ニュース 本日更新
Netty のDNS脆弱性3件、使ってないつもりでも通信を乗っ取られる CVE-2026-45674
インフラセキュリティ開発
Javaサーバーの裏側で広く使われる通信基盤「Netty」に、アプリの通信相手を攻撃者の偽サーバーへすり替えられるDNSの脆弱性が3件見つかりました。中心はCVE-2026-45674(危険度8.7)です。修正版は4.1.135.Final(新系列は4.2.15.Final)。検索やDB製品の内部で動く間接依存も多く、mvn dependency:treeでの確認と更新が必要です。
2026.06.1348 views
ニュース
vm2に乗っ取りの脆弱性8件、v3.11.4へ更新を CVE-2026-47131
開発AIセキュリティ
他人が書いたコードを安全に動かすNode.jsの定番部品「vm2」に、サーバーを乗っ取れる脆弱性が8件見つかりました。うち3件は危険度が最高の10.0です。修正版はvm2 3.11.4。ただしvm2は開発終了済みで、根本対策はisolated-vmなど別方式への移行です。npm ls vm2で依存を確認してください。
2026.06.1315 views
ニュース 3日前更新
MariaDBにサーバー乗っ取りの脆弱性 CVE-2026-49261(危険度10.0)、Galeraのwsrep_notify_cmdが対象・修正版へ更新を
インフラセキュリティ開発
定番データベースMariaDBに、危険度が最高値10.0の脆弱性CVE-2026-49261が見つかりました。複数台で同期する「Galeraクラスタ」構成で、通知機能wsrep_notify_cmdが有効な環境が対象で、ノード名経由でサーバーを乗っ取られる恐れがあります。1台だけの単独サーバーは非該当。Galera利用者は修正版(10.6.27/10.11.18/11.4.12/11.8.8/12.3.2)へ今すぐ更新が必要です。
2026.06.1249 views
ニュース
axiosに認証情報が盗まれる脆弱性、最新版へ今すぐ更新を CVE-2026-44494
インフラ開発セキュリティ
世界中のアプリが使うHTTP通信ライブラリ「axios」に、クラウドの認証情報が漏れるSSRF(CVE-2026-44492)と、通信を乗っ取る中間者攻撃につながるプロトタイプ汚染(CVE-2026-44494)の2件が見つかりました。修正版は1.16.0以上(旧系列は0.32.0)、最新は1.17.0です。間接依存で古い版が潜むことも多く、npm ls axios での確認と更新が必要です。
2026.06.1248 views
ニュース
GitLabにまた脆弱性14件、社内設置は19.1.1へ更新を CVE-2026-10086
インフラセキュリティ開発
GitLabが2026年6月24日、新たに14件の脆弱性をまとめて修正しました。開発者権限から他人の画面で不正な処理を走らせる穴や、AI機能から情報が漏れる穴を含みます。自社サーバーに置いて使う企業は最新版(19.1.1/19.0.3/18.11.6)へ今すぐ更新を。GitLab.com利用者は対応済みです。
2026.06.1160 views
ラボ
npm v12でnpm installが変わる、依存スクリプトの自動実行が止まる
セキュリティ開発
毎日叩く「npm install」の挙動がnpm v12(2026年7月予定)で変わり、依存パッケージのインストール時スクリプトが自動実行されなくなります。v11以前に何が起きていたかを実際に再現しつつ、変更点・気づかず受けていた恩恵・今やるべき準備を解説します。
2026.06.1188 views
ニュース
Oracleの人事給与システムPeopleSoftに緊急脆弱性、ログインなしでサーバー乗っ取りの恐れ CVE-2026-35273、定例外パッチを今すぐ
インフラ海外企業セキュリティ
Oracleが、大企業や大学・官公庁の人事給与システムPeopleSoftの脆弱性CVE-2026-35273(CVSS 9.8)に緊急パッチを公開。ログインなしでネットワーク越しにサーバーを乗っ取られ、全従業員・全学生の個人情報や給与・口座が一度に盗まれる恐れがある。四半期の定例を待たない異例の対応で、対象のPeopleTools 8.61・8.62は今すぐ適用を。
2026.06.11174 views
ニュース
三菱電機のエアコンや冷蔵庫など家電に脆弱性、同じWi-Fiの第三者から遠隔操作を止められる恐れ CVE-2025-49604、修正版へ更新を
モバイル国内企業セキュリティ
三菱電機が、Wi-Fi対応のエアコン・冷蔵庫・炊飯器・IHなど幅広い家電に脆弱性CVE-2025-49604を公表。同じWi-Fiにつないだ機器から細工した通信を送られると、家電のWi-Fiが一時的に止まり、スマホアプリからの遠隔操作ができなくなる恐れがある。情報漏えいや乗っ取りのリスクはないが、対象機種は修正版ファームへの更新を。
2026.06.1159 views
ニュース 5日前更新
広告ブロッカーPi-holeに脆弱性、同じネット上の第三者にパスワードなしで管理画面を乗っ取られる恐れ CVE-2026-44693、v6.6.1へ更新を
セキュリティインフラLinux
自宅・社内ネットで広く使われる広告ブロッカーPi-holeの中核エンジンFTLに脆弱性(CVE-2026-44693、CVSS 8.8)。同じネットワーク上の第三者が、管理者の操作中に大量アクセスを送るとセッションIDを盗み、パスワードなしで管理画面を乗っ取れる。DNSの書き換えや通信履歴の閲覧が可能に。影響はv6.0〜v6.6.0、v6.6.1以降へ今すぐ更新を。
2026.06.1131 views
ニュース
Linux起動ツールDracutに脆弱性、同じ回線につながれた偽の機器から乗っ取りの恐れ CVE-2026-6893、ネットワーク起動環境は要対策
セキュリティインフラLinux
多くのLinuxの起動の入口を担うツールDracutに脆弱性(CVE-2026-6893、CVSS 8.8)。同じネットワーク上の偽サーバーから、端末が起動した瞬間に管理者権限で乗っ取られる恐れ。守りが立ち上がる前の起動最初期が狙われる。対象はネットワーク起動(PXE等)の環境で、各ディストリの更新適用とネットワーク隔離を。
2026.06.1139 views
ニュース
監視ツールSplunkの脆弱性CVE-2026-20253に実際の攻撃、ログインなしでサーバー乗っ取り 緊急更新を
海外企業セキュリティインフラ
企業の監視・ログ基盤Splunkの深刻な脆弱性CVE-2026-20253(CVSS 9.8)が、実際の攻撃に悪用されていることが確認されました。米CISAは緊急の脆弱性カタログ(KEV)へ登録し対応を指示。ログインなしでサーバー上のファイルを破壊され、乗っ取りの足場にされる恐れがあります。Splunk Enterpriseは10.2.4/10.0.7以降へ今すぐ更新を。
2026.06.11175 views
ニュース
Red HatのVMware移行ツールに脆弱性6件、vCenterの管理者情報やKubernetes鍵が漏れる恐れ CVE-2026-53474ほか
セキュリティインフラ海外企業
VMware脱出の移行先候補Red Hat OpenShiftの無料診断ツール「OpenShift Migration Advisor」に深刻な脆弱性6件(CVE-2026-53469〜53476、最大CVSS 9.6)。SaaSのテナント分離崩壊で他社の構成情報・トークン窃取や全顧客データ削除、RVTools経由のSQLiでKubernetes鍵読み出し、社内エージェントの平文通信でvCenter管理者情報を傍受。エージェント更新と資格情報ローテーションを。
2026.06.1138 views