ニュース
Oracleに最悪級の乗っ取り欠陥 CVE-2026-46840、月次パッチ初回で35件公開
セキュリティインフラ海外企業
Oracleが2026年5月28日、最悪レベルの脆弱性CVE-2026-46840を含む35件のパッチを公開しました。認証なしでシステムを丸ごと乗っ取られる恐れがあり、業務システムをAPI化するORDSが直撃。人事・経理を支えるE-Business Suiteにも12件。ORDS利用者は今すぐ更新を。
2026.05.2911 min80 views
ニュース
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.299 min22 views
ニュース
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.299 min24 views
ニュース
WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762
開発セキュリティ
TinyMCEに保存型XSSが4本同時公開(CVE-2026-47759〜47762、いずれもCVSS 8.7)。data-mce-*属性・ネストSVG・mediaプラグイン・mce:protectedコメントの4経路で編集権限ユーザーから管理者セッション奪取が可能、修正版8.5.1/7.9.3/5.11.1へ即更新を。
2026.05.298 min34 views
ニュース
Sambaに認証なしRCE CVE-2026-4408、check password scriptの%uでコマンド注入、4.24.3へ即更新を
インフラLinuxセキュリティ
Sambaのファイルサーバ・クラシックドメインコントローラに認証なしRCEの脆弱性CVE-2026-4408(CVSS 9.0)。check password scriptの%u置換でシェルメタ文字がエスケープされず、SAMR経由でroot権限の任意コマンド実行が成立。Samba 4.22.10/4.23.8/4.24.3で修正。
2026.05.288 min197 views
ニュース
Jupyter Serverに偽サイト誘導の脆弱性 CVE-2025-61669、2.18.0へ更新を
AIセキュリティ開発
研究者・データ分析者が使う『Jupyter Server』2.17.0以下に偽サイト誘導の脆弱性 CVE-2025-61669(CVSS 6.1)。ログイン画面のURL細工で外部の偽サイトへ飛ばされ、フィッシングの踏み台にされます。JupyterLab・Notebook 7も内部のJupyter Server経由で影響。修正版2.18.0へ更新を。
2026.05.286 min38 views
ニュース
Goobi viewerに認証なし脆弱性 CVE-2026-45083、デジタルアーカイブが危機
セキュリティ開発インフラ
図書館・博物館のデジタルアーカイブ閲覧プラットフォーム『Goobi viewer』v4.8.0以上・v26.04.1未満に認証なしの致命的脆弱性 CVE-2026-45083(CVSS 9.8)。REST endpoint経由でSolr streaming expressionが任意送信可能、文化資料データの読取・改竄・削除まで届く。v26.04.1で修正。
2026.05.286 min23 views
ニュース
Pi.Alertに2件の認証なしRCE CVE-2026-44887/44888、家庭ネット監視が危機
セキュリティインフラLinux
家庭・SOHO向けネットワーク監視ツール『Pi.Alert』に2件の認証なしRCE(CVE-2026-44887/44888、CVSS 9.8×2)。Web保護がデフォルト無効、攻撃者がpialert.confへPython注入、スキャンデーモンがexec()で実行。2026-05-07で修正。
2026.05.286 min17 views
ニュース
Gladinet Triofoxに3件の重大脆弱性 CVE-2026-8362/8363/8364、企業ファイル共有が危機
インフラ海外企業セキュリティ
Tenable Researchが2026年5月27日、企業向けクラウドファイル共有Gladinet Triofoxに3件の重大脆弱性CVE-2026-8362/8363/8364(CVSS 9.8×3、すべて認証不要RCE)を開示。Triofox v17.1.10488.57063以下が影響、v17.3.10565.57509以降で修正。
2026.05.287 min15 views
ニュース
Budibaseに5件の重大脆弱性 CVE-2026-46425他、v3.39.0へ即更新を
セキュリティ開発AI
OSSローコード基盤『Budibase』v3.38.0以下に5件の重大脆弱性が同時開示(CVE-2026-46425/48150/45716/45717/48153、CVSS 9.9〜8.5)。SCIM認可欠落・グローバル管理者権限昇格・SSRF等、いずれもv3.39.0で修正済。
2026.05.288 min32 views
ニュース
XSSスキャナーDalfoxに認証なしRCE CVE-2026-45087、v2.13.0へ即更新を
セキュリティ開発
XSSスキャナーDalfoxのREST APIモードに認証なし遠隔コード実行 CVE-2026-45087(CVSS 10.0)。v2.12.0以下が影響、デフォルト0.0.0.0:6664でリッスン、JSON経由で任意コマンド実行。v2.13.0で修正。
2026.05.286 min20 views
ニュース
free5GCに5件の重大認証バイパス CVE-2026-44315他、v4.2.2へ即更新を
開発セキュリティインフラ
5Gコアネットワーク実装『free5GC』v4.2.1以下にOAuth2認可欠落の致命5件(CVE-2026-44315/26/27/29/30、CVSS 10.0×3)。NEFとSMFのAPI群が認証不要で操作される。v4.2.2で修正。
2026.05.288 min10 views
