Vulnerability – Page 3 – IoT OT Security News

GenAI が招くセキュリティ・リスク：オープンソースの脆弱性は氷山の一角に過ぎない

Open Source is the Tip of the Iceberg: Why Proprietary Software, Hardware and Protocols Face Greater AI-Driven Security Risk

2026/05/06 InfoSecurity — 2026年4月に Anthropic が発表した Project Glasswing では、そこに参加した 11社の主要企業が Claude Mythos Preview モデルを用いて、重要なオープンソース・ソフトウェアの脆弱性を発見していった。長年にわたり監査されてきたコードベースに潜むバグを発見した Mythos は、サイバーセキュリティ業界から高く評価された。

Argo CD の脆弱性 CVE-2026-42880 が FIX：データマスキングの不具合による Kubernetes Secret の抽出

Argo CD ServerSideDiff Flaw Allows Attackers to Extract Kubernetes Secrets

2026/05/06 gbhackers — Argo CD に存在する深刻な脆弱性を、最小権限を持つ攻撃者が悪用し、etcd クラスタからの Kubernetes Secrets の抽出を可能にする。この脆弱性 CVE-2026-42880 (CVSS 9.6) は、Argo CD プラットフォームにおける認可の欠如とデータマスキングの不備を露呈するものだ。

Salesforce Marketing Cloud の複数の脆弱性が FIX：プライベート・メール・データが露出

Salesforce Marketing Cloud Vulnerability Opened Door to Email Data Exposure

2026/05/06 CyberSecurityNews — Salesforce Marketing Cloud (SFMC) に発生した一連の深刻なセキュリティ脆弱性は、数百の組織にまたがる数百万のユーザーの、プライベートなメール・データの読み取り／露出を、攻撃者に許す可能性があるものだった。すでに、これらの脆弱性は修正済みであるが、その根本的な原因は、プラットフォームに組み込まれたスクリプト機能と、適切に廃止されなかった数十年前の暗号化手法にある。

Palo Alto Firewall の脆弱性 CVE-2026-0300：確認された悪用とパッチ提供までの緊急対応

Critical Palo Alto Firewalls Vulnerability Exploited in the Wild to Gain Root Access

2026/05/06 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ソフトウェアにおける深刻なバッファ・オーバーフローの脆弱性 CVE-2026-0300 (CVSS4.0：9.3：CRITICAL) に関する情報である。この脆弱性は、すでに実環境での悪用が確認されている。

Weaver E-cology の脆弱性 CVE-2026-22679 が FIX：実環境での積極的な悪用を確認

Critical Weaver E-cology RCE Vulnerability Actively Exploited in Attacks

2026/05/05 CyberSecurityNews — Weaver E-cology の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2026-22679 (CVSS 9.8) が、未認証の脅威アクターたちに現在進行形で積極的に悪用されている。この脆弱性が影響を及ぼす範囲は、2026年3月12日より前にリリースされた Weaver E-cology 10.0 ビルドである。公開状態にあるデバッグ・エンドポイントに存在する脆弱性 CVE-2026-22679 は、認証が不要な任意のコマンド実行を、攻撃者に対して許すものとなる。細工された POST リクエストを送信する攻撃者は、悪意の入力をオペレーティング・システムへ直接渡すことが可能となる。

GnuTLS 3.8.13 リリース：認証バイパスとメモリ破損を含む複数の脆弱性を修正

GnuTLS 3.8.13 Released with Fix for 12 Vulnerabilities Affecting Network Communications

2026/05/05 CyberSecurityNews — GnuTLS バージョン 3.8.13 が正式にリリースされ、セキュアなネットワーク通信に影響を及ぼす、複数の深刻なセキュリティ脆弱性が修正された。このアップデートは、GnuTLS を使用している全システムに対して強く推奨されるものであり、メモリ破損／認証バイパス／証明書検証の不備などに対処するものだ。

