Vulnerability – Page 4 – IoT OT Security News

Chrome 144 がリリース：V8 JavaScript Engine に関連する脆弱性などが FIX

Chrome 144 Released With Fix for 10 Vulnerabilities in V8 JavaScript Engine

2026/01/14 CyberSecurityNews — Google は、Windows／Mac／Linux 向けの安定版チャンネルに Chrome 144 を正式にリリースした。このバージョンでは、V8 JavaScript エンジンを中心とする 10 件のセキュリティ脆弱性が修正されている。Linux 向けには Chrome バージョン 144.0.7559.59 が提供され、Windows／Mac 向けには Chrome バージョン 144.0.7559.59/60 が提供される。いずれも複数のセキュリティ強化が行われており、修正された脆弱性の 6 件は V8 JavaScript エンジンに直接影響する。ロールアウトは、今後の数日から数週間をかけて段階的にユーザーに提供される予定だ。

Window DWM のゼロデイ脆弱性 CVE-2026-20805 が FIX：実環境での情報漏洩を確認

Microsoft Desktop Window Manager 0-Day Vulnerability Exploited in the wild

2026/01/14 CyberSecurityNews — 2026年1月13日の月例パッチで、Microsoft は Desktop Window Manager (DWM) に存在する深刻なゼロデイ情報漏洩の脆弱性を修正した。この脆弱性 CVE-2026-20805 を悪用するローカル攻撃者は、ALPC ポートを介して機密性の高いセクション・アドレスをはじめとするユーザーモード・メモリを露出させる恐れがある。この脆弱性は、すでに実環境での悪用が検知されており、さらなる権限昇格の連鎖を容易にするため、Windows システム全体に対する緊急のパッチ適用が求められている。

Adobe ColdFusion の深刻な脆弱性 CVE-2025-66516 が FIX：Apache Tika の XXE を修正

Adobe Patches Critical Apache Tika Bug in ColdFusion

2026/01/13 SecurityWeek — Adobe が発表したのは、2026年1月の月例パッチにおいて 11 製品を対象としたセキュリティ・アップデートのリリースと、合計 25 件に及ぶ脆弱性の修正である。その中で、最も深刻な脆弱性 CVE-2025-66516 (CVSS：10) は、Apache Tika モジュールにおける XML 外部エンティティ (XXE) インジェクションに起因するものだ。具体的には、PDF ドキュメント内に配置された XFA ファイルを介して悪用される可能性がある。

FortiSandbox の脆弱性 CVE-2025-67685：SSRF によるネットワーク・セグメント破壊

FortiSandbox SSRF Vulnerability Allow Attacker to proxy Internal Traffic via Crafted HTTP Requests

2026/01/13 CyberSecurityNews — Fortinet が 2026年1月13日に公開したのは、FortiSandbox アプライアンスにおけるサーバーサイド・リクエスト・フォージェリ (SSRF) の脆弱性である。この脆弱性 CVE-2025-67685 (FG-IR-25-783) は、GUI コンポーネントに存在し、CWE-918 に起因する。認証済みの攻撃者は、この脆弱性を悪用することで、内部の非TLS (プレーンテキスト) エンドポイントに対してトラフィックをプロキシする HTTP リクエストを作成できる。Fortinet は、内部ネットワークへの影響リスクを踏まえ、ユーザーに対して速やかなアップデートの適用を促している。

Node.js における 7 件の脆弱性が FIX：メモリ・リーク／DoS／権限バイパスなどの恐れ

Node.js Security Release Patches 7 Vulnerabilities Across All Release Lines

2026/01/13 CyberSecurityNews — 2026年1月13日に Node.js が公表したのは、すべてのアクティブなリリース・ラインを対象とするセキュリティ・アップデートであり、メモリ・リーク／サービス拒否攻撃 (DoS) ／権限バイパスにつながる可能性のある複数の脆弱性が修正されている。特に深刻度が High の脆弱性は 3 件確認されており、影響を受けるシステムに対しては直ちにアップグレードすることが強く推奨される。

ServiceNow AI プラットフォームの脆弱性 CVE-2025-12420 が FIX：認証不要の権限昇格

ServiceNow Vulnerability Enables Privilege Escalation Without Authentication

2026/01/13 gbhackers — ServiceNow の AI プラットフォームで発見された、深刻な権限昇格の脆弱性 CVE-2025-12420 が、世界中の企業ユーザーに深刻なリスクをもたらしている。この脆弱性を悪用する未認証の攻撃者は、他のユーザーになりすますことでアカウントを侵害し、その権限を用いて不正な操作を実行できる。重要なビジネス・オペレーションに ServiceNow の AI 機能を利用している組織にとって、この脆弱性は深刻な脅威となる。

