6000+ Vulnerable SmarterTools SmarterMail Servers Exposed to Actively Exploited RCE Vulnerability
2026/01/27 CyberSecurityNews — インターネット上に公開されている 6,000 台以上の SmarterMail サーバが脆弱なバージョンを実行しており、アクティブなリモート・コード実行 (RCE) 攻撃のリスクにさらされていることが判明した。日次の HTTP 脆弱性スキャンを通じて、セキュリティ研究者たちが問題を特定しており、すでに実環境での悪用試行が観測されている。このインシデントは、エンタープライズ向けのメール運用環境として SmarterMail を利用する、世界中の組織に対して深刻な脅威となっている。
Continue reading “SmarterMail Server の CVE-2026-23760:6000+ の脆弱なサーバと実環境での悪用”Attackers Exploit React2Shell Vulnerability to Target IT Sector Systems
2026/01/27 gbhackers — React Server Components における深刻な脆弱性が、実際の運用環境で悪用されていることが確認されている。この脆弱性 CVE-2025-55182 (React2Shell) を悪用する攻撃者は、世界中の多種多様な業種と企業を標的としている。React2Shell が影響を及ぼす対象は、React Server Components におけるクライアント/サーバ通信を担う Flight プロトコルである。この脆弱性は、安全でないデシリアライゼーションに起因するものであり、クライアントから送信されたデータを、サーバが十分な検証なしで受け入れることで、特定条件下におけるリモート・コード実行が可能となってしまう。
Continue reading “React2Shell CVE-2025-55182 悪用:明らかになった攻撃キャンペーンとマルウェアの実態”Emergency Microsoft update fixes in-the-wild Office zero-day
2026/01/26 SecurityAffairs — Microsoft が公開したのは、Office のゼロデイ脆弱性に対処するため、緊急 (out-of-band) のセキュリティ更新プログラムである。この脆弱性 CVE-2026-21509 は、現時点での悪用が確認されている 。このセキュリティ機能バイパスの脆弱性が影響を及ぼす範囲は、Microsoft Office 2016/2019/LTSC 2021/LTSC 2024 および 365 Apps for Enterprise の複数のバージョンとなる。
Continue reading “Microsoft Office のゼロデイ CVE-2026-21509:実環境での悪用に対処するアップデートの確認”PoC Released for GNU InetUtils telnetd RCE as 800K+ Exposed Instances Remain Online
2026/01/26 gbhackers — GNU Inetutils telnetd において公開されたのは、深刻なリモート・コード実行の脆弱性 CVE-2026-24061 に対する概念実証 (PoC) エクスプロイトである。現時点で、80 万件を超える脆弱なインスタンスが、依然としてインターネット上で公開アクセス可能な状態にあると、セキュリティ研究者たちは警告している。この脆弱性を悪用する未認証の攻撃者は、脆弱なバージョンの telnetd サービスを実行しているシステム上で、任意のコマンドを実行できる。
Continue reading “GNU Inetutils telnetd の脆弱性 CVE-2026-24061:PoC の公開による大規模悪用の恐れ”Apache Hadoop Vulnerability Exposes Systems Potential Crashes or Data Corruption
2026/01/26 CyberSecurityNews — Hadoop Distributed File System (HDFS) のネイティブ・クライアントにおいて、脆弱性 CVE-2025-27821 (Medium) が発見された。この脆弱性を悪用する攻撃者は、不正に細工した Uniform Resource Identifier (URI) 入力により、システム・クラッシュや重要データの破損を引き起こす可能性がある。この脆弱性は、Apache Hadoop バージョン 3.2.0 〜 3.4.1 に影響する。
Continue reading “Apache Hadoop HDFS の脆弱性 CVE-2025-27821 が FIX:システムクラッシュ/データ破損の可能性”CISA Adds Actively Exploited VMware vCenter Flaw CVE-2024-37079 to KEV Catalog
2026/01/24 TheHackerNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は 2026年1月23日 (金) に、Broadcom の VMware vCenter Server に影響を及ぼす深刻なセキュリティ脆弱性 CVE-2024-37079 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は 2024年6月に修正されていたが、実環境での悪用を確認する証拠が得られ、新たに追加されることになった。