Apache HTTP Server の 5 件の脆弱性が FIX：広大な攻撃範囲を持つ RCE など

Critical Apache HTTP Server Flaw Exposes Millions of Servers to RCE Attacks

2026/05/05 CyberSecurityNews — Apache Software Foundation は、Apache HTTP Server 向けのセキュリティ更新を公開した。2026年5月4日にリリースされたバージョン 2.4.67 は、リモート・コード実行 (RCE) を引き起こす可能性があるダブルフリー (double-free) の欠陥などの、複数の脆弱性に対処している。バージョン 2.4.66 以前を使用している、すべてのユーザーに対して強く推奨されるのは、速やかなアップグレードである。

PostgreSQL の脆弱性 CVE-2026-2005／2006 が FIX：Wiz の ZeroDay.Cloud イベント

Wiz ZeroDay.Cloud Event Reveals 20-Year-Old PostgreSQL Vulnerabilities

2026/05/04 hackread — Wiz が主催する ZeroDay.Cloud ハッキングイベントにおいて、PostgreSQL に存在する 2 件の深刻な脆弱性の悪用が、サイバーセキュリティ研究者により実証された。このイベントは 2025年12月ロンドンで開催されたが、2026年5月4日になって PostgreSQL の脆弱性の詳細が公開されるに至っている。

CISA KEV 警告 26/05/01：Linux Kernel の脆弱性 “Copy Fail” CVE-2026-31431 を KEV に登録

CISA Warns of Linux “Copy Fail” 0-Day Vulnerability Exploited to Root Systems

2026/05/04 CyberSecurityNews — 米国の CISA は、Linux カーネルの深刻なゼロデイ脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、連邦機関および世界中の組織に対して、即時のパッチ適用もしくは影響を受けるシステムの使用停止を求めた。Copy Fail と呼ばれる脆弱性 CVE-2026-31431 (CVSS：7.8：High) は、CWE-699 (Incorrect Resource Transfer Between Spheres) に分類される。

CISA KEV の修正期間が 3 日に短縮？ Anthropic Mythos などの登場が脆弱性への対応を変化させる

U.S. Officials Consider Three-Day Patch Rule in Wake of Anthropic’s Mythos

2026/05/04 SecurityBoulevard — Anthropic の Mythos および OpenAI の GPT-5.4-Cyber といった先端 AI モデルの登場を受け、政府当局が関連機関に課している重大な脆弱性の修正期限について、大幅な短縮を検討していると報じられている。これらの AI モデルは、ソフトウェア脆弱性の検出だけではなく悪用にも優れている。

Progress MOVEit の脆弱性 CVE-2026-4670／5174 が FIX：認証バイパスと権限昇格の恐れ

Critical MOVEit Vulnerabilities Enables Authentication Bypass

2026/05/04 CyberSecurityNews — Progress Software が公開したのは、同社の MOVEit Automation プラットフォームに存在する深刻なセキュリティ脆弱性の情報である。2026年4月に発出された、この脆弱性を悪用する攻撃者は、セキュリティ・チェックをバイパスしてシステム全体を完全に制御する可能性がある。同社は、2 件の深刻な脆弱性 CVE-2026-4670／CVE-2026-5174 について注意を喚起している。

CISA KEV 警告 26/04/30：cPanel & WHM／WP Squared の脆弱性 CVE-2026-41940 を登録

CISA Alert Highlights Active Exploitation of cPanel & WHM Security Bug

2026/05/04 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、WebPros の cPanel & WebHost Manager (WHM) および WordPress Squared (WP2) に影響を及ぼす、深刻なセキュリティ脆弱性 CVE-2026-41940 (CVSS：9.8) について警告を発した。2026年4月30日に CISA は、この脆弱性を Known Exploited Vulnerabilities (KEV) カタログに正式に追加し、実環境の攻撃で積極的に悪用されていることを確認した。

