証済みのユーザーは、低権限であっても最高権限での任意のコード実行が可能となり、対象デバイスを完全に侵害する可能性を得る。
Continue reading “IDrive の未パッチ脆弱性 CVE-2026-1995:SYSTEM 権限での任意のコード実行の恐れ”CISA Warns of Langflow Code Injection Vulnerability Exploited in Attacks
2026/03/26 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年3月25日に、Langflow に影響を及ぼす深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。この脆弱性 CVE-2026-33017 は、実環境において積極的な悪用が確認されている、きわめて危険なコード・インジェクションの欠陥である。
Continue reading “CISA KEV 警告 26/03/25:Langflow のコード・インジェクションの脆弱性 CVE-2026-33017 を登録”Critical NVIDIA Vulnerabilities Risk Remote Code Execution and Denial-of-Service Attacks
2026/03/26 gbhackers — NVIDIA が公表した 2026年3月のセキュリティ情報は、同社のハードウェア/ソフトウェアのエコシステムで新たに発見された複数の脆弱性に対処するものだ。NVIDIA が強く推奨するのは、それぞれのユーザー環境の評価と、必要な是正措置の即時の実施により、悪用の可能性を低減させることである。
Continue reading “NVIDIA 製品群の複数の深刻な脆弱性が FIX:任意のコード実行/DoS 攻撃などの恐れ”Synology DiskStation Manager Vulnerability Puts Users at Risk of Remote Command Execution Attacks
2026/03/26 gbhackers — Synology が公開したのは、DiskStation Manager (DSM) ソフトウェアに関する深刻な脆弱性に対応するための緊急セキュリティ・アップデートである。この脆弱性 CVE-2026-32746 (CVSS v3:9.8:Critical) を未修正の状態で放置すると、認証不要のリモート攻撃者に対して、任意のコマンド実行を許すことになる。セキュリティ・アドバイザリで Synology-SA-26:03 として追跡される、この脆弱性はクラシックなバッファ・オーバーフロー (CWE-120) に起因するものであり、管理者による即時対応が求められている。
Continue reading “Synology に影響を及ぼす GNU Inetutils の脆弱性 CVE-2026-32746:深刻なリモート・コマンド実行”GoHarbor Issues Urgent Patch for Harbor Flaw Allowing Full Registry Compromise
2026/03/25 gbhackers — GoHarbor の Harbor コンテナ・レジストリに存在する深刻なセキュリティ脆弱性により、ユーザー組織は深刻なサプライチェーン攻撃のリスクにさらされている。この脆弱性 CVE-2026-4404 は、管理者が手動で変更しない限り有効な状態を維持する、ハードコードされたデフォルト認証情報に起因する。この設計上の問題により、認証情報が変更されない限り悪用され続けることになる。
Continue reading “GoHarbor の脆弱性 CVE-2026-4404 が FIX:デフォルト認証不備からサプライチェーン攻撃への経路とは?”Mozilla Releases Firefox 149.0 With Free Built‑In VPN Offering 50 GB Monthly Data
2026/03/25 gbhackers — Mozilla は Firefox 149.0 をリリース・チャネルで公開し、ブラウザにおけるプライバシー/セキュリティ機能を大幅に強化した。このアップデートの最大の特徴は、パブリック・ネットワーク利用時にユーザーを保護し、機密性の高いブラウジングを安全に維持するために設計された、ビルトイン VPN の無料での統合である。
Continue reading “Mozilla Firefox 149.0 をリリース:Web 脅威対策とプライバシー機能を大幅に強化”F5 NGINX Plus & Open‑Source Flaw Lets Attackers Execute Code via MP4 File
2026/03/25 gbhackers — F5 が公表したのは、NGINX の ngx_http_mp4_module に存在する深刻な脆弱性 CVE-2026-32647 である。この脆弱性を悪用する攻撃者は、細工された MP4 ファイルを介して任意のコード実行やサービス拒否 (DoS) を引き起こす可能性を得る。この脆弱性が影響を及ぼす範囲は、MP4 ストリーミング・モジュールがサーバ設定で明示的に有効化されている、 NGINX Plus および NGINX Open Source の環境となる。
Continue reading “F5 NGINX Plus/Open Source の脆弱性 CVE-2026-32647 が FIX:MP4 ファイルを介した任意のコード実行”Node.js Patches Multiple Vulnerabilities That Enable DoS Attacks and Process Crashes