Continue reading “CISA KEV 警告 26/01/23:VMware:vCenter の脆弱性 CVE-2024-37079 を登録”TrustAsia Pulls 143 Certificates Following Critical LiteSSL ACME Vulnerability
2026/01/24 gbhackers — TrustAsia が 143 件の SSL/TLS 証明書を失効させた背景にあるのは、LiteSSL ACME サービスにおいて発見された深刻な脆弱性の存在である。2026年1月21日に開示された脆弱性は、異なる Automatic Certificate Management Environment (ACME) アカウント間でドメイン検証データを再利用できてしまうという問題を含んでいる。それにより、検証済みのドメインに対して、他のユーザーによる不正な証明書発行が可能となっていた。この脆弱性は、各証明書発行ごとに一意のドメイン検証を義務付ける CA/Browser Forum Baseline Requirements (TLS BR Version 2.2.2/Section 3.2.2.4) に違反するものだ。
Continue reading “TrustAsia LiteSSL ACME の深刻な脆弱性が発覚:143 件の SSL/TLS 証明書を失効”Node.js Sets New Standard for HackerOne Reports, Demands Signal of 1.0 or Higher
2026/01/23 gbhackers — Node.js が発表したのは、HackerOne のバグ・バウンティ・プログラムに新たな品質管理措置を導入し、脆弱性レポートを提出するセキュリティ研究者に対して、最低でも Signal レピュテーション・スコア 1.0 を維持することの義務付けである。このポリシー変更は、OpenJS Foundation が発表したものであり、セキュリティ・チームのトリアージ能力を圧迫してきた、低品質な提出物の増加の抑制を目的としている。
Continue reading “Node.js HackerOne における脆弱性レポートの品質を改善:Signal スコア 1.0 要件を導入してノイズを抑制”20,000 WordPress Sites Compromised by Backdoor Vulnerability Enabling Malicious Admin Access
2026/01/23 gbhackers — Elementor プラグイン向け LA-Studio Element Kit に発見された深刻なバックドア脆弱性により、20,000 を超える WordPress インストールが脅威にさらされている。この脆弱性 CVE-2026-0920 (CVSS:9.8:Critical) を悪用する未認証の攻撃者は、管理者アカウントを作成し、Web サイト全体を完全に侵害できる。
Continue reading “WordPress LA-Studio Kit の脆弱性 CVE-2026-0920 が FIX:バックドアとサイト乗っ取り”HPE Alletra and Nimble Storage Vulnerability Grants Admin Access to Remote Attacker
2026/01/23 CyberSecurityNews ―― HPE のストレージ・プラットフォームに影響を及ぼす、深刻な権限昇格の脆弱性を悪用するリモート攻撃者は、物理的な操作を必要とせずに、管理者アクセスを取得する可能性がある。この脆弱性 CVE-2026-23594 により、脆弱なファームウェア・バージョンを実行している HPE Alletra 6000/Alletra 5000/Nimble Storage アレイに影響が生じている。
Continue reading “HPE Alletra/Nimble ストレージの脆弱性 CVE-2026-23594 が FIX:リモートからの Admin 権限奪取の恐れ”2026/01/23 SecurityAffairs — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Prettier eslint-config-prettier/Vite Vitejs/Versa Concerto SD-WAN オーケストレーション・プラットフォーム/Synacor Zimbra Collaboration Suite に関する脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。
Continue reading “CISA KEV 警告 26/01/22:Prettier/Vite Vitejs/Versa SD-WAN/Zimbra の脆弱性を KEV に登録”Critical Appsmith Flaw Enables Account Takeovers
2026/01/23 InfoSecurity — Appsmith のローコード・プラットフォームの深刻な認証脆弱性が悪用され、ユーザー・アカウントの乗っ取りが発生している。この脆弱性 CVE-2026-22794 を悪用する攻撃者は、クライアント側で制御可能な HTTP ヘッダを介してパスワード・リセット・リンクを操作し、最終的にアカウント全体の侵害を可能にし得る。
Continue reading “Appsmith の脆弱性 CVE-2026-22794 が FIX:偽のパスワード・リセット警告によるアカウント乗っ取り”What an AI-Written Honeypot Taught Us About Trusting Machines