Angular の XSS 脆弱性 CVE-2026-22610 が FIX：サニタイズ・スキーマのバグと悪意のペイロード挿入

New Angular Vulnerability Enables an Attacker to Execute Malicious Payload

2026/01/13 CyberSecurityNews — Angular のテンプレート・コンパイラに、深刻なクロス・サイト・スクリプティング (XSS) の脆弱性 CVE-2026-22610 が発見された。この脆弱性の影響が及ぶ範囲は、@angular/compiler および @angular/core パッケージの複数のバージョンとなる。この脆弱性を悪用する攻撃者は、Angular に組み込まれたセキュリティ保護を回避しながら、標的とするブラウザ内で任意の JavaScript コードを実行できる。

Microsoft 2026-01 月例アップデート：３件のゼロデイを含む 114件の脆弱性に対応

Microsoft January 2026 Patch Tuesday fixes 3 zero-days, 114 flaws

2026/01/13 BleepingComputer — Microsoft が公表した 2026年1月の Patch Tuesday では、114 件の脆弱性に対するセキュリティ・アップデートが提供されている。その中には、現時点で悪用されている１件の脆弱性と、公開済みの２件のゼロデイ脆弱性が含まれている。今月の Patch Tuesday では、深刻度 Critical に分類される８件の脆弱性が修正された。その内訳は、リモートコード実行の脆弱性が６件、権限昇格の脆弱性が２件である。

CISA KEV 警告 26/01/12：Gogs のパス・トラバーサル脆弱性 CVE-2025-8110 を登録

U.S. CISA adds a flaw in Gogs to its Known Exploited Vulnerabilities catalog

2026/01/12 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Gogs のパス・トラバーサルの脆弱性 CVE-2025-8110 (CVSS：8.7) を Known Exploited Vulnerabilities (KEV) カタログに登録した。Gogs (Go Git Service) は、Go で記述された軽量なオープンソースのセルフホスト型 Git サービスである。この脆弱性は、Gogs の PutContents API における不適切なシンボリックリンク処理に起因し、ローカルでのコード実行を引き起こすものである。

React Router の脆弱性 CVE-2025-61686 が FIX：サーバ・ファイルの窃取／改変が可能

Critical React Router Vulnerability Let Attackers Access or Modify Server Files

2026/01/12 CyberSecurityNews — React Router に深刻な脆弱性 CVE-2025-61686 が発見された。このディレクトリトラバーサル脆弱性を悪用する攻撃者は、サーバファイルに対する窃取／改変を引き起こす可能性がある。この脆弱性は React Router エコシステム内の複数のパッケージに影響し、CVSS v3.1 スコアは 9.8 (Critical) と評価されている。

Apache Struts 2 の脆弱性 CVE-2025-68493 が FIX：機密データ窃取の可能性

Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data

2026/01/12 gbhackers — Apache Struts 2 の XWork コンポーネントに、脆弱性 CVE-2025-68493 が発見された。この脆弱性は Important と評価されており、Struts 2.0.0 〜 2.3.37 (EOL)／2.5.0 〜 2.5.33 (EOL)／6.0.0 〜 6.1.0 までの広範なバージョンに影響を及ぼし、多くの Java Web アプリケーションに深刻なリスクをもたらす。この脆弱性が悪用されると、Java Web アプリケーションにおける機密データの漏洩／サービス拒否攻撃／サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃につながる可能性がある。

InputPlumber の脆弱性 CVE-2025-66005／14338 が FIX：UI 入力インジェクションと DoS の可能性

Critical InputPlumber Vulnerabilities Allows UI Input Injection and Denial-of-Service

2026/01/12 CyberSecurityNews — SteamOS で使用される Linux 入力デバイス・ユーティリティ InputPlumber に発見されたのは、不十分な D-Bus 認証メカニズムに起因する深刻な脆弱性 CVE-2025-66005／CVE-2025-14338 である。この脆弱性を悪用した攻撃者は UI 入力を不正に挿入することで、影響を受けるシステム上でサービス拒否状態を引き起こす可能性がある。SUSE の研究者により調査された 2 件の脆弱性が、InputPlumber バージョン 0.69.0 未満に影響を及ぼすことが確認されている。

zlib untgz ユーティリティのバッファ・オーバーフローの脆弱性 CVE-N/A：メモリ破損の恐れ

Critical Zlib Vulnerability Let Attackers Trigger Buffer Overflow by Invoking untgz