FreeBSD DHCP クライアントの脆弱性 CVE-2026-42511 が FIX：root 権限での任意のコード実行

FreeBSD DHCP Client Vulnerability Enables Remote Code Execution as Root

2026/05/02 CyberSecurityNews — FreeBSD Project が公開したのは、デフォルトの IPv4 DHCP クライアントに存在する深刻な脆弱性に対処する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2026-42511 (CVSS 8.1) を悪用するローカル・ネットワーク上の攻撃者は、root 権限で任意のコード実行を達成し、侵害したマシンの完全な制御を可能にする。AISLE Research Team の Joshua Rogers により発見された、この脆弱性は、現時点でサポートされている FreeBSD の全バージョンに影響を及ぼす。

cPanel／WHM のゼロデイ脆弱性 CVE-2026-41940：44,000 IP からの攻撃と PoC の登場

cPanelSniper PoC Exploit Disclosed as 44,000 Servers Reportedly Compromised

2026/05/02 gbhackers — cPanel および Web Host Manager (WHM) に存在する深刻なゼロデイ脆弱性が、大規模に悪用されている。脆弱性 CVE-2026-41940 に対する、高度な PoC エクスプロイトが公開されたことで、世界中の数万台のサーバが侵害される事態となっている。この認証バイパスの脆弱性は、ほぼ最高レベルの深刻度スコアを持つ。

Exim Mail Server における 4 件の脆弱性が FIX：悪意の DNS データを介したクラッシュと情報漏洩

Multiple Exim Mail Server Vulnerabilities Could Trigger Crashes via Malicious DNS Data

2026/05/01 gbhackers — Exim が公開したのは、メールサーバで新たに発見された、4 件のセキュリティ脆弱性に対処するバージョン 4.99.2 である。これらの脆弱性の悪用に成功した攻撃者は、サーバ接続のクラッシュ／ヒープメモリの破壊／機密性の高いシステムデータの漏洩などを、引き起こす可能性がある。メールサーバ管理者に強く推奨されるのは、一連の修正を直ちに適用し、メール・インフラへの影響を防ぐことだ。

Wireshark の脆弱性 40件以上が FIX：プロトコル・モジュールにおける欠陥を AI が解析

Critical Wireshark Vulnerabilities Let Attackers Execute Arbitrary Code Via Malformed Packets

2026/04/30 CyberSecurityNews — Wireshark が公開したのは、40 件以上の脆弱性に対処する大規模なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、細工されたパケット注入や悪意のキャプチャ・ファイルにより、任意のコード実行を可能にする。世界で最も広く使用されるオープンソースのネットワーク・プロトコル・アナライザー Wireshark を用いて、ネットワーク監視／フォレンジック／トラフィック分析を実践している組織／個人は、Wireshark 4.6.5 へと速やかにアップデートする必要がある。

ASUSTOR ADM の脆弱性 CVE-2026-6644 が FIX：root 権限での RCE と PoC のリリース

PoC Disclosed for Critical Root ASUSTOR ADM RCE Flaw

2026/04/30 gbhackers — ASUSTOR の ADM (ASUSTOR Data Master) オペレーティング・システムの PPTP VPN Client 機能内に存在する、深刻な OS コマンドインジェクションの脆弱性 CVE-2026-6644 (CVSS v4.0：9.4) が明らかにされた。この脆弱性を悪用する認証済み管理者は、root 権限での任意のコマンド実行を可能にする。すでに ASUSTOR は、ADM バージョン 5.1.3.RGO1 をリリースし、この問題に対処している。

Jenkins プラグインの 7 件の脆弱性が FIX：パス・トラバーサルや蓄積型 XSS の不具合を修正

Jenkins Plugin Updates Fix Path Traversal and Stored XSS Bugs

2026/04/30 gbhackers — Jenkins プロジェクトが公開したのは、複数のプラグインに存在する 7 件の脆弱性に対処する重大なセキュリティ・アドバイザリである。それらの脆弱性には、深刻なパス・トラバーサルおよび蓄積型クロスサイト・スクリプティング (XSS) が含まれており、攻撃者により悪用されると、任意のコード実行やユーザー・セッションの乗っ取りに至る恐れがある。