2026/01/23 BleepingComputer — AI モデルを用いてコード作成を支援する Vibe Coding 手法が、多くのチームにとって日常的な開発プロセスの一部となっている。それにより、大きな時間短縮効果がもたらされるが、その一方では、AI が生成したコードを過度に信頼してしまうことで、セキュリティ脆弱性が入り込む余地を生み出す。AI 生成コードがセキュリティに及ぼす影響について、Intruder の経験は現実のケース・スタディとなっている。以下に示すのは、実際に起こったこと、そして、他の組織が注意すべき点である。
Continue reading “AI で書いたハニーポット:Vibe Coding がもたらす脆弱性のケース・スタディとは?”NVIDIA CUDA Toolkit Flaw Allows Command Injection, Arbitrary Code Execution
2026/01/22 gbhackers — NVIDIA が公表したのは、CUDA Toolkit に存在する深刻な脆弱性に対するアドバイザリである。これらの脆弱性は、GPU アクセラレーション・システムを、コマンド・インジェクションおよび任意のコード実行のリスクにさらすものである。2026年1月20日に公開されたアドバイザリで修正されたのは、Nsight Systems および関連ツールに存在する 4 件の脆弱性であり、いずれも CUDA Toolkit エコシステムに関連するものだ。
Continue reading “NVIDIA CUDA Toolkit の複数の脆弱性が FIX:任意のコード実行や権限昇格などの恐れ”BIND 9 Vulnerability Allow Attackers to Crash Server by Sending Malicious Records
2026/01/22 CyberSecurityNews — インターネット上の数百万のサービスに対してドメイン名解決を担う、DNS サーバ・ソフトウェア BIND 9 に高深刻度の脆弱性が発見された。この脆弱性 CVE-2025-13878 を悪用するリモート攻撃者は、細工された不正な DNS レコードを送信することで DNS サーバをクラッシュさせ、重要なインターネット・インフラおよび組織のサービスを停止させる可能性がある。
Continue reading “BIND 9 の脆弱性 CVE-2025-13878 が FIX:named デーモンの不適切な処理とサービス拒否”Node.js binary-parser Library Flaw Enables Malicious Code Injection
2026/01/22 gbhackers — 広く利用されている Node.js の binary-parser ライブラリに存在する、深刻なコード・インジェクション脆弱性により、アプリケーション上で任意の JavaScript 実行が可能となる。2026年1月20日に CERT/CC は Vulnerability Note VU#102648 を公開し、この脆弱性に CVE-2026-1245 を割り当てた。この脆弱性は安全でない動的コード生成に起因し、影響を及ぼす範囲はバージョン 2.3.0 未満となる。パーサ定義に信頼できない入力を使用している開発者は、プロセス全体の侵害を含む深刻なリスクに直面する。
Continue reading “Node.js binary-parser Library の脆弱性 CVE-2026-1245 が FIX:コード・インジェクションの恐れ”Cisco Unified CM Zero-Day RCE Under Attack, CISA Issues Warning
2026/01/22 gbhackers — CISA は、Cisco Unified Communications Manager (Unified CM) に存在する深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-20045 を、2026年1月21日に Known Exploited Vulnerabilities (KEV) カタログに追加した。このゼロデイ脆弱性が影響を及ぼす範囲は、Unified CM/Unified CM Session Management Edition (SME)/Unified CM IM & Presence Service/Cisco Unity Connection/Cisco Webex Calling Dedicated Instance などの、複数の Cisco Unified Communications 製品となる。
Continue reading “CISA KEV 警告 26/01/21:Cisco Unified CM の脆弱性 CVE-2026-20045 を登録”Fortinet SSO Vulnerability Actively Exploited to Hack Firewalls and Gain Admin Access
2026/01/22 CyberSecurityNews — Fortinet FortiGate ファイアウォールの Single Sign-On (SSO) 機能に存在する深刻な脆弱性 CVE-2025-59718 が、積極的に悪用されている。この脆弱性を悪用する攻撃者は、不正なローカル管理者アカウントを作成することで、インターネットに公開されているデバイスに対する完全な管理者アクセスを取得している。複数のユーザーから同一の攻撃パターンが報告されているため、Fortinet の PSIRT フォレンジック・チームが調査を開始した。
Continue reading “Fortinet FortiGate SSO の脆弱性 CVE-2025-59718:実環境での積極的な悪用を確認”GitLab Security Flaws Could Allow Two-Factor Authentication Bypass and DoS
