ニュース
Markdown Preview Enhancedに脆弱性 CVE-2026-49492ほか、0.8.30へ更新を
開発セキュリティ
約950万インストールの人気VS Code拡張Markdown Preview Enhancedに、悪意あるMarkdownファイルを開いてプレビューするだけでパソコンを乗っ取られる脆弱性が3件見つかりました。CVE-2026-49492/49493/50733でCVSSは各8.8。図や数式を描く処理が文章をコードとして実行する欠陥で、3件は0.8.28で修正、その後0.8.29・0.8.30でも別の弱点が修正されました。対象バージョンと最新版への更新手順をまとめます。
2026.06.06108 views
ニュース
SolarWinds Serv-Uに外部からサービス停止の脆弱性 CVE-2026-28318、悪用確認で即更新を
セキュリティインフラ
企業のファイル転送サーバーSolarWinds Serv-Uに、認証なしで細工した通信を送るだけでサービスを停止させられる脆弱性が見つかりました。CVE-2026-28318でCVSSは7.5。米CISAが2026年6月5日に実際に悪用されているとしてKEVに登録し、連邦機関に6月19日までの対処を命じました。対象バージョンと修正版15.5.4-hotfix-1、いますべきことをまとめます。
2026.06.0622 views
ニュース
7-Zip(圧縮解凍ソフト)に乗っ取りの脆弱性、26.01へ更新を CVE-2026-48095
セキュリティ開発
定番の圧縮・解凍ソフト「7-Zip」に、ファイルを開くだけでパソコンを乗っ取られる脆弱性CVE-2026-48095が見つかりました。自分の7-Zipが危ないかは「ヘルプ→バージョン情報」で確認でき、26.00以前なら対象です。zip偽装でも発火し自動更新もないため、26.01へ手動更新を。
2026.06.0616 views
ニュース
Tapo D100C・L535E・P300に通信傍受の脆弱性 CVE-2026-34126、初期設定時に更新を
プライバシーセキュリティ
TP-Linkのスマート家電Tapoの見守りチャイム「D100C」、電球「L535E」、電源タップ「P300」で、初期設定時のBluetooth通信が暗号化されず、近くの第三者に通信を盗み見られたり機器を乗っ取られる恐れが見つかりました(CVE-2026-34126)。修正版ファームウェアが公開済みで、対象機種の確認・更新方法と、設定済みの場合の対処をまとめます。
2026.06.0521 views
ニュース
ラベル印刷ソフトBarTenderに乗っ取りの脆弱性 CVE-2026-25550
インフラセキュリティ
工場や倉庫、物流でラベルやバーコードの印刷に広く使われるソフトBarTenderの古い世代(2010・2016・2019)に、深刻度9.8の脆弱性CVE-2026-25550が見つかりました。ログインなしで遠隔からパソコンを乗っ取られ、最も強い権限でプログラムを実行される恐れがあります。最新版への移行と通信遮断を。
2026.06.0523 views
ニュース
Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を
インフラセキュリティ開発
動画・写真サーバーPlexの視聴状況を見張る人気ツールTautulliに、深刻度9.9を含む5件の脆弱性が見つかりました。ログインなしでも悪用できる経路があり、組み合わせると管理画面の乗っ取りやサーバー上でのプログラム実行につながります。最新版v2.17.1への更新を。
2026.06.0520 views
ニュース
OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可
開発セキュリティインフラ
自前クラウド基盤OpenStackのワークフロー機能Mistralに、深刻度9.9の脆弱性CVE-2026-41283。ログイン済みの利用者なら誰でも任意コードを実行でき、クラウド全体の認証情報を盗まれる恐れがあります。修正版への更新を。
2026.06.0431 views
ニュース
Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を
セキュリティ開発インフラ
世界中のネット通販で使われるMagento向け拡張機能に、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-45247(深刻度9.8)が見つかりました。すでに実際の攻撃が始まっており、買い物客のクレジットカード情報が盗まれる恐れがあります。対象店舗は修正版1.11.12への即更新が必要です。
2026.06.0441 views
ニュース
Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用
インフラ開発セキュリティ
多くのJava製ネットワークアプリの土台で動くApache MINAに、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-47065(CVSS9.8)が見つかりました。過去の修正をすり抜ける3度目の穴で、対象は2.2.8・2.1.13・2.0.29への即更新が必要です。
2026.06.0323 views
ニュース
社内ログイン基盤authentikに脆弱性、空送信で突破 CVE-2026-49448ほか4件
海外企業インフラセキュリティ
社内のシングルサインオンに広く使われる認証基盤authentikに、深刻な脆弱性が4件見つかりました。最も危ないものは、ログインしていない第三者が空のデータを送るだけで認証ステップを飛ばし、なりすましでログインできてしまう欠陥(CVE-2026-49448・CVSS 9.8)です。対象バージョンと、いますぐ上げるべき修正版、確認手順をまとめました。
2026.06.0323 views
ニュース
Linuxのコンテナ脱出脆弱性CVE-2022-0492が悪用中、CISAが修正を指示
インフラセキュリティLinux
Linuxのcgroups v1にあるCVE-2022-0492が実際の攻撃に悪用され、CISAがKEVに追加。release_agentの権限確認欠落でコンテナから脱出・権限昇格が可能です。悪用には特権コンテナ等の条件が必要。カーネル5.17以降への更新と堅牢化を整理します。
2026.06.0336 views
ニュース
AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
開発AIセキュリティ
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
2026.06.0328 views