ProFTPD の脆弱性 CVE-2026-42167 が FIX：SQL インジェクションによる RCE

ProFTPD SQL Injection Flaw Opens Door To Remote Code Execution Attack

2026/04/30 gbhackers — ProFTPD が公開した新たな脆弱性が注目を集めている。この脆弱性により、単純な SQL インジェクションのバグから、認証バイパスや権限昇格が発生し、一部環境ではリモート・コード実行 (RCE) へと至る可能性がある。ProFTPD の mod_sql モジュールの脆弱性 CVE-2026-42167 は、MITRE により CVSS v3 スコア 8.1 (High) と評価されている。

SonicOS の脆弱性 CVE-2026-0204／0205／0206 が FIX：アクセス制御回避と DoS の恐れ

SonicWall SonicOS Vulnerabilities Allow Attackers to Bypass Access Controls and Crash Firewall

2026/04/30 CyberSecurityNews — SonicWall が公開したのは、SonicOS ソフトウェアに存在する 3 件の脆弱性 CVE-2026-0204／0205／0206 に対処するセキュリティ・アドバイザリの情報である。これらの脆弱性を悪用する攻撃者は、アクセス制御のバイパスや制限されたサービスへのアクセスを行い、さらにファイアウォールをクラッシュさせることで、サービス拒否状態を引き起こす恐れがある。そのため、管理者に強く推奨されるのは、最新ファームウェアの更新を直ちに適用し、これらの脆弱性からネットワークを保護することだ。なお、一連の脆弱性は、CrowdStrike Advanced Research Team により発見された。

Copy Fail という Linux Kernel ゼロデイの正体：2017年以降の全ディストロで root 昇格を許す

Linux Kernel 0-Day “Copy Fail” Roots Every Major Distribution Since 2017

2026/04/30 CyberSecurityNews — 2017年以降に出荷された、大半の主要 Linux ディストリビューションのカーネルに、深刻なゼロデイ脆弱性が存在することが判明した。この脆弱性 CVE-2026-31431 を悪用する非特権ローカル・ユーザーは、root 権限の取得が可能になる。この脆弱性は、Theori の研究者 Taeyang Lee により発見され、Copy Fail と命名された。その後に、Xint Code Research Team が、AI 支援される解析を行ったことで完全なエクスプロイト・チェーンへと拡張された。

Hugging Face LeRobot の RCE 脆弱性 CVE-2026-25874：パッチ提供までの対策とは？

Hugging Face LeRobot Vulnerability Enables Unauthenticated RCE Attacks

2026/04/29 CyberSecurityNews — Hugging Face が公開したのは、オープンソース機械学習フレームワーク LeRobot に存在する、深刻なリモートコード実行 (RCE) の脆弱性に関する情報である。脆弱性 CVE-2026-25874 (CVSS 9.3) を悪用する未認証の攻撃者は、脆弱なホスト・マシン上で任意のシステム・コマンド実行を可能にする。

Microsoft RDP の UI 問題：2026年4月の Patch Tuesday で混入した不具合とは？

Microsoft Confirms Remote Desktop Warning Issue After April Update

2026/04/29 gbhackers — Microsoft の Remote Desktop Protocol (RDP) 接続に影響を及ぼす問題が、2026年4月14日の Microsoft Patch Tuesday アップデート後に確認された。悪意の “.rdp” ファイルに対するシステム強化を目的とした、アップデート Windows 11 version 26H1 (KB5083768／OS Build 28000.1836) で顕著な影響が確認されている。新たに導入されたユーザー・インターフェイスの不具合により、重要なセキュリティ警告が誤って描画され、プロンプトの正しい操作が不能になるなどの状況が発生している。

cPanel の脆弱性 CVE-2026-41940 が FIX：サーバ管理者権限奪取の可能性

cPanel Warns of Critical Authentication Flaw – Emergency Patch Released

2026/04/29 CyberSecurityNews — cPanel が発表したのは、コア・ソフトウェアに影響を及ぼす深刻な脆弱性 CVE-2026-41940 に対処する緊急セキュリティ・アップデートである。この Web ホスティング・コントロール・パネルに発生したセキュリティ欠陥は、cPanel／Web Host Manager (WHM) エコシステム内の、複数の認証パスに対して直接の影響を及ぼす。