2026/03/25 CyberSecurityNews — Node.js プロジェクトが 2026年3月24日に公開したのは、Long-Term Support (LTS) ブランチ向けの重要なセキュリティ・アップデートである。Node.js のバージョン v20.20.2/v22.22.2/v24.14.1/v25.8.2 は、TLS エラー処理/HTTP/2 フロー制御/暗号タイミングリーク/パーミッション・モデル・バイパス/V8 ハッシュテーブルの欠陥などの、7 件の脆弱性を修正するものだ。これらの脆弱性の一部は、リモートからのトリガーが可能であり、認証を必要としないものである。
Continue reading “Node.js の 7 件の脆弱性が FIX:プロセス・クラッシュ/DoS/V8 ハッシュ衝突などの恐れ”Multiple Vulnerabilities in TP-Link Devices Enable Arbitrary Command Execution
2026/03/24 gbhackers — TP-Link が公開したのは、Archer Series Router NX200/NX210/NX500/NX600に存在する、深刻度 High の 4 件の脆弱性に対処する、重要なセキュリティ・アドバイザリである。一連の脆弱性の悪用に成功した攻撃者は、認証バイパス/OS コマンドの不正実行/機密コンフィグ・ファイルの改竄を可能にする。
Continue reading “TP-Link Archer Series ルーターの 4 件の脆弱性が FIX:認証バイパスやコマンド・インジェクションの恐れ”Dell Wyse Management Flaws Could Lead to Full System Compromise
2026/03/24 gbhackers — Dell Wyse Management Suite における深刻なエクスプロイト・チェーンを、PT Security のセキュリティ研究者 Aleksandr Zhurnakov が発見した。些細に見える複数のロジック欠陥を組み合わせることで、攻撃者は認証不要のリモート・コード実行 (RCE) を実現できるという。この攻撃で標的とされるのは、オンプレミス版の Standard/Pro である。
Continue reading “Dell Wyse Management Suite の 2 件の脆弱性を連鎖:システム全体の侵害につながる恐れ”Chrome Security Update Fixes 8 Vulnerabilities That Could Enable Remote Code Execution
2026/03/24 gbhackers — Google が公表したのは、Chrome ブラウザの 8 件の深刻な脆弱性に対処する、重要なセキュリティ・アップデートである。ユーザーに対して強く推奨されるのは、Chrome を速やかにアップデートし、潜在的なリモート・コード実行の攻撃からシステムを保護することである。Windows/Mac 向けのバージョン 146.0.7680.164/146.0.7680.165 と、Linux 向けのバージョン 146.0.7680.164 が、数日から数週間の間に Stable チャネルで段階的に提供される予定である。
Continue reading “Google Chrome の脆弱性 8件が修正:リモート・コード実行などの可能性”Roundcube Webmail Security Updates Patches Multiple Critical Vulnerabilities
2026/03/24 CyberSecurityNews — Roundcube Webmail が公開したバージョン 1.6.14 は、1.6.x 系列における複数の深刻な脆弱性に対処する重要なセキュリティ・パッチを提供するものだ。今回のリリースでは、認証前の任意ファイル書き込み/クロスサイト・スクリプティング (XSS) /サーバサイド・リクエスト・フォージェリ (SSRF) などの、複雑なセキュリティ問題が修正されている。システム管理者に強く推奨されるのは、この更新プログラムを速やかに適用し、脅威アクターによる悪用から通信インフラを保護することだ。
Continue reading “Roundcube Webmail 1.6.14 がリリース:任意ファイル書き込みなど複数の深刻な欠陥を修正”Hackers Exploit Quest KACE SMA Flaw to Harvest Credentials
2026/03/23 gbhackers — Quest KACE Systems Management Appliance (SMA) を標的とする現在進行形の攻撃が、セキュリティ研究者たちにより確認/報告されている。2026年3月の第二週以降において、認証バイパス脆弱性 CVE-2025-32975 を悪用する攻撃者が、企業ネットワークへの侵入と機密認証情報の収集を行い、重要インフラへのラテラル・ムーブメントを開始している。
Continue reading “Quest KACE SMA を標的とする攻撃チェーン:認証バイパスの脆弱性 CVE-2025-32975 を悪用”Critical QNAP QVR Pro Vulnerability Let Remote Attackers Gain Access to the System