2026/01/12 CyberSecurityNews — zlib に同梱される untgz ユーティリティのバージョン 1.3.1.2 に発見されたのは、深刻なグローバルバッファ・オーバーフローの脆弱性 CVE-N/A である。攻撃者は、細工したコマンドライン入力を介してメモリを破壊し、悪意あるコードを実行する可能性がある。この欠陥は、untgz ユーティリティの TGZfname() 関数に存在する。この関数は、ユーザーが指定したアーカイブ名を処理する際、入力サイズの検証を行わずに strcpy() を呼び出す実装となっている。その結果、1,024 バイト固定長の静的グローバル・バッファに対して境界を超えるデータコピーが発生し、メモリ破壊が引き起こされる。

ChatGPT の新たな脆弱性が FIX：Gmail／Outlook／GitHub などからのデータ窃取の恐れ

New ChatGPT Vulnerabilities Enable Data Exfiltration from Gmail, Outlook, and GitHub

2026/01/09 gbhackers — ChatGPT が、外部サービスや自身のメモリ・システムと連携する方法に、複数の深刻な脆弱性が存在することが新たな調査により明らかになった。これにより生じるのは、クロスプラットフォームでのデータ窃盗や長期的なアカウント侵害につながる、新たな攻撃経路である。これらの脆弱性は、侵害された１回のチャット・セッションが、メール／クラウド・ストレージ／コード・リポジトリや、他ユーザーへの侵入経路となり得ることを示している。

Undertow の脆弱性 CVE-2025-12543 が FIX：Java アプリにユーザー・セッション乗っ取りの恐れ

Undertow Vulnerability Lets Hackers Take Over User Sessions in Java Apps

2026/01/09 gbhackers — Undertow HTTP サーバ・コアのバージョン 2.4.0.Alpha1 以下に発見されたのは、深刻なセキュリティ脆弱性 CVE-2025-12543 である。このコンポーネントは WildFly／JBoss EAP／多数の Java アプリケーションで広く使用されている重要なソフトウェア基盤だ。この脆弱性を悪用した攻撃者は、ユーザー・セッションの乗っ取り／キャッシュ・ポイズニング／不正なネットワーク・スキャンを実行できる。

Trend Micro Apex Central の脆弱性 CVE-2025-69258／69259／69260 が FIX：RCE と DoS の可能性

Trend Micro fixed a remote code execution in Apex Central

2026/01/09 securityaffairs — Trend Micro が公表したのは、Apex Central 管理コンソールに存在する 3 件の脆弱性 CVE-2025-69258／CVE-2025-69259／CVE-2025-69260 の修正である。しかし、これら一連の脆弱性は、すでに Tenable により詳細情報と PoC コードが公開されていたものである。研究者らは 2025年8月にこれらの脆弱性を発見しており、悪用された場合にはリモート・コード実行 (RCE) やサービス拒否 (DoS) 攻撃が可能になるとされている。

SmarterTools SmarterMail の脆弱性 CVE-2025-52691：認証不要の RCE 攻撃が可能

SmarterTools SmarterMail Vulnerability Enables Remote Code Execution Attack – PoC Released

2026/01/09 CyberSecurityNews — SmarterTools の SmarterMail ソリューションに発見された認証を必要としないリモート・コード実行 (RCE) の脆弱性 CVE-2025-52691 は、CVSS スコア 10.0 と評価されており、影響を受けるシステムに対して深刻な影響を及ぼす可能性がある。SmarterMail は Windows／Linux 向けのオールインワン型ビジネス・メール／コラボレーション・サーバであり、Microsoft Exchange の代替製品として広く利用されている。

OWASP CRS 脆弱性 CVE-2026-21876 が FIX：文字セットベースの攻撃で防御策を突破

OWASP CRS Vulnerability Allows Attackers to Bypass Charset Validation

2026/01/09 CyberSecurityNews — OWASP Core Rule Set (CRS) に、深刻な脆弱性が発見された。この脆弱性を悪用する攻撃者は、文字セットベースの攻撃を防ぐために設計された重要なセキュリティ保護を回避できる。この脆弱性 CVE-2026-21876 の深刻度スコアは 9.3 で Critical に分類され、ルール 922110 に影響する。ルール 922110 は、マルチパート・フォーム・リクエストにおいて、UTF-7 や UTF-16 などの危険な文字エンコーディングをブロックするよう設計されている。

OAuth 2.0 認証フローを武器化：Microsoft Entra をバイパスしてトークンを収集する手法とは？

New OAuth Attack Lets Hackers Bypass Microsoft Entra Authentication and Steal Keys