2026/01/21 gbhackers — GitLab が公開したのは、Community Edition (CE)/Enterprise Edition (EE) に影響を及ぼす、複数の脆弱性に対処する深刻な脆弱性に対するセキュリティ・アドバイザリである。二要素認証のバイパスやサービス拒否 (DoS) 攻撃に対する修正版として、すでにバージョン 18.8.2/18.7.2/18.6.4 が提供されている。すべてのセルフ・マネージド環境に対して GitLab が強く推奨するのは、速やかなアップグレードである。その一方で、GitLab.com にはすでにパッチが適用済みである。
Continue reading “GitLab CE/EE の複数の深刻な脆弱性 が FIX:二要素認証バイパスと DoS の恐れ”Critical Zoom Command Injection Vulnerability Enables Remote Code Execution
2026/01/21 CyberSecurityNews — Zoom Node Multimedia Routers (MMR) に存在する深刻なコマンド・インジェクション脆弱性 CVE-2026-22844 により、ミーティング参加者が影響を受けるシステム上で任意のコードを実行できる可能性がある。この脆弱性は CVSS 深刻度スコア 9.9 と評価されている。これは極めて高い数値であり、即時対応が必要な極めて危険な脅威であることを示している。
Continue reading “Zoom Node MMR の深刻な脆弱性 CVE-2026-22844 が FIX:コマンド・インジェクションによる RCE の恐れ”Multiple 0-day Vulnerabilities in Anthropic Git MCP Server Enables Code Execution
2026/01/21 CyberSecurityNews — Model Context Protocol (MCP) 向け Git 連携のリファレンス実装である mcp-server-git において、3 件のゼロデイ脆弱性 CVE-2025-68143/CVE-2025-68144/CVE-2025-68145 が確認されている。これらの脆弱性は、Git のコア操作における入力検証および引数サニタイズの不備に起因するものであり、間接的なプロンプト・インジェクションを通じて、攻撃者はシステムへの直接アクセスを必要とせずに、コード実行/ファイル削除/機微情報の流出を実現できる。修正はバージョン 2025.12.18 以降で提供されている。
Continue reading “Anthropic Git MCP Server における複数の脆弱性:プロンプト・インジェクションによるコード実行の可能性”Azure Private Endpoint Deployments Expose Cloud Resources to DoS Attacks
2026/01/21 gbhackers — Azure の Private Endpoint デプロイメントにおける深刻なアーキテクチャ上の弱点により、クラウド・リソースに対する偶発的/意図的なサービス拒否 (DoS) 攻撃が可能になる。この脆弱性は、Azure の Private DNS ゾーン解決とハイブリッド・ネットワーク・コンフィグとの相互作用に起因し、Azure Storage Account の 5% 超と、複数の重要サービスに影響を及ぼす可能性がある。
Continue reading “Azure の Private Endpoint デプロイメントに深刻な脆弱性:クラウド・リソースへの DoS 攻撃の可能性”Critical Oracle WebLogic Server Proxy Vulnerability Lets Attackers Compromise the Server
2026/01/21 CyberSecurityNews — Oracle が公開したのは、Fusion Middleware スイートに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-21962 に関する情報である。この脆弱性が影響を及ぼす範囲は、Oracle HTTP Server および Oracle WebLogic Server Proxy Plug-in である。この脆弱性は、CVSS 3.1 ベース・スコア 10.0 と評価され、Critical に分類されている。これらのプロキシ・コンポーネントを使用しているエンタープライズ環境において、即時性の高い脅威が発生している。
Continue reading “Oracle WebLogic の脆弱性 CVE-2026-21962 が FIX:深刻なインフラ露出の可能性”Chrome 144 Released to Fix High-Severity V8 JavaScript Engine Flaw
2026/01/21 gbhackers — Google は、Windows/Mac/Linux プラットフォーム向けの Chrome 144.0.7559.96/.97 を、ステイブル・チャネルでリリースした。このアップデートは、V8 JavaScript Engine における深刻なレース・コンディションの脆弱性 CVE-2026-1220 に対処するものである。この更新は、今後の数日から数週間かけて段階的にユーザーへ配信される。
Continue reading “Chrome 144 の脆弱性 CVE-2026-1220 が FIX:V8 JavaScript エンジンの競合状態”Critical GNU InetUtils Vulnerability Allows Unauthenticated Root Access Via “-f root”