2026/03/23 CyberSecurityNews — QNAP が公開したのは、同社の監視ソフトウェア QVR Pro に存在する深刻な脆弱性 CVE-2026-22898 に対処する重要なセキュリティ・アドバイザリである。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステムへの不正アクセスを可能にする。QVR Pro 2.7.x を利用するユーザーは、直ちに最新パッチを適用し、NAS 環境を潜在的な侵入から保護する必要がある。
Continue reading “QNAP QVR Pro の脆弱性 CVE-2026-22898 が FIX:アクセス制御の不備とシステム侵害の可能性”Critical NetScaler ADC and Gateway Vulnerabilities Enable Remote Attacks on Affected Systems
2026/03/23 CyberSecurityNews — Cloud Software Group が公表したのは、NetScaler ADC (旧 Citrix ADC)/NetScaler Gateway (旧 Citrix Gateway) に存在する 2 件の深刻な脆弱性 CVE-2026-3055/4368 に対する緊急セキュリティ・パッチである。これらの脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステムを侵害する可能性を得る。自社でデプロイメントを管理する組織に強く推奨されるのは、更新プログラムの速やかな適用である。
Continue reading “NetScaler の脆弱性 CVE-2026-3055/4368 が FIX:メモリの境界外読み取りの恐れ”Microsoft Emergency Out-of-Band Update for Windows 11 to Fix Microsoft Account Sign-In Failure
2026/03/23 CyberSecurityNews — Microsoft が公開したのは、Windows 11 バージョン 25H2/24H2 向けに提供される緊急アップデート KB5085516 である。このアップデートは、2026年3月の Patch Tuesday 更新により混入した深刻なサインインの不具合を修正すると同時に、OS ビルド 26200.8039/26100.8039 を取り込むものであり、通常の月例更新スケジュール外の更新として、2026年3月21日に提供された。
Continue reading “Microsoft の緊急アップデート KB5085516:Windows 11 の Sign-In 不具合を修正”2026/03/22 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Apple/Laravel Livewire/Craft CMS に存在する複数の脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。追加された脆弱性は、以下の通りである。
Oracle Fixes High-Severity RCE Vulnerability Affecting Identity and Web Services Platforms
2026/03/21 gbhackers — Oracle が公開したのは、Oracle Identity Manager および Oracle Web Services Manager に影響を及ぼす深刻なリモート・コード実行 (RCE) の脆弱性に関する緊急セキュリティ・アラートである。この脆弱性 CVE-2026-21992 を悪用する攻撃者は、ユーザー認証を必要とすることなく、リモートからのシステム侵害を可能にする。この脆弱性を抱える Fusion Middleware コンポーネントを利用する組織は、適切な対応を速やかに実施し、システムの乗っ取りを防ぐ必要がある。
Continue reading “Oracle Identity/Web Services の脆弱性 CVE-2026-21992 が FIX:未認証の RCE の恐れ”Chrome Security Update Fixes 26 Vulnerabilities Enabling Remote Malicious Code Execution
2026/03/20 gbhackers — Google が公開したのは、デスクトップ向け Web ブラウザ Chrome に関する重要なセキュリティ更新プログラムである。この更新は、リモートコード実行などの恐れのある 26 件の脆弱性に対処するものだ。Windows/macOS 向けのバージョン 146.0.7680.153/146.0.7680.154、Linux 向けのバージョン 146.0.7680.153 が、Stable チャネルで提供される。この大規模なパッチは、今後の数日から数週間にかけて段階的に展開され、深刻なメモリ破損脆弱性に対する重要な防御を提供する。ユーザーに対して強く推奨されるのは、自動ダウンロード後のブラウザの再起動により、セキュリティ対策を確実に適用し、完全な保護を確保することだ。
Continue reading “Google Chrome の 26 件の脆弱性が FIX:リモートコード実行などの深刻な欠陥に対処”Bamboo Data Center and Server Vulnerability Let Attackers Execute Remote Code