2026/01/08 gbhackers — サイバー・セキュリティ対策担当者にとって年末は忙しい時期であるが、Microsoft Entra ID を標的とする新たな攻撃ベクターが研究者たちにより発見された。この攻撃ベクターは、正規の OAuth 2.0 認証フローを武器化し、特権アクセス・トークンを収集するものだ。PushSecurity が ConsentFix と名付けた手法は、ClickFix ソーシャル・エンジニアリング・パラダイムの進化形である。ファーストパーティである Microsoft アプリケーションの認証コードフローを悪用する脅威アクターは、デバイスのコンプライアンス・チェックや条件付きアクセス・ポリシーを回避できるようになる。

React2Shell CVE-2025-55182 を悪用するキャンペーン：810 万件以上の攻撃試行を観測

React2Shell Vulnerability Hit by 8.1 Million Attack Attempts

2025/01/08 gbhackers — React Server Components (RSC) の Flight プロトコルに存在するリモート・コード実行の脆弱性 CVE-2025-55182 (通称 React2Shell) は、大規模なエクスプロイト・キャンペーンの標的となっており、その勢いに衰える気配はない。この脆弱性が公表されて以降、脅威インテリジェンス企業 GreyNoise は 810 万件以上の攻撃セッションを記録している。1 日あたりの攻撃件数は、2025年12月下旬に 43 万件を超えた後、30 万件から 40 万件の範囲で推移している。このキャンペーンの規模の大きさは、React／Next.js／RSC Flight プロトコルに依存する多数の下流フレームワークに影響を与えるこの脆弱性の深刻さを、明白に示している。

Cisco Snort 3 検出エンジンの脆弱性 CVE-2026-20026／20027 が FIX：機密データ漏洩の可能性

Cisco Snort 3 Detection Engine Vulnerability Leaks Sensitive Data

2026/01/08 CyberSecurityNews — Cisco の Snort 3 検出エンジンに、２件の深刻な脆弱性 CVE-2026-20026／CVE-2026-20027 が発見された。これにより、複数の Cisco 製品にまたがるネットワーク・セキュリティ・インフラに深刻なリスクが生じている。これらの脆弱性は、Distributed Computing Environment／Remote Procedure Call (DCE/RPC) リクエストの不適切な処理に起因する。この脆弱性を悪用するリモートの攻撃者は、パケット検査サービスの妨害や、システムからの機密情報の抽出を可能にする。

GitLab の脆弱性 CVE-2025-9222 などが FIX：任意のコード実行の可能性

GitLab Patches Multiple Flaws Allowing Arbitrary Code Execution

2026/01/08 gbhackers — GitLab が公開した複数の脆弱性に対処するために、管理者たちに求められるのは、速やかなアップデートの実施である。これらの脆弱性には、セルフマネージド・インスタンスにおいて、クロスサイト・スクリプティング／認証バイパス／サービス拒否攻撃を可能にする欠陥が含まれている。最新のパッチリリースである GitLab 18.7.1／18.6.3／18.5.5 では、これらのセキュリティ問題への対処に加え、複数のバグ修正および依存関係の更新が行われており、すでに GitLab.com に導入済みである。

CISA KEV 警告 26/01/07：PowerPoint のコード・インジェクション脆弱性 CVE-2009-0556 登録

CISA Warns of Microsoft PowerPoint Code Injection Vulnerability Exploited in Attacks

2026/01/08 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、Microsoft PowerPoint のコード・インジェクション脆弱性 CVE-2009-0556 に関する緊急アラートと、Known Exploited Vulnerabilities (KEV) カタログへの登録である。これは、2009年に公開された古い脆弱性であるが、現在も悪意ある PowerPoint ファイルを用いた任意のコード実行により実際に悪用されている。これにより、システムのセキュリティが侵害され、機密データへの不正アクセスが発生する可能性がある。

Cisco ISE の脆弱性 CVE-2026-20029 が FIX：機密情報の漏洩と PoC のリリース

Cisco ISE Vulnerability Let Remote attacker Access Sensitive Data – Public PoC Available

2026/01/08 CyberSecurityNews — Cisco が公表したのは、Identity Services Engine (ISE) および ISE Passive Identity Connector (ISE-PIC) に存在する、深刻な脆弱性の修正に関する情報である。この脆弱性を悪用する認証済みの管理者は、機密サーバ上のファイルへの不正アクセスが可能になる。この脆弱性 CVE-2026-20029 は、Web 管理インターフェイスの XML 解析に起因する。CVSS スコアは 4.9 であるが、データ漏洩の可能性があるため、深刻度は Medium と評価されている。

Linux 電力管理ツール TLP の認証バイパスの脆弱性 CVE-2025-67859 が FIX：競合状態による権限昇格

Linux Battery Utility Vulnerability Allows Authentication Bypass and System Tampering