Cursor AI コーディング・エージェントの脆弱性 CVE-2026-26268 が FIX：リポジトリ・クローンによる任意のコード実行

Cursor AI Coding Agent Vulnerability Allow Attackers to Execute Code on Developer’s Machine

2026/04/29 CyberSecurityNews — 広く利用される AI コーディング環境 Cursor で発見された深刻な脆弱性により、開発者たちがリモート・コード実行 (RCE) の直接的なリスクにさらされている。この脆弱性 CVE-2026-26268 を悪用する攻撃者は、開発者に悪意のリポジトリをクローンさせるだけで、ローカル環境上での任意のコード実行を可能にする。

CISA KEV 警告 26/04/28：ScreenConnect の脆弱性 CVE-2024-1708 を登録

CISA Warns of ConnectWise ScreenConnect Flaw Exploited in Attacks

2026/04/29 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が、ConnectWise ScreenConnect に存在する深刻なセキュリティ欠陥について緊急警告を発出した。すでに実環境の攻撃で悪用が確認されている、深刻な脆弱性 CVE-2024-1708 について報告を受けた CISA が、2026年4月28日付けで Known Exploited Vulnerabilities (KEV) カタログに追加した。この警告は、政府機関および民間組織のネットワークに対して、速やかなセキュリティ対策を促す重大なものである。

LiteLLM の脆弱性 CVE-2026-42208 が FIX：SQL インジェクションの恐れ

Critical LiteLLM Flaw Enables Database Attacks Through SQL Injection

2026/04/28 gbhackers — 人気の LiteLLM ゲートウェイにおいて発見された、深刻な認証前の SQL インジェクション脆弱性 CVE-2026-42208 の悪用が、すでに実環境で確認されている。この脆弱性を悪用する攻撃者は、認証なしでデータベースへのアクセスを達成し、API キー／シークレットなどの高価値の情報を標的にしている。

GitHub Enterprise Server の脆弱性 CVE-2026-3854 が FIX：RCE と完全なサーバ侵害

Critical GitHub.com and Enterprise Server RCE Vulnerability Enables Full Server Compromise

2026/04/28 CyberSecurityNews — GitHub の内部 git インフラにおいて、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2026-3854 が Wiz の研究者により発見された。この脆弱性を悪用する認証済みユーザーは、バックエンド・サーバを侵害して数百万のプライベート・リポジトリへアクセスし、GitHub Enterprise Server (GHES) 環境では完全なサーバ乗っ取りが可能となる。

Notepad++ の脆弱性 CVE-2026-3008 が FIX：FindInFiles 機能の不備によるクラッシュと情報漏洩

Notepad++ Vulnerability Allows Attackers to Crash Application, Leak Memory Data

2026/04/27 CyberSecurityNews — 開発者および IT 担当者たちに広く使用されるオープンソース・テキストエディター Notepad++ において、セキュリティ脆弱性 CVE-2026-3008 が確認された。この脆弱性を悪用するリモート攻撃者は、アプリケーション・クラッシュを引き起こし、対象システムから機密性の高いメモリアドレス情報を窃取する可能性がある。

Google Gemini CLI の RCE 脆弱性 CVE-N/A が FIX：サプライチェーン・セキュリティに懸念

Critical Gemini CLI Flaw Raises Supply Chain Security Concerns

2026/04/27 gbhackers — Google が公開したのは、Gemini CLI と関連する GitHub Actions における、深刻な脆弱性へ対処するための緊急のセキュリティ更新である。この脆弱性 GHSA-wpqr-6v78-jr5g (CVSS 10.0) により、CI/CD (Continuous Integration and Continuous Deployment) パイプラインがリモート・コード実行 (RCE) 攻撃の危険にさらされる。この問題は、ワークスペースの信頼設定およびツール許可リスト処理の不備に起因し、自動化ワークフローの侵害を可能とするものである。それにより、サプライチェーン・セキュリティに関する深刻な懸念が引き起こされる。