2026/01/21 CyberSecurityNews — GNU InetUtils に含まれる telnetd サーバコンポーネントに、深刻なリモート認証バイパスの脆弱性が発見されたことを、2026年1月19日にセキュリティ研究者が報告した。この脆弱性は、telnetd の認証メカニズムにおける不適切な入力サニタイズに起因し、未認証の攻撃者に対して root 権限の不正取得を許すものである。
Continue reading “GNU InetUtils の深刻な認証バイパスの脆弱性:ログイン時の “-f root” パラメータで root 権限の奪取”WordPress Plugin Vulnerability Exposes 100,000+ Sites to Privilege Escalation Attacks
2026/01/20 CyberSecurityNews — 人気の WordPress プラグイン Advanced Custom Fields: Extended に存在する、深刻な脆弱性 CVE-2025-14533 (CVSS:9.8:Critical) により、10 万以上の Web サイトが完全な乗っ取りのリスクにさらされている。この脆弱性は、バージョン 0.9.2.1 以前のプラグインに影響を及ぼすものだ。この脆弱性が未修正の状態で放置されると、ユーザー登録フォームにおけるロール処理の仕組みを悪用する未認証の攻撃者に、管理者レベルのアクセス権限を奪取される恐れがある。
Continue reading “WordPress Advanced Custom Fields の脆弱性 CVE-2025-14533 が FIX:Web サイト乗っ取りのリスク”TP-Link Router Flaw Enables Authentication Bypass Through Password Recovery Mechanism
2026/01/20 gbhackers — TP-Link が公表したのは、同社の VIGI セキュリティカメラ製品群に影響を与える、深刻な認証バイパスの脆弱性 CVE-2026-0629 の詳細である。この脆弱性を悪用するローカル・ネットワーク上の攻撃者は、認証を得ることなく管理者パスワードをリセットできてしまう。この問題は、ローカル Web インターフェイスに実装されたパスワード回復機能に存在し、クライアント・サイドの状態操作により悪用される。それにより、同一の LAN 上に位置する脅威アクターは、パスワード回復時の認証メカニズムを回避することで、VIGI カメラに対する完全な管理者権限を取得できる。
Continue reading “TP-Link VIGI 製品群の脆弱性 CVE-2026-0629 が FIX:パスワード回復処理を介した認証バイパス”Apache Airflow Vulnerabilities Enables Expose of Sensitive Data
2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。
Continue reading “Apache Airflow の脆弱性 CVE-2025-68675/68438 が FIX:機密情報漏洩の恐れ”Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host
2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。
Continue reading “Cloudflare のゼロデイ脆弱性が FIX:WAF 回避によるオリジン・サーバへの直接アクセス”Apache bRPC Vulnerability Enables Remote Command Injection
2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。
Continue reading “Apache bRPC の脆弱性 CVE-2025-60021 が FIX:リモート・コマンド・インジェクションの可能性”New Kerberos Relay Attack Uses DNS CNAME to Bypass Mitigations – PoC Released
2026/01/19 CyberSecurityNews — Windows Kerberos 認証に存在する深刻な脆弱性 CVE-2026-20929 により、Active Directory 環境における資格情報リレー攻撃にさらされる領域が大幅に拡大している。Windows クライアントが Kerberos サービス・チケットをリクエストするときの、DNS CNAME レスポンス処理の方法を悪用する攻撃者は、自身が制御するサービス向けのチケット・リクエストをシステムに対して強制し、従来の防御策を回避することが可能になる。
Continue reading “Windows Kerberos リレー攻撃の危険性:DNS CNAME ポイズニングの PoC エクスプロイトが登場”Livewire Filemanager Vulnerability Exposes Web Applications to RCE Attacks
2026/01/19 CyberSecurityNews — Livewire Filemanager で発見されたのは、Laravel Web アプリケーションで利用されるファイル管理コンポーネントに影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2025-14894 である。この脆弱性は、脆弱性ノート VU#650657 が割り当てられており、未認証の攻撃者に対して脆弱なサーバ上での任意のコード実行を許すものである。
Continue reading “Livewire Filemanager の脆弱性 CVE-2025-14894:Web アプリへの RCE 攻撃の恐れ”New “BodySnatcher” Flaw Allows Full ServiceNow User Impersonation