2026/01/08 gbhackers — Linux 用の電力管理ツール TLP に、認証バイパスおよびシステム改竄を可能にする深刻な脆弱性 CVE-2025-67859 が発見された。この脆弱性は、TLP バージョン 1.9.0 で導入された電力プロファイル・デーモンに影響を及ぼすものであり、ルート権限で電源プロファイルを管理するための D-Bus API を公開している。

n8n Server の脆弱性 CVE-2026-21858 が FIX：26,512 のホストを危険にさらす Ni8mare とは？

Ni8mare Vulnerability Let Attackers Hijack n8n Servers – Exploit Released and 26,512 Hosts Vulnerable

2026/01/08 CyberSecurityNews — 人気のワークフロー自動化プラットフォームである n8n に、未認証でのリモートコード実行の脆弱性 CVE-2026-21858 (CVSS：10.0) が発見された。この深刻な脆弱性 (通称：Ni8mare) により、世界中で推定 10 万台のサーバに侵害の可能性が生じている。この脆弱性を悪用する未認証の攻撃者は、警告をトリガーすることなく任意のシステム・コマンドを実行し、その結果としてホストを完全に侵害できる。この脆弱性の影響が及ぶ範囲は、n8n のバージョン 1.121.0 未満である。特に、インターネットに公開されているセルフホスト型の導入において、最大のリスクが生じる。

CISA KEV 警告 26/01/07：HPE OneView と PowerPoint の脆弱性を登録

CISA Flags Microsoft Office and HPE OneView Bugs as Actively Exploited

2026/01/08 TheHackerNews — 1月7日 (水) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Microsoft Office と Hewlett Packard Enterprise (HPE) OneView に影響を及ぼす２件のセキュリティ欠陥を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Totolink Range Extender の脆弱性 CVE-2025-65606：サポート終了デバイスに乗っ取りの危機

Vulnerability in Totolink Range Extender Allows Device Takeover

2026/01/07 SecurityWeek — 販売終了となった Totolink EX200 Wireless Range Extender にセキュリティ上の欠陥が存在し、攻撃者が脆弱なデバイスを乗っ取る可能性があると、CERT Coordination Center (CERT/CC) が警告している。この脆弱性 CVE-2025-65606 は、EX200 のファームウェア・アップロードにおけるエラー処理ロジックの欠陥に起因するものだ。

Android デバイスに影響を及ぼす Linux カーネルの CVE-2025-38352：PoCエクスプロイトが公開

PoC Exploit Released for Android/Linux Kernel Vulnerability CVE-2025-38352

2026/01/07 CyberSecurityNews — Linux カーネルにおける深刻な競合状態の脆弱性 CVE-2025-38352 に対する PoC エクスプロイトが GitHub 上で公開された。この脆弱性は今年初めに発見されたものであり、POSIX CPU タイマーの実装を標的としている。これまでに、32-bit Android デバイスに対する限定的かつ標的型の攻撃で悪用されたことが確認されている。

Veeam Backup & Replication の複数の脆弱性が FIX：root 権限 RCE の恐れ

Veeam Backup Vulnerability Exposes Systems to Root-Level Remote Code Execution

2026/01/07 gbhackers — Veeam が公開したのは、Veeam Backup & Replication に存在する、複数の深刻な脆弱性に対処するための重要なセキュリティ・アップデートに関する情報である。最も深刻な脆弱性は、攻撃者により root 権限でのリモート・コード実行 (RCE) を可能にし、影響を受けるシステムの完全な制御を奪われる可能性がある。一連の脆弱性は、Veeam Backup & Replication バージョン 13.0.1.180 以下の 13系ビルドに影響を及ぼす。ただし、広く利用されているバージョン 12.x 系は影響を受けないことを Veeam は確認している。

Chrome WebView の脆弱性 CVE-2026-0628 が FIX：セキュリティ制限回避の恐れ

Chrome “WebView” Vulnerability Allows Hackers to Bypass Security Restrictions

2026/01/07 CyberSecurityNews — Google が公表したのは、WebView タグ・コンポーネントに存在する重大度の高い脆弱性 CVE-2026-0628 に対処するための、Chrome ブラウザ緊急セキュリティ・アップデートの情報である。この脆弱性を悪用する攻撃者は、重要なセキュリティ制限を回避する可能性があるため、ユーザーにとって深刻なリスクとなる。このアップデートにより、Windows／macOS 向けの Chrome バージョン 143.0.7499.192／.193 と、Linux 向けの Chrome バージョン 143.0.7499.192 が Stable チャンネルを通じて提供される。更新は、今後の数日から数週間をかけて段階的に展開される予定である。