Nessus Agent の脆弱性 CVE-2026-33694 が FIX：Windows Junction の悪用と SYSTEM 権限取得

Nessus Agent Vulnerability on Windows Enables Arbitrary Code Execution with SYSTEM Privileges

2026/04/27 CyberSecurityNews — Tenable が公表したのは、Nessus Agent for Windows の脆弱性 CVE-2026-33694 を悪用する攻撃者に対して、最高権限である SYSTEM レベルでの不正なコード実行を許す恐れがあることだ。この脆弱性評価プラットフォームは広く導入されているため、多くの企業のセキュリティ・チームにとって深刻な懸念事項となっている。

Metabase Enterprise の脆弱性 CVE-2026-33725 が FIX：PoC エクスプロイト公開でリスク急増

Metabase Enterprise RCE Flaw Now Has Public Proof-of-Concept Exploit

2026/04/27 gbhackers — Metabase Enterprise の深刻な脆弱性 CVE-2026-33725 に対して、動作が確認済みの PoC エクスプロイトが公開された。この脆弱性を悪用する攻撃者は、標的システム上でリモート・コード実行 (RCE) を実現し、任意ファイルの読み取りを引き起こす恐れがある。公開されたエクスプロイト・スクリプトの存在により、パッチ未適用のインスタンスを運用する組織のリスクが大幅に増大している。

OpenClaw の 3件の脆弱性 CVE-N/A が FIX：ポリシー回避／コンフィグ変更などの対応

OpenClaw Flaws Expose Systems to Policy Bypass Attacks

2026/04/27 gbhackers — オープンソースの自律型 AI エージェント・フレームワーク OpenClaw は、3 件の Medium レベルの脆弱性に対応するための重要なセキュリティ更新を公開した。これらの不備は npm パッケージのバージョン 2026.4.20 未満に存在し、ポリシー回避／不正なローカル・コンフィグ変更／API 資格情報漏洩といった深刻なリスクを引き起こす。IT 管理者およびセキュリティ担当者は、最新の 2026.4.20 へと速やかにアップデートし、エージェント環境を保護すべきである。

CISA KEV 警告 26/04/24: SimpleHelp／Samsung／D-Link の脆弱性を登録

U.S. CISA adds SimpleHelp, Samsung, and D-Link flaws to its Known Exploited Vulnerabilities catalog

2026/04/25 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SimpleHelp／Samsung／D-Link に関する脆弱性を Known Exploited Vulnerabilities (KEV) カタログへ追加した。以下は追加された脆弱性である：

CVE-2024-57726：SimpleHelp 認可不備の脆弱性
CVE-2024-57728：SimpleHelp パストラバーサルの脆弱性
CVE-2024-7399：Samsung MagicINFO 9 パストラバーサル脆弱性
CVE-2025-29635：D-Link DIR-823X コマンド・インジェクション脆弱性

Windows RPC の脆弱性 PhantomRPC：全バージョンで権限昇格が可能

New Windows RPC Vulnerability Lets Attackers Escalate Privileges Across All Windows Versions

2026/04/25 CyberSecurityNews — Windows Remote Procedure Call (RPC) に存在する、新たに特定されたアーキテクチャ上の脆弱性 PhantomRPC によりローカル環境での権限昇格が生じ、SYSTEM レベルへのアクセスが可能となるため、理論的には全 Windows バージョンに影響が及ぶ可能性がある。2026年4月24日に開催された Black Hat Asia 2026 において、Kaspersky のアプリケーション・セキュリティ・スペシャリスト Haidar Kabibo が発表した研究の成果では、5 種類の攻撃経路が提示されているが、Microsoft によるパッチは提供されていない。

