ニュース 本日更新
開発ツールmiseに脆弱性 CVE-2026-33646ほか、入るだけでコマンド実行
開発セキュリティ
世界中の開発者が使う環境管理ツールmiseに深刻な脆弱性が2件見つかりました。悪意あるプロジェクトのフォルダに入る、またはコマンドをタブ補完するだけで、攻撃者のコマンドがパソコン上で実行され、鍵や認証情報を奪われる恐れがあります。CVE-2026-33646ほか、修正版2026.6.4へ即更新を。
2026.06.270 views
ニュース 本日更新
広告配信ソフト『Revive Adserver』に乗っ取りの脆弱性 CVE-2026-50741、6.0.8へ更新を
セキュリティ開発
自前のサーバーで広告を配信するオープンソースソフト『Revive Adserver』に、サーバーを乗っ取られる脆弱性CVE-2026-50741(CVSS 8.8)が見つかりました。権限の低いログインアカウントから任意のプログラムを実行でき、6月に直したCVE-2026-34916の修正を回避する再発です。typeパラメータとox.setChannelTargeting XML-RPCの2経路で悪用可能。6.0.7以前が対象で、修正版6.0.8への更新が必要です。
2026.06.268 views
ニュース 本日更新
製造業の設計データ管理ソフトに最悪の脆弱性、至急更新を CVE-2026-12569
セキュリティインフラ
自動車や電機など製造業が設計データの管理に使う『PTC Windchill / FlexPLM』に、認証なしで遠隔からシステムを乗っ取れる最悪級の脆弱性が見つかりました。ドイツ当局は管理者へ深夜に警告し、攻撃はすでに進行中とされます。米政府は6月28日までの対応を要請。修正版の適用が必要です。
2026.06.2641 views
ニュース 昨日更新
シスコの電話システムに脆弱性、悪用が始まり至急更新を CVE-2026-20230
インフラセキュリティ
多くの企業が社内の電話システムに使うCisco Unified Communications Managerに、認証なしで侵入できる脆弱性が見つかり、すでに実際の攻撃が始まっています。最悪の場合サーバーを乗っ取られ最高権限を奪われる恐れがあり、米政府は6月28日までの対応を求めています。修正版の適用が必要です。
2026.06.269 views
ニュース 昨日更新
pnpmに乗っ取り級の脆弱性2件、利用者は最新版へ更新を CVE-2026-55698
開発セキュリティ
JavaScript開発で広く使われるパッケージ管理ツール『pnpm』に、危険度の高い脆弱性が2件見つかりました。悪意あるパッケージやリポジトリを取り込むだけで、開発者のパソコンが乗っ取られ任意のコードを実行される恐れがあります。修正版は公開済みで、10系は10.34.2、11系は11.5.3以上への更新が必要です。
2026.06.2612 views
ニュース 昨日更新
東芝DynabookのPCに直せない脆弱性 CVE-2026-56129、ドライバ削除を
国内企業セキュリティ
東芝・Dynabookのパソコンに最初から入っているドライバーに脆弱性が見つかりました。管理者でない利用者でもパソコンの中身(メモリ)に不正にアクセスできる恐れがあり、CVE-2026-56129として2026年6月25日に公表。修正版は提供されず、対策は問題のドライバーを削除することです。自分の機種が対象かは公式情報での確認を。
2026.06.2518 views
ニュース 昨日更新
バックアップソフト『Quest NetVault』に脆弱性10件、認証回避でサーバー乗っ取りも、CVE-2026-9787ほか14.0.2へ更新を
インフラセキュリティ
企業向けバックアップソフトQuest NetVault Backupに、CVSS8.8の脆弱性が一度に10件見つかりました。認証を回り込んでサーバーを乗っ取り、最高権限でコマンドを実行されかねないものを含みます。2026年6月24日にZDIが公開。修正版は14.0.2。管理画面を外部公開しているサーバーは最優先で更新を。
2026.06.2510 views
ニュース 昨日更新
ローコード開発基盤Appsmithに通信の出入り口を乗っ取られる脆弱性、CVE-2026-55454、v2.1へ更新を
開発セキュリティ
社内向け業務アプリを短時間で作れる人気のローコード開発基盤『Appsmith』に、権限の低い利用者がサーバーの通信の出入り口(リバースプロキシ)を乗っ取れる脆弱性が見つかりました。CVE-2026-55454、深刻度はCVSS9.9。同梱プロキシの管理機能が認証なしで開いており、SSRFと組み合わせて設定を丸ごと書き換えられます。2.1より前が対象で、2.1へ更新を。
2026.06.257 views
ニュース 昨日更新
ネットワーク監視ツールCactiに認証なしでデータベースを抜かれる脆弱性、CVE-2026-39893、v1.2.31へ更新を
セキュリティインフラ
サーバーやネットワークの状態をグラフで監視する定番ツール『Cacti』に、認証なしでデータベースを操作されかねない脆弱性が見つかりました。CVE-2026-39893、深刻度は最高クラスのCVSS9.8。絞り込み用の値からのSQLインジェクションで、ゲスト閲覧を有効にした環境ではログインなしに悪用できます。1.2.30以前が対象で、1.2.31へ更新を。
2026.06.256 views
ニュース 昨日更新
社内チャット基盤Rocket.Chatに認証なしで乗っ取りの脆弱性3件、CVE-2026-45688ほか最新版へ更新を
開発セキュリティ
官公庁や企業で使われる社内チャット基盤『Rocket.Chat』に、認証なしで他人のアカウントを乗っ取られかねない脆弱性が3件見つかりました。最も深刻なCVE-2026-45688とCVE-2026-45689はCVSS9.1。ログインの窓口にデータベース用の記号を割り込ませて本人確認をすり抜け、アクセス権の窃取や管理者昇格に至る恐れがあります。各系統の最新版へ更新を。
2026.06.2512 views
ニュース 昨日更新
セルフホスト型Git『Gogs』に脆弱性6件、認証なしで乗っ取り可能、CVE-2026-52813ほかv0.14.3へ更新を
セキュリティ開発
自分のサーバーでソースコードを管理できる軽量なGitサービス『Gogs』に、脆弱性が6件見つかりました。最も深刻なCVE-2026-52813は認証なしでサーバーを乗っ取れるCVSS10.0。ほかにコード実行や管理者権限の奪取も含まれます。0.14.3より前が対象で、この1回の更新でまとめて修正されます。自分でGogsを運用しているなら今すぐ更新を。
2026.06.2511 views
ニュース 2日前更新
分散型SNS Mastodonにサーバーを踏み台にされる脆弱性、クラウドの鍵が盗まれる恐れ、CVE-2026-47389、修正版へ更新を
セキュリティインフラ
分散型SNS『Mastodon』のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性が見つかりました。CVE-2026-47389、深刻度はCVSS8.6。攻撃者がDNSを細工するだけで、サーバー内部やクラウドの管理情報(鍵)に到達され、認証情報を盗まれる恐れがあります。4.5.9以前・4.4.16以前・4.3.22以前が対象で、運営者は4.5.10/4.4.17/4.3.23へ更新を。
2026.06.2510 views