CISA KEV 2025：４年間で蓄積された 1,484 件の脆弱性と最新の動向を分析する

CISA Expands KEV Catalog with 1,484 New Vulnerabilities as Active Exploitation Surges 20% in 2025

2026/01/06 CyberSecurityNews — 2025年12月時点で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Known Exploited Vulnerabilities (KEV) カタログを、1,484 件まで拡大した。それは、現在も実運用で悪用されている脆弱性に対抗するための、連邦政府における取り組みの重要な節目である。このデータベースは、2021年11月に 311 件の脆弱性から始まったが、これまでの４年間で大幅に拡張されており、公共／民間の両部門が直面する脅威環境の高度化を反映している。

Apple macOS の脆弱性 CVE-2025-43530 が FIX：TCC 回避と機密データへのアクセス可能

New macOS TCC Bypass Vulnerability Allow Attackers to Access Sensitive User Data

2026/01/06 CyberSecurityNews — macOS に発見された脆弱性は、Transparency／Consent／Control (TCC) 保護の完全な回避を可能にする、きわめて深刻なものである。この脆弱性を悪用する攻撃者は、ユーザーの認識や許可を必要とせずに、機密性の高いデータへアクセスする可能性がある。Apple が採用している TCC (Transparency／Consent／Control) は、マイク／カメラ／ドキュメントなどの機密リソースに対する不正アクセスを防ぐための中核的な防御機構である。しかし、この脆弱性 CVE-2025-43530 は、その防御モデル自体を根底から無効化させるものである。

n8n における Python コード・ノードの脆弱性 CVE-2025-68668 が FIX：任意コマンド実行の恐れ

New n8n Vulnerability Allows Attackers to Execute Arbitrary Commands

2026/01/06 gbhackers — オープンソースの自動化およびワークフロー・プラットフォームである n8n に、深刻な脆弱性が発見された。この脆弱性を悪用する認証済みのユーザーは、脆弱なシステム上で任意のコマンドを実行する可能性がある。この脆弱性 CVE-2025-68668 は、n8n のバージョン 1.0.0 〜 2.0.0 未満に影響を及ぼし、CVSS スコアは 9.9 (Critical) と評価されている。

AdonisJS bodyparser の脆弱性 CVE-2026-21440：リモートからの任意ファイル書き込みが可能

Critical AdonisJS Vulnerability Allow Remote Attacker to Write Files On Server

2026/01/06 CyberSecurityNews — AdonisJS に、深刻なパス・トラバーサルの脆弱性が発見された。この脆弱性を悪用するリモート攻撃者は、サーバのファイル・システム上で任意のファイル書き込みを可能にし、システム全体の侵害につながる可能性がある。この脆弱性 CVE-2026-21440 は、TypeScript ファーストの Web フレームワークである AdonisJS の bodyparser モジュールに影響を及ぼしており、CVSS v4 スコア 9.2 (Critical) と評価されている。

FortiWeb アプライアンスの旧モデルを悪用：Sliver C2 を展開する持続型キャンペーンを検出

Threat Actor Exploited Multiple FortiWeb Appliances to Deploy Sliver C2 for Persistent Access

2026/01/05 CyberSecurityNews — 高度な技術を有する脅威アクターが FortiWeb アプライアンスの旧モデルを悪用し、Sliver C2 (Command and Control) フレームワークを展開している実態が、最近の調査により明らかになった。この攻撃キャンペーンを展開する攻撃者は、オープンソースの攻撃ツールを用いて侵害したネットワーク内に持続的なアクセスを確立し、従来のセキュリティ防御を回避するという、懸念すべき傾向を浮き彫りにしている。特に、パッチが適用されていないエッジデバイスが優先的に狙われ、広範なネットワーク侵入のための、安定した足掛かりとして悪用されている。

QNAP License Center の脆弱性 CVE-2025-52871／53597 が FIX：情報漏洩とプロセス・クラッシュの恐れ

Multiple Vulnerabilities in QNAP Tools Let Attackers Obtain Secret Data

2026/01/05 CyberSecurityNews — QNAP が公表したのは、License Center アプリケーションに存在する複数のセキュリティ脆弱性の修正である。これらの脆弱性 CVE-2025-52871／CVE-2025-53597 を悪用した攻撃者は、影響を受ける NAS デバイス上で機密情報へアクセスし、サービス妨害を引き起こす可能性がある。これらの脆弱性は 2026年1月3日に公開された。