Microsoft Entra ID Agent ID Admin ロールの悪用：サービス・プリンシパル乗っ取りの恐れ

Hackers Exploit Agent ID Administrator Role to Hijack Service Principals

2026/04/24 gbhackers — Microsoft Entra ID の新機能 Agent Identity Platform において、深刻なスコープ制御不備の脆弱性が発見された。Agent ID Administrator ロールが割り当てられたユーザーが、この脆弱性を悪用すると、組織テナント全体にわたる任意のサービス・プリンシパルを乗っ取ることが可能となり、権限昇格につながるリスクが生じていた。このロールは、AI エージェント ID の管理のために設計されていたが、境界制御の不備により非エージェントのサービス・プリンシパルも操作可能な状態となっていた。現時点においては、すべてのクラウド環境で、Microsoft による修正が完了している。

Cisco Firepower の脆弱性 CVE-2025-20333／20362：パッチ未適用環境に APT がバックドアを展開

Hackers Exploit Cisco Firepower N-Day Flaws for Unauthorized Access

2026/04/24 gbhackers — Cisco Firepower デバイスにおける既知の脆弱性 CVE-2025-20333／CVE-2025-20362 を積極的に悪用する、国家支援型の脅威アクター UAT-4356 が、高度なカスタム・バックドアを展開している。これらは、Cisco の Firepower eXtensible Operating System (FXOS) に影響する N-Day 脆弱性である。

React2Shell CVE-2025-55182 の悪用：シークレット窃取と標的の自動選定を AI で実現

Hackers Track 900+ React2Shell Exploits via Telegram Bots

2026/04/24 gbhackers — Telegram ボットと AI のツール化を組み合わる攻撃者が、深刻な脆弱性 (CVE-2025-55182) を悪用することで、大規模かつ構造化された攻撃キャンペーンを展開し、900 件以上を侵害している。調査により発見されたのは、悪意のプラットフォーム Bissa Scanner に関連する公開サーバである。このプラットフォームは、単にデータ収集するものではなく、多数の被害者に対してエクスプロイト／ステージング／検証を行うために悪用されている。

Ollama の脆弱性 CVE-2026-5757： GGUF ファイル処理とメモリ破壊

Hackers Exploit Ollama Model Uploads to Leak Server Data

2026/04/24 gbhackers — ローカル環境で LLM を実行するオープンソース・プラットフォーム Ollama の、量子化エンジン・モデルに存在する深刻な脆弱性 CVE-2026-5757 が、セキュリティ研究者により発見された。悪意を持って細工された AI モデル・ファイルをアップロードする攻撃者は、認証を必要とせず、サーバ上の機密データの窃取を可能にする。

Python asyncio モジュールの脆弱性 CVE-2026-3298 が FIX：Windows 環境におけるメモリ破壊

Python Vulnerability Enables Out-of-Bounds Write on Windows

2026/04/24 gbhackers — Python の “asyncio” モジュールに存在する、深刻なセキュリティ脆弱性 CVE-2026-3298 が発見された。この不備を突く攻撃者は、割り当てられたメモリバッファ境界を超えてデータを書き込む可能性がある。この脆弱性は、2026年04月21日に公式 Python Security アナウンス・メーリングリストで、Python のセキュリティ開発者 Seth Larson により公開された。

GitLab CE／EE の脆弱性 CVE-2026-4922／5816／5262：ユーザーセッションが乗っ取りの可能性

GitLab Fixes Flaws That Could Allow Attackers to Hijack User Sessions

2026/04/23 gbhackers — GitLab が公表したのは、Community Edition (CE)／Enterprise Edition (EE) に存在する 11 件の脆弱性に対処する緊急セキュリティ・パッチである。このアドバイザリに含まれるのは、悪意のコード実行／リクエスト偽造／ユーザー・セッション・トークン窃取を可能とする 3 件の深刻な脆弱性である。

LMDeploy の SSRF 脆弱性：アドバイザリ公開から 12 時間半で実環境での悪用が発生

Attackers Exploit LMDeploy Flaw in the Wild Within 12 Hours of Advisory

2026/04/23 gbhackers — LMDeploy のビジョン言語モジュールに存在する、深刻なサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が、情報公開からわずか 12時間 30分後に実環境攻撃で悪用されるという事実が確認された。つまり、PoC コードに依存することなく、この攻撃は実行された。2026年4月21日に GitHub は、セキュリティ・アドバイザリ GHSA-6w67-hwm5-92mq で脆弱性を公開し、その後に CVE-2026-33626 (CVSS：7.5：High) が割り当てられた。