2026/01/19 gbhackers — ServiceNow の Virtual Agent API/Now Assist AI Agents に存在する深刻な脆弱性 CVE-2025-12420 の追跡調査が進められている。セキュリティ研究者により公表されたこの脆弱性は BodySnatcher と命名されており、未認証の攻撃者がメールアドレスのみを使用して任意の ServiceNow ユーザーになりすますことを可能にする。その結果、多要素認証 (MFA)/シングルサインオン (SSO) の制御が回避され、特権を持つ AI ワークフローの実行/バックドア管理者アカウントの作成が可能となる。
Continue reading “ServiceNow の脆弱性 CVE-2025-12420 を解析:Agent コンフィグの不備による SSO 回避”Security Bug in StealC Malware Panel Let Researchers Spy on Threat Actor Operations
2026/01/19 TheHackerNews — 情報窃取マルウェア StealC の運用者が使用する Web ベース管理パネルに、クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、サイバーセキュリティ研究者たちが明らかにした。この脆弱性を通じて研究者たちは、StealC を運用する脅威アクターの活動に関する重要な情報を収集できた。先週公開されたレポートにおいて CyberArk の研究者 Ari Novick は、「この脆弱性を活用することで、StealC システムのフィンガープリントを収集し、アクティブなセッションを監視し、さらに情報窃取を目的として設計された悪意のインフラから、脅威アクター自身の Cookie を窃取することに成功した」と述べている。
Continue reading “StealC マルウェア管理パネルに XSS の脆弱性:脅威アクターの活動が解析可能に”Windows SMB Client Vulnerability Enables Attacker to Own Active Directory
2025/01/19 CyberSecurityNews — Windows SMB クライアント認証における深刻な脆弱性を介したNTLM リフレクションの悪用により、Active Directory 環境が侵害される可能性がある。この脆弱性 CVE-2025-33073 は不適切なアクセス制御に分類され、ネットワーク接続上で精巧に構成された認証リレー攻撃を用いる認可済みの攻撃者に対して、権限昇格を許す可能性がある。2025年6月のセキュリティパッチ公開から、すでに 7ヶ月が経過しているが、エンタープライズ・インフラ全体で適用が進んでいない状況が確認されている。
Continue reading “Windows SMB の脆弱性 CVE-2025-33073:認証リレー攻撃による Active Directory 侵害の可能性”JFrog Researchers Uncover RCE Exploit for Existing Redis Database Vulnerability
2026/01/17 SecurityBoulevard — 今週、Redis データベースに存在する脆弱性 CVE-2025-62507 の分析結果が公開された。この脆弱性に対するリモートコード実行 (RCE) エクスプロイトへの経路が発見され、当初の想定よりも深刻である可能性が示されている。複数の ID を指定して XACKDEL コマンドを実行することでスタック・オーバーフローが引き起こされ、結果としてリモートコード実行 (RCE) に至る可能性があることが、JFrog の研究者たちにより明らかにされた。
Continue reading “Redis の脆弱性 CVE-2025-62507:RCE エクスプロイトの可能性を JFrog が実証”Critical XSS Vulnerabilities in Meta Conversion API Enable Zero-Click Account Takeover
2026/01/17 gbhackers —Meta の Conversions API Gateway に存在する、2 件の深刻なクロスサイト・スクリプティング (XSS) 脆弱性がセキュリティ研究者たちにより発見された。これらの欠陥を悪用する攻撃者は、ユーザー操作を一切必要とせずに Facebook アカウントの大規模な乗っ取りが可能となる。この脆弱性は、Meta 管理下ドメインである “facebook.com” や “meta.com” に影響するだけではなく、オープンソースの Gateway インフラをデプロイしている、最大 1 億件とも言われるサードパーティ環境にも波及する可能性がある。
Continue reading “Meta Conversions API Gateway における 2 件の深刻な脆弱性:アカウント乗っ取りの可能性”Actively exploited critical flaw in Modular DS WordPress plugin enables admin takeover
2026/01/16 SecurityAffairs — WordPress の Modular DS WordPress プラグインに存在する深刻な脆弱性 CVE-2026-23550 (CVSS 10) が、脅威アクターにより積極的に悪用されている。この脆弱性はバージョン 2.5.1 以下に影響し、認証チェックをバイパスして管理者として自動ログインすることを可能にするものである。これにより、攻撃者は Web サイトの完全な制御権を掌握できる。