GNU Wget2 の脆弱性 CVE-2025-69194：悪意の Metalink ファイルによるパス・トラバーサル

GNU Wget2 Vulnerability Enables Remote File Overwrite Attacks

2026/01/02 gbhackers — GNU Wget2 に、深刻度の高いセキュリティ脆弱性 CVE-2025-69194 (CVSS：8.8： Important) が発見された。このコマンドライン・ツールは、Web からのファイル・ダウンロードで多用されるものであり、脆弱性を悪用するリモートの攻撃者は、ユーザーの許可を得ることなく、ユーザーのコンピュータ上のファイルを上書きできる状態になる。したがって、GNU Wget2 を用いてコンテンツをダウンロードするユーザーに、深刻なリスクが生じている。

Fortinet の脆弱性 CVE-2020-12812：５年間に及ぶ MFA バイパスの可能性とは？

10,000+ Fortinet Firewalls Still Exposed to 5-year Old MFA Bypass Vulnerability

2026/01/02 CyberSecurityNews — 世界中の 10,000 台を超える Fortinet 製ファイアウォールが、5 年半以上前に公開された多要素認証 (MFA) バイパスの脆弱性 CVE-2020-12812 の影響を受けている。Shadowserver は、このインシデントを Daily Vulnerable HTTP Report (脆弱なHTTPに関する日次レポート) に追加しており、2025年後半に Fortinet が活発な攻撃を確認した後も、この脆弱性が依然として深刻なリスクとして残存している現状を示している。

Mongobleed CVE-2025-14847 から学ぶべきこと：無効化した認証／暗号化／アクセス制御

Lessons From Mongobleed Vulnerability (CVE-2025-14847) That Actively Exploited In The Wild

2026/01/02 CyberSecurityNews — 2025年12月下旬に MongoDB が公表したのは、Mongobleed と呼ばれる深刻な脆弱性 CVE-2025-14847 (CVSS：8.7) の存在である。この脆弱性は、サイバーセキュリティ・コミュニティに強い警戒感をもたらす出来事である。この脆弱性を悪用する未認証の攻撃者は、サーバメモリから直接機密データを窃取できるため、高い深刻度が与えられている。グローバルに見て、87,000 台を超える潜在的に脆弱な MongoDB インスタンスが露出している状況にある。したがって、この未認証によるメモリ漏洩の脆弱性は、最も深刻なデータベース・セキュリティ脅威の一つへと急速に展開している。

Apache NuttX RTOS の脆弱性 CVE-2025-48769 が FIX：システム・クラッシュの恐れ

Apache NuttX Vulnerability Let Attackers to Crash Systems

2026/01/01 CyberSecurityNews — Apache NuttX RTOS で発見された、解放後メモリ使用 (use-after-free) の脆弱性を悪用する攻撃者は、意図しないファイルシステム操作やシステム・クラッシュを引き起こす可能性がある。2025年12月31日に公開された脆弱性 CVE-2025-48769 は、深刻度 Medium と評価されている。Apache NuttX の広範なバージョンが影響を受けるため、ネットワークに公開されたサービスを実行しているユーザーに対して、緊急のセキュリティ警告が発せられている。

Apache StreamPipes の脆弱性 CVE-2025-47411 が FIX：管理者権限が奪取される恐れ

Critical Apache StreamPipes Vulnerability Let Attackers Seize Admin Control

2025/12/31 CyberSecurityNews — Apache StreamPipes に発見された深刻な権限昇格の脆弱性 CVE-2025-47411 に対して、セキュリティ・パッチが提供された。この脆弱性の悪用に成功した権限のないユーザーが、データ・ストリーミング・プラットフォームでの管理者権限を奪取する恐れがある。この脆弱性は、ユーザー ID 作成メカニズムの欠陥に起因し、正当な非管理者アカウントの所有者が JWT トークン操作を悪用できる。そのため、脆弱性 CVE-2025-47411 の深刻度は Important と評価されている。この脆弱性が影響を及ぼす範囲は、バージョン 0.69.0〜0.97.0 である。

CISA KEV 警告 25/12/29：MongoDB の脆弱性 CVE-2025-14847 と登録

CISA Alerts on Active Exploitation of MongoDB Vulnerability CVE-2025-14847

2025/12/30 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、MongoDB Server の深刻な脆弱性 CVE-2025-14847 が、積極的に悪用されている状況について警告を発した。この脆弱性 MongoBleed は、2025年12月29日に CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。それが示唆するのは、現実世界の攻撃で、脅威アクターたちが脆弱性 CVE-2025-14847 を継続的に標的としている実態である。