Claude Mythos が証明した脆弱性発見能力：Firefox の 271 件のゼロデイを単一の評価で検出

Claude Mythos AI Model Uncovers 271 Zero-Day Vulnerabilities in Firefox

2026/04/22 CyberSecurityNews — Anthropic の最新フロンティア AI モデルである Claude Mythos Preview は、Mozilla Firefox において 271 件のゼロデイ脆弱性を特定し、AI 駆動のサイバー・セキュリティ防御における大きな転換点を示した。そこで発見された一連の脆弱性は、ブラウザ史上最大の規模のセキュリティ修正として対応され、Firefox 150 に反映された。

Spring Security Authorization Server の脆弱性 CVE-2026-22752 が FIX：XSS／SSRF／権限昇格のリスク

Critical Spring Authorization Server Issue Exposes Systems to XSS and SSRF Attacks

2026/04/22 gbhackers — Spring Security Authorization Server に存在する、深刻な脆弱性 CVE-2026-22752 が 2026年4月21日に公開された。この脆弱性は、Dynamic Client Registration エンドポイントを実装／運用している組織に影響を及ぼす。この脆弱性を悪用する攻撃者は、悪質なクライアント・メタデータの注入が可能となり、保存型クロスサイト・スクリプティング (XSS)／権限昇格／サーバサイド・リクエスト・フォージェリ (SSRF) を引き起こす可能性がある。この問題は、セキュリティ研究者 Kelvin Mbogo により責任ある形で報告された。

Atlassian Bamboo の脆弱性 CVE-2026-21571／33871 が FIX：リモート・コマンド・インジェクションの恐れ

Critical Atlassian Bamboo Data Center and Server Flaw Enables Command Injection Attacks

2026/04/22 CyberSecurityNews — Atlassian が公開したのは、Bamboo Data Center／Server 製品に影響を及ぼす、2 件の深刻なセキュリティ脆弱性 CVE-2026-21571／CVE-2026-33871 に関する情報である。そこに含まれるのは、深刻度 Critical の OS コマンド・インジェクションの脆弱性と、サードパーティの依存関係に関連する深刻度 High のサービス拒否 (DoS) の脆弱性である。影響を受けるバージョンを運用する組織に対して強く推奨されるのは、直ちにパッチを適用することである。

Microsoft SharePoint のスプーフィング脆弱性 CVE-2026-32201：1,370 台以上のサーバがインターネットに露出

1,370+ Microsoft SharePoint Servers at Risk of Spoofing Attacks Found Exposed Online

2026/04/22 gbhackers — Microsoft SharePoint のスプーフィングの脆弱性 CVE-2026-32201 が、現在も実環境で積極的に悪用されている。それにより、インターネットに公開される 1,370台以上のサーバを介して、無数の企業ネットワークに深刻なリスクがもたらされていると、 Shadowserver Foundation の研究者たちが指摘している。これらの未パッチ・システムを突く攻撃者たちは、セキュリティ制御／セキュリティ・プロトコルを回避し、ネットワークの完全性を侵害する高度な攻撃を引き起こせる。

Microsoft が .NET 10.0.7 を緊急リリース：深刻な権限昇格の脆弱性 CVE-2026-40372 に対応

Microsoft Emergency .NET 10.0.7 Update to Patch Elevation of Privilege Vulnerability

2026/04/22 CyberSecurityNews — 2026年04月21日に、Microsoft は .NET 10 のバージョン 10.0.7 をリリースし、Microsoft.AspNetCore.DataProtection NuGet パッケージに存在する、深刻な脆弱性に対処した。この脆弱性を悪用する攻撃者により、重大な特権昇格が生じる恐れがある。今回の OOB リリースの背景にあるのは、通常の Patch Tuesday における .NET 10.0.6 アップデート適用後の、ASP.NET Core アプリケーションにおいて復号失敗が発生したという顧客からの報告である。