ニュース 2日前更新
分散型SNS Mastodonにサーバーを踏み台にされる脆弱性、クラウドの鍵が盗まれる恐れ、CVE-2026-47389、修正版へ更新を
インフラセキュリティ
分散型SNS『Mastodon』のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性が見つかりました。CVE-2026-47389、深刻度はCVSS8.6。攻撃者がDNSを細工するだけで、サーバー内部やクラウドの管理情報(鍵)に到達され、認証情報を盗まれる恐れがあります。4.5.9以前・4.4.16以前・4.3.22以前が対象で、運営者は4.5.10/4.4.17/4.3.23へ更新を。
2026.06.2510 views
ニュース 2日前更新
自宅メディアサーバーJellyfinに脆弱性2件、ファイル書き換えの恐れ、CVE-2026-48793ほかv10.11.10へ更新を
セキュリティインフラ
自宅サーバーで映画や音楽を配信できる人気ソフト『Jellyfin』に、攻撃者がサーバー上の本来書き込めない場所へファイルを書き込める脆弱性が2件見つかりました。CVE-2026-48793とCVE-2026-49247、深刻度はいずれもCVSS8.8。管理者権限は不要で、複数人で共有していたり外部に公開していたりするサーバーほど危険です。10.11.10より前が対象で、10.11.10へ更新を。
2026.06.254 views
ニュース 2日前更新
ブログ作成ツールGhostにキャッシュ汚染で乗っ取りの脆弱性、CVE-2026-53943、v6.37.0へ更新を
セキュリティ開発
ブログやニュースレターを配信できる人気ツール『Ghost』に、サイトの表示を外部から汚染して運営者のアカウントを乗っ取られかねない脆弱性が見つかりました。CVE-2026-53943、深刻度はCVSS9.6。認証なしで特定のヘッダーを送ると、汚染された表示が他の閲覧者にも配られ、公開サイトと管理画面が同じドメインだとスタッフ乗っ取りに至る恐れがあります。4.0.0〜6.36系が対象で、6.37.0へ更新を。
2026.06.256 views
ニュース 2日前更新
クラウド保存ツールRcloneに認証なしで遠隔操作される脆弱性、CVE-2026-49980、v1.74.3へ更新を
セキュリティインフラ
クラウドにファイルを保存・同期する定番ツール『Rclone』に、認証なしで遠隔から悪用できる脆弱性が見つかりました。CVE-2026-49980、深刻度は最高クラスのCVSS9.8。リモート操作機能(rcd)をネットワークに開いていると、細工した通信を一度送るだけで、Rcloneが動くマシン上で任意のコマンドを実行される恐れがあります。1.46.0〜1.74.2が対象で、1.74.3へ更新を。
2026.06.257 views
ニュース 2日前更新
AIエージェント搭載ターミナルWarpに脆弱性4件、開いただけでコマンド実行の恐れ、CVE-2026-48704ほか最新版へ更新を
セキュリティ開発
AIエージェントを搭載した開発者向けターミナル『Warp』に、脆弱性が4件見つかりました。CVE-2026-48704ほか、深刻度はいずれもCVSS8.6〜8.8。細工した文書を開いたり、画面の出力を受け取ったり、悪意あるリポジトリでAIに作業させたりするだけで、手元のパソコンで勝手にプログラムを実行される恐れがあります。最新版への更新が必要です。
2026.06.2514 views
ニュース 2日前更新
AIの学習データ基盤Feastに認証なしでサーバー乗っ取りの脆弱性、CVE-2026-56121、v0.63.0へ更新を
セキュリティAI
AIや機械学習の開発でデータを管理する基盤『Feast』に、認証なしでサーバーを乗っ取られる脆弱性が見つかりました。CVE-2026-56121、深刻度は最高クラスのCVSS9.8。バージョン0.63.0より前が対象で、外部から細工した通信を一度送るだけで、Feastを動かすサーバー上で任意のプログラムを実行される恐れがあります。すぐに0.63.0へ更新してください。
2026.06.2510 views
ニュース 2日前更新
スマホアプリ即時更新サービスCapgoに脆弱性多数、アカウント乗っ取りの恐れ、CVE-2026-56237、v12.128.2へ更新を
開発セキュリティ
スマホアプリの中身を審査なしで即時更新できるサービス『Capgo』に、認証の不備による脆弱性が多数見つかりました。CVE-2026-56237ほか、最も重い深刻度はCVSS9.1。他人のアカウントや組織を乗っ取り、アプリに配るプログラム更新を不正に操作される恐れがあります。バージョン12.128.1以前が対象で、修正版12.128.2以降への更新が必要です。
2026.06.2410 views
ニュース 2日前更新
WordPress『Ultimate Member』に管理者乗っ取りの脆弱性、CVE-2026-7761、最新版2.12.0へ更新を
セキュリティ開発
世界20万サイト以上が使う会員制サイト構築プラグイン『Ultimate Member』に、投稿者権限の利用者が管理者を乗っ取れる脆弱性が見つかりました。CVE-2026-7761、深刻度はCVSS8.8。バージョン2.11.4以前が対象で、最新の2.12.0への更新が必要です。パスワード再設定用リンクを盗まれ、サイトを丸ごと奪われる恐れがあります。
2026.06.2411 views
ニュース 2日前更新
GeoVision防犯機器に乗っ取りの脆弱性8件、CVE-2026-12485ほか、修正版v2.12へ更新を
インフラセキュリティ
防犯カメラと連動して警報や電気錠を制御するGeoVision製機器「GV-I/O Box 4E」に、パスワードなしで遠隔から乗っ取られる脆弱性が8件見つかりました。最大の深刻度はCVSS10.0。古いバージョン2.09が対象で、修正版2.12への更新が必要です。放置すると機器が攻撃の踏み台やネットワーク侵入の起点にされる恐れがあります。
2026.06.247 views
ニュース 2日前更新
Style Dictionaryにビルド汚染の脆弱性 CVE-2026-54639、5.4.4へ更新を
セキュリティ開発
デザインの色や余白を一括管理する開発ツール『Style Dictionary』に、危険度8.8の脆弱性CVE-2026-54639。細工したデザイントークンを読み込ませると、アプリ共通の土台が書き換わり、ビルド汚染やサービス停止に連鎖する恐れがあります。対象は4.3.0〜5.4.3。修正版5.4.4への更新方法と、本当に注意すべき人を解説します。
2026.06.245 views
ニュース 2日前更新
マネーフォワード6.3万人分の情報流出、原因はGitHubに置いた個人情報
国内企業セキュリティ
家計簿・会計ソフトで知られるマネーフォワードで、最大6万2901人分の個人情報が流出した可能性があります。原因はソフトの欠陥ではなく、開発で使うGitHubに認証情報の漏洩で侵入され、個人情報を含むファイルが誤って置かれていたこと。本番DBは無事でした。何が漏れ、なぜ起き、私たちは何を学べるかを、続報も追って整理します。
2026.06.2419 views
ニュース 3日前更新
Sakana AIの新AI「Fugu」とは、複数のAIを束ねる日本の実力
国内企業AI開発
日本のAI企業Sakana AIが、複数のAIを自動で束ねて使い分ける新サービス「Fugu」と上位版「Fugu Ultra」を公開しました。ClaudeやChatGPTといった海外の最先端AIに匹敵する性能をうたい、しかも特定国の輸出規制で止まる心配が少ないのが特徴です。Sakana AIとは何か、他のAIと何が違うのかを、専門知識ゼロでもわかるよう整理します。
2026.06.2314 views