IBM API Connect の脆弱性 CVE-2025-13915 が FIX：認証の欠如による不正アクセスの恐れ

Critical IBM API Connect Flaw Allows Attackers to Bypass Authentication

2025/12/30 gbhackers — IBM が公開したのは、API Connect プラットフォームに影響を及ぼす、深刻な認証バイパスの脆弱性の情報である。この脆弱性 CVE-2025-13915 (CVSS：9.8) は、ユーザーによる操作や特別な権限を必要とせずに悪用が可能な、認証欠如 (CWE-305) の欠陥に起因する。この脆弱性が影響を及ぼす範囲は、IBM API Connect バージョン 10.0.8.0～10.0.8.5 および 10.0.11.0 である。

SmarterMail の脆弱性 CVE-2025-52691 が FIX：ファイル・アップロード機能を介した RCE

Critical SmarterMail Flaw Allows Attackers to Execute Remote Code

2025/12/30 gbhackers — 広く利用されている SmarterMail ソフトウェアに存在する深刻な脆弱性について、SmarterTools が緊急のセキュリティ・アドバイザリを公開した。この脆弱性 CVE-2025-52691 (CVSS v3.1：10.0) を悪用する未認証の攻撃者は、影響を受けるメール・サーバを完全に制御下に置く可能性がある。この脆弱性が影響を及ぼす範囲は、SmarterMail のバージョン Build 9406 以下である。

MongoBleed Detector というツール：MongoDB の脆弱性 CVE-2025-14847 を効果的に検出

MongoBleed Detector Launched to Identify Critical MongoDB Flaw (CVE-2025-14847)

2025/12/29 gbhackers — MongoDB の複数バージョンに影響を及ぼす、深刻なメモリ漏洩の脆弱性 CVE-2025-14847 (MongoBleed) が悪用されている。このエクスプロイト試行を特定するためのオープンソースの検出ツールが、セキュリティ研究者によりリリースされた。Neo23x0 が開発した MongoBleed Detector は、オフライン分析機能を提供する。したがって、それを利用するインシデント対応者は、ネットワーク接続や追加エージェントを必要とせずに、MongoDB ログを解析し、悪用の痕跡を検出できる。

MongoDB の脆弱性 CVE-2025-14847：インターネットに公開される 87,000+ 件のインスタンスに危機

87,000+ MongoDB Instances Vulnerable to MongoBleed Flaw Exposed Online – PoC Exploit Released

2025/12/28 CyberSecurityNews — MongoDB Server の高深刻度の脆弱性を悪用する未認証のリモート攻撃者は、データベース・メモリから機密データを抜き出す可能性がある。この脆弱性 CVE-2025-14847 (CVSS：7.5) は、悪名高い Heartbleed バグとの類似性から MongoBleed と呼ばれている。この脆弱性は、MongoDB Server が zlib メッセージを解凍する際の実装に起因する。

TeamViewer DEX for Windows の脆弱性 CVE-2025-44016 が FIX：コード実行などの可能性

TeamViewer DEX Vulnerabilities Let Attackers Trigger DoS Attack and Expose Sensitive Data

2025/12/27 CyberSecurityNews — TeamViewer DEX Client の Content Distribution Service (NomadBranch.exe) に存在する、複数の深刻な脆弱性が明らかになった。この脆弱性は、不適切な入力検証(CWE-20)に起因し、Windows バージョン 25.11 以下および一部の旧ブランチに影響を及ぼす。この脆弱性の悪用に成功したローカル・ネットワーク上の攻撃者は、コード実行／サービス・クラッシュ／機密データ漏洩などを引き起こす恐れがある。

LangChain Core の深刻な脆弱性 CVE-2025-68664／68665 が FIX：従来型のセキュリティ侵害と AI との融合

Critical LangChain Core Vulnerability Exposes Secrets via Serialization Injection

2025/12/26 TheHackerNews — LangChain Core に深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2025-68664 を悪用する攻撃者は、機密情報の窃取とプロンプト・インジェクションにより、LLM のレスポンスを操作する可能性がある。LangChain Core (langchain-core) は、LangChain エコシステムを構成するコア Python パッケージである。LLM を活用したアプリケーションを構築するための、コア・インターフェイスとモデル非依存の抽象化機能を提供している。

LLM による脆弱性スコアリング支援：テキストからシグナルを読み取る能力を６モデルでテスト

LLMs can assist with vulnerability scoring, but context still matters

2025/12/26 HelpNetSecurity — 新たな脆弱性が明らかになるたびに、すでに大きな負担を抱えているセキュリティ・チームに対して、新たな意思決定のタイミングが訪れる。最近の研究で検討されているのは、広範な脆弱性スコアリングの領域を LLM が担うことで、こうした負担の一部を軽減できるかという試みである。その結果として、特定の領域では有望性が示された一方で、一貫性に欠ける課題が残り、完全な自動スコアリングが依然として阻まれているという。