ニュース 6日前更新
富士通系サーバ管理ソフトServerViewに権限奪取の脆弱性 CVE-2026-27788
インフラ国内企業セキュリティ
富士通系のエフサステクノロジーズが提供するサーバ管理ソフトServerView Agents for Windowsに、権限昇格の脆弱性が2件(CVE-2026-27788/CVE-2026-32325、いずれもCVSS8.5)見つかりました。対象はV11.60.04以前で、サーバにログインできる者が最高権限を奪取できます。
2026.06.017 min330 views
ニュース 6日前更新
ログイン基盤Casdoorに認証回避の穴9件 CVE-2026-9090ほか修正版なし
プライバシーセキュリティ
米CERT/CCが2026年5月28日、オープンソースのログイン基盤Casdoorに認証回避とアカウント乗っ取りにつながる脆弱性を9件まとめて公開しました。対象は2.362.0以前で、修正版はまだ出ていません。
2026.06.018 min20 views
ニュース 7日前更新
採用管理ソフトOpenCATSに脆弱性、求職者データ流出の恐れ CVE-2026-49489
プライバシーセキュリティ
人材会社が使う採用管理ソフトOpenCATS(0.9.7.4以前)に脆弱性CVE-2026-49489(CVSS 8.5)。ログインできれば誰でも求職者データを抜ける状態で、実証コードも公開済み。修正版は未公開。
2026.05.316 min4 views
ニュース
Palo AltoのVPNに認証回避の穴 CVE-2026-0257、攻撃発生中で即更新を
インフラセキュリティ
企業向けVPN『Palo Alto GlobalProtect』に、正規のID不要で社内ネットに接続できる認証回避の脆弱性CVE-2026-0257。証明書の使い回しを突いて接続用Cookieを偽造される仕組みで、すでに実際の攻撃を観測。CISAがKEVに登録し米政府は6月1日まで修正を命令。PAN-OS 10.2/11.1/11.2/12.1系が対象で、影響範囲と修正版、確認すべき侵害痕跡を一覧で整理。
2026.05.309 min39 views
ニュース
Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
開発セキュリティ
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
2026.05.299 min5 views
ニュース
ACF Extendedに4か月で2回目の管理者作成、CVE-2026-8809、0.9.2.6で修正
セキュリティ開発
WordPressプラグイン「Advanced Custom Fields: Extended」に認証不要で管理者ユーザーを作成できるCVE-2026-8809(CVSS 9.8)。0.9.2.5以前が影響、修正は0.9.2.6。100,000サイト影響、ACFEで4か月以内に2回目の同型バグ。公式changelogには「CSS微調整」とだけ記載のサイレント修正。
2026.05.299 min10 views
ニュース 6日前更新
Oracleに最悪級の乗っ取り欠陥 CVE-2026-46840、月次パッチ初回で35件公開
セキュリティインフラ海外企業
Oracleが2026年5月28日、最悪レベルの脆弱性CVE-2026-46840を含む35件のパッチを公開しました。認証なしでシステムを丸ごと乗っ取られる恐れがあり、業務システムをAPI化するORDSが直撃。人事・経理を支えるE-Business Suiteにも12件。ORDS利用者は今すぐ更新を。
2026.05.2911 min28 views
ニュース
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.299 min10 views
ニュース
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.299 min17 views
ニュース
WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762
開発セキュリティ
TinyMCEに保存型XSSが4本同時公開(CVE-2026-47759〜47762、いずれもCVSS 8.7)。data-mce-*属性・ネストSVG・mediaプラグイン・mce:protectedコメントの4経路で編集権限ユーザーから管理者セッション奪取が可能、修正版8.5.1/7.9.3/5.11.1へ即更新を。
2026.05.298 min25 views
ニュース
「国会議員マップ」とは、建設職人がClaude活用で個人開発した政治可視化サイト
開発AI
建設会社経営の中島真之助氏がClaude 4.5 Haikuと国会会議録APIを組み合わせて個人開発した「国会議員マップ」が2026年5月27日にバズ、26分のサーバーダウンを経てXフォロワー2.1万人に到達。郵便番号で選挙区議員の発言・採決が見える仕組みと、個人×生成AIの新しい開発スタックを解説する。
2026.05.297 min11 views
ニュース
Sambaに認証なしRCE CVE-2026-4408、check password scriptの%uでコマンド注入、4.24.3へ即更新を
インフラLinuxセキュリティ
Sambaのファイルサーバ・クラシックドメインコントローラに認証なしRCEの脆弱性CVE-2026-4408(CVSS 9.0)。check password scriptの%u置換でシェルメタ文字がエスケープされず、SAMR経由でroot権限の任意コマンド実行が成立。Samba 4.22.10/4.23.8/4.24.3で修正。
2026.05.288 min159 views