2026/03/20 CyberSecurityNews — Atlassian の Bamboo Data Center に存在する、リモートコード実行 (RCE) の脆弱性 CVE-2026-21570 (CVSS:8.6) が修正された。この脆弱性を悪用する認証済みのリモート攻撃者は、ホスト上で任意のコード実行を引き起こし、エンタープライズ向けのソフトウェアのビルド/リリース管理のプラットフォームに深刻なリスクをもたらす。
Continue reading “Bamboo Data Center の脆弱性 CVE-2026-21570 が FIX:ホスト上での RCE の恐れ”New Critical Jenkins Vulnerabilities Put CI/CD Servers at Risk of RCE Exploits
2026/03/20 gbhackers — Jenkins プロジェクトが公開したのは、コア自動化サーバおよび LoadNinja プラグインに存在する、複数の深刻な脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性が CI/CD (Continuous Integration / Continuous Deployment) 環境にもたらすリスクには、任意のファイル作成/認証情報の漏洩/リモートコード実行 (RCE) などがある。
Continue reading “Jenkins の複数の脆弱性が FIX:コントローラー上での RCE や CLI 実行などの恐れ”Claude Vulnerabilities Allow Data Exfiltration and User Redirection to Malicious Sites
2026/03/19 CyberSecurityNews — Anthropic の AI アシスタント Claude.ai で発見された 3 つの脆弱性は、機密会話データの流出や、悪意の Web サイトへのユーザーのリダイレクトなどを引き起こす。それぞれの悪用チェーンにおいて、インテグレーション/ツール/MCP サーバのコンフィグなどは一切必要とされない。これらの脆弱性チェーンは Claudy Day と命名され、Responsible Disclosure Program を通じて OASIS から Anthropic に報告されている。”claude.com” プラットフォームにおける 3 つの脆弱性を組み合わせて、エンドツーエンドの侵害パイプラインを構築することも可能とされる。
Continue reading “Claude の脆弱性 Claudy Day:データ侵害などを引き起こす不可視プロンプト・インジェクションとは?”Critical Ubiquiti UniFi Vulnerabilities Allow Attackers to Seize Full Control of Underlying Systems
2026/03/19 CyberSecurityNews — Ubiquiti が公開したのは、UniFi Network Application に存在する 2件の深刻な脆弱性 CVE-2026-22557/CVE-2026-22558 の情報である。前者は、未認証の攻撃者に基盤システムの完全な制御を許す、きわめて深刻なものであるため、速やかなパッチ適用が求められる。
Continue reading “Ubiquiti UniFi の脆弱性に CVE-2026-22557/22558 が FIX:深刻なパス・トラバーサルと NoSQLi”CISA Adds Exploited Zimbra Collaboration Suite Flaw to Warning List
2026/03/19 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Zimbra Collaboration Suite (ZCS) に影響を及ぼす深刻な脆弱性 CVE-2025-66376 を Known Exploited Vulnerabilities (KEV) カタログへ正式に追加した。このプラットフォームを使用する連邦政府の機関/組織は、2026年4月1日までに必要なアップデートを適用し、積極的な攻撃によるリスクを軽減する必要がある。
Continue reading “CISA KEV 警告 26/03/18:Zimbra Collaboration の脆弱性 CVE-2025-66376 を登録”CISA Warns of Microsoft SharePoint Vulnerability Exploited in Attacks
2026/03/19 CyberSecurityNews — Microsoft SharePoint における深刻なセキュリティ脆弱性 CVE-2026-20963 が、現在進行形で積極的に悪用されている。2026年3月18日の時点で CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加した。今回の KEV への追加により、連邦政府機関へのネットワーク攻撃においても、この脆弱性が悪用されていることが確認された。
Continue reading “CISA KEV 警告 26/03/18:Microsoft SharePoint の脆弱性 CVE-2026-20963 を登録”
IoT OT Security News 
You must be logged in to post a comment.