Continue reading “Modular DS WordPress プラグインの脆弱性 CVE-2026-23550 が FIX:積極的な悪用を確認”Cisco 0-Day RCE Secure Email Gateway Vulnerability Exploited in the Wild
2026/01/16 CyberSecurityNews — Cisco が認めたのは、Secure Email Gateway/Secure Email and Web Manager アプライアンスにおける深刻なゼロデイ・リモートコード実行の脆弱性が、実環境で悪用されている状況である。この脆弱性 CVE-2025-20393 を悪用する未認証の攻撃者は、スパム隔離機能に対する細工された HTTP リクエストを介して、ルート権限での任意のコマンド実行を可能にする。
Continue reading “Cisco Email Gateway の脆弱性 CVE-2025-20393:APT による積極的な悪用を観測”Go 1.26 Released With Fixes for Multiple Vulnerabilities Causing Memory Exhaustion
2026/01/16 gbhackers — Go 開発チームが公表したのは、サービス拒否攻撃/任意のコード実行/不正なセッション再開を引き起こす可能性のある、6件の深刻なセキュリティ脆弱性を修正するバージョン 1.25.6/1.24.12 のリリースである。これらのマイナー・アップデートは Go セキュリティ・ポリシーに準拠しており、暗号化/ネットワーク/ツールチェーンといったコア・コンポーネント全体をカバーする重要な強化が含まれている。
Continue reading “Go 1.25.6 がリリース:メモリ枯渇/不適切なセッション管理/認証バイパスの問題などに対処”Critical Cal.com Vulnerability Let Attackers Bypass Authentication and Hijack any User Account
2026/01/15 CyberSecurityNews — Cal.com のスケジュール管理プラットフォームに、深刻な認証バイパスの脆弱性が発見された。この脆弱性 CVE-2026-23478 を悪用する攻撃者は、NextAuth JWT コールバック機構の欠陥を悪用することで、任意のユーザー・アカウントを乗っ取ることが可能になる。この脆弱性は、バージョン 3.1.6 〜 6.0.7 未満に影響を及ぼし、バージョン 6.0.7 以降で修正されている。
Continue reading “Cal.com の脆弱性 CVE-2026-23478 が FIX:認証バイパスと任意のユーザー・アカウント乗っ取り”HPE Aruba Vulnerabilities Enables Unauthorized Access To Sensitive Information
2026/01/15 gbhackers — HPE が公表したのは、HPE Aruba Networking Instant On デバイスに存在する複数の深刻な脆弱性に対するセキュリティ・パッチのリリースである。これらの脆弱性を悪用するリモート攻撃者は、内部 VLAN コンフィグ・データの窃取/ワイヤレス・ネットワークの妨害/機密ネットワーク情報の不正取得を行う可能性がある。一連の脆弱性が影響を及ぼす範囲は、Instant On アクセス・ポイントおよび 1930 スイッチのソフトウェア・バージョン 3.3.1.0 以下であり、修正はバージョン 3.3.2.0 以降で提供されている。
Continue reading “HPE Aruba Instant On の複数の脆弱性が FIX:機密情報の不正取得や DoS 攻撃の恐れ”Fortinet FortiSIEM Vulnerability CVE-2025-64155 Actively Exploited in Attacks
2026/01/15 CyberSecurityNews — Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が、現在も実環境で積極的に悪用されていることが、Defused によるハニーポット展開の結果として確認された。この脆弱性が未認証のリモート攻撃者に悪用された場合には、深刻な OS コマンド・インジェクションにより、認証不要のリモート・コード実行 (RCE) を許す恐れがあるため、企業のセキュリティ監視基盤に深刻なリスクが生じている。
Continue reading “Fortinet FortiSIEM の RCE 脆弱性 CVE-2025-64155 が FIX:PoC の公開と積極的な悪用”Azure Identity Token Vulnerability Enables Tenant-Wide Compromise in Windows Admin Center
2026/01/15 CyberSecurityNews — Windows Admin Center の Azure Single Sign-On (SSO) 実装に、深刻度の高い脆弱性 CVE-2026-20965 が発見された。それにより、Azure VM および Arc 接続システムが、テナント全体にわたる不正アクセスのリスクにさらされている。この脆弱性が示すのは、不適切なトークン検証により、個々のマシンと Azure 環境全体との間に存在すべきセキュリティ境界が崩壊する恐れである。
Continue reading “Azure SSO の深刻な脆弱性 CVE-2026-20965 が FIX:Windows Admin Center 全体への侵害の恐れ”Palo Alto Networks Firewall Vulnerability Allows Attacker to Trigger DoS Attacks
