ニュース 本日更新
Oracle CSPU 2026年5月、月次化初回でCVSS 10.0含む35件公開
セキュリティインフラ海外企業
Oracleが2026年5月28日、四半期CPUを月次CSPUへ移行。第1回で35件のパッチを公開し、Oracle REST Data Services (ORDS) にCVSS 10.0のRCE (CVE-2026-46840)、E-Business Suiteに12件、Database 3件、Hospitality OPERA 5 1件。背景にはCl0pによるEBSゼロデイ攻撃。
2026.05.2911 min0 views
ニュース 本日更新
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.299 min0 views
ニュース 本日更新
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.299 min5 views
ニュース 本日更新
WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762
開発セキュリティ
TinyMCEに保存型XSSが4本同時公開(CVE-2026-47759〜47762、いずれもCVSS 8.7)。data-mce-*属性・ネストSVG・mediaプラグイン・mce:protectedコメントの4経路で編集権限ユーザーから管理者セッション奪取が可能、修正版8.5.1/7.9.3/5.11.1へ即更新を。
2026.05.298 min7 views
ニュース 本日更新
「国会議員マップ」とは、建設職人がClaude活用で個人開発した政治可視化サイト
開発AI
建設会社経営の中島真之助氏がClaude 4.5 Haikuと国会会議録APIを組み合わせて個人開発した「国会議員マップ」が2026年5月27日にバズ、26分のサーバーダウンを経てXフォロワー2.1万人に到達。郵便番号で選挙区議員の発言・採決が見える仕組みと、個人×生成AIの新しい開発スタックを解説する。
2026.05.297 min6 views
ニュース 本日更新
Sambaに認証なしRCE CVE-2026-4408、check password scriptの%uでコマンド注入、4.24.3へ即更新を
インフラLinuxセキュリティ
Sambaのファイルサーバ・クラシックドメインコントローラに認証なしRCEの脆弱性CVE-2026-4408(CVSS 9.0)。check password scriptの%u置換でシェルメタ文字がエスケープされず、SAMR経由でroot権限の任意コマンド実行が成立。Samba 4.22.10/4.23.8/4.24.3で修正。
2026.05.288 min12 views
ニュース 本日更新
SharePointの期限は明日、Ciscoは認証不要で乗っ取り可能―2つの緊急CVEまとめ
セキュリティ
CISAが緊急追加したSharePoint(CVE-2026-20963)とCisco FMC(CVE-2026-20131)の脆弱性。ランサムウェアが36日間ゼロデイ悪用していた。日本企業が今すぐ確認すべき2つのCVE。
2026.03.205 min28 views
ニュース 本日更新
【緊急】SGLangに脆弱性4件、悪意あるAIモデルでサーバ乗っ取りの恐れ
インフラAIセキュリティ
AI推論サーバSGLangに重大脆弱性4件。CVSS9.8で認証不要、悪意あるGGUFモデルファイルや特定APIエンドポイント経由でサーバを乗っ取られる恐れ。3件は2026年5月26日時点で未パッチ。JVNが注意喚起。
2026.05.269 min19 views
ニュース 本日更新
NGINX Rift CVE-2026-42945:影響範囲・確認手順・暫定回避策
インフラセキュリティ
NGINXのrewriteモジュールに18年間検出されなかった重大脆弱性CVE-2026-42945(NGINX Rift/CVSS 9.2)が公開。認証不要のリモートコード実行が可能で、PoCも公開済み。影響対象・確認コマンド・パッチ手順・暫定回避策をまとめます。
2026.05.159 min183 views
ニュース 本日更新
cPanel用LiteSpeedプラグインに最悪脆弱性、攻撃中。サーバ丸ごと乗っ取り(CVE-2026-48172)
海外企業インフラセキュリティ
CVSS最大値10.0のLiteSpeed cPanelプラグイン脆弱性CVE-2026-48172が攻撃中。レンタルサーバー業者の管理者が即パッチ必須で、契約者側にも乗っ取りリスクが波及。
2026.05.277 min21 views
ニュース 本日更新
Linuxの『古い配管』、3週間で3度目の同時破裂。サーバー乗っ取り連鎖
インフラセキュリティLinux
Linuxカーネルの新たな権限昇格脆弱性『Fragnesia』(CVE-2026-46300)が5月13日に公開。Copy Fail・Dirty Fragに続き3週間で3度目のroot奪取バグ。XFRM ESP系の古い設計が一斉に剥がれ始めた構造を、運用者向け5層遮断フレームで解説。
2026.05.1412 min168 views
ニュース 本日更新
Linuxの『古い配管』が破裂し始めた起点 ― Copy Fail(CVE-2026-31431)の全貌
セキュリティインフラLinux
Linuxカーネルの新たな深刻脆弱性『Copy Fail』(CVE-2026-31431)が公開。732バイトのコードで全主要ディストロの管理者権限を奪える。CISAの修正期限は5月15日。今日できる多層防御フレームを解説。
2026.05.1215 min84 views