2026/01/15 CyberSecurityNews — Palo Alto Networks が 2026年1月14日に公表したのは、PAN-OS ファイアウォール・ソフトウェアに存在する深刻なサービス拒否 (DoS) の脆弱性 CVE-2026-0227 (CVSS v4.0:7.7:HIGH) の修正に関する情報である。この脆弱性を悪用する未認証の攻撃者は、GlobalProtect (VPN) のゲートウェイおよびポータルに対する妨害を引き起こせる。
Continue reading “Palo Alto Networks Firewall の脆弱性 CVE-2026-0227:DoS 攻撃と PoC の登場”U.S. CISA adds a flaw in Microsoft Windows to its Known Exploited Vulnerabilities catalog
2026/01/14 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Windows の脆弱性 CVE-2026-20805 (CVSS:5.5) を、Known Exploited Vulnerabilities (KEV) に登録した。Microsoft の 2026年1月の Patch Tuesday では、Windows/Office/Azure/Edge/SharePoint/SQL Server/SMB/Windows 管理サービスに影響を与える 112 件の CVE がリリースされた。サードパーティ製の Chromium 修正プログラムを含めると、脆弱性の総数は 114 件となる。
Continue reading “CISA KEV 警告 26/01/13:Windows の脆弱性 CVE-2026-20805 を登録”Elastic Patches Multiple Vulnerabilities That Enables Arbitrary File Theft and DoS Attacks
2026/01/14 CyberSecurityNews — Elastic がリリースした重要なセキュリティ・アップデートは、スタック全体に影響を及ぼす 4 件の脆弱性に対処するものである。このアップデートには、悪意のコネクタ・コンフィグを通じて任意のファイル漏洩を引き起こし得る High の深刻度を持つ欠陥が含まれている。Kibana および関連コンポーネントにおける、ファイル処理/入力検証/リソース割り当てメカニズムの問題を、このアップデートにより修正した。
Continue reading “Elastic の脆弱性 CVE-2026-0530/0531/0532/0543 が FIX:任意のファイル窃取/ DoS 攻撃の恐れ”Spring CLI Vulnerability Allows Attackers to Execute Commands on User Systems
2026/01/14 gbhackers — Spring CLI VSCode エクステンションには、影響を受けるユーザーのマシン上で攻撃者が任意のコマンドを実行できる、コマンド・インジェクションの脆弱性 CVE-2026-22718 が存在する。この脆弱性が影響を及ぼす範囲は、同エクステンションのバージョン 0.9.0 以下であり、すでにサポートが終了したツールを継続して使用している開発者に深刻なリスクをもたらす。
Continue reading “Spring CLI VSCode エクステンションの脆弱性 CVE-2026-22718:削除が必須の EOL”Critical FortiSIEM Vulnerability Enables Arbitrary Commands Execution via Crafted TCP Packets
2026/01/14 CyberSecurityNews — 2026年1月13日に Fortinet が公表したのは、FortiSIEM に存在する深刻な OS コマンド・インジェクション脆弱性に関する情報である。この脆弱性 CVE-2025-64155 が悪用された場合、未認証の攻撃者によって任意のコードが実行される可能性がある。この問題は、ポート 7900 で動作する phMonitor コンポーネントにおける OS コマンドのメタ文字に対する不適切な無効化 (CWE-78) に起因する。具体的には、Super ノードおよび Worker ノードに対して悪意ある TCP リクエストを送信する攻撃者により、システム全体が侵害される恐れがある。
Continue reading “Fortinet FortiSIEM の脆弱性 CVE-2025-64155 が FIX:TCP パケット経由での任意のコマンド実行”FortiOS and FortiSwitchManager Flaw Allows Remote Code Execution
2026/01/14 gbhackers — FortiOS および FortiSwitchManager に搭載されている “cw_acd” デーモン・コンポーネントにおいて、ヒープバッファ・オーバーフローの脆弱性が発見/公表された。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるシステム上で任意のコードを実行する可能性がある。この脆弱性 CVE-2025-25249 は、CVSS v3.1 スコア 7.4 と評価されており、企業ネットワーク・インフラに対して深刻なリスクをもたらす。
Continue reading “Fortinet 製品群の脆弱性 CVE-2025-25249 が FIX:cw_acd デーモンにおける深刻な RCE の可能性”
IoT OT Security News 
You must be logged in to post a comment.