ニュース
TanStack→Nx Console連鎖攻撃 CVE-2026-45321/48027、npm 84版汚染がVS Code拡張へ
AI開発セキュリティ
2026年5月、npm『TanStack』42パッケージ84版が攻撃者に汚染(CVE-2026-45321)。流出したGitHub認証情報を使って5月18日にVS Code拡張『Nx Console』v18.95.0も悪意ある版で配信(CVE-2026-48027)。連鎖型サプライチェーン攻撃、両者ともCISA KEV登録済み。
2026.05.289 min38 views
ニュース
LibVNCに重大脆弱性 CVE-2026-44988、悪意あるVNCサーバに接続するだけでPC乗っ取り
Linuxセキュリティ開発
LibVNCClient v0.9.15以下にCVSS8.8の重大脆弱性CVE-2026-44988。悪意あるVNCサーバが特殊な画面更新パケットを送るだけで、接続したクライアントPCがメモリ書き換え・遠隔コード実行を受けるおそれ。Remmina・KRDC・ZoneMinder等が依存。修正版は未リリース。
2026.05.287 min26 views
ニュース
IBM Asperaに2件のBOF脆弱性 CVE-2026-8175/8179、放送・大企業のファイル転送基盤に即パッチを
セキュリティインフラ
IBMが2026年5月21日、放送局・メディア・金融大手で使われる超高速ファイル転送製品Aspera HSTS/HSTEに2件の重大脆弱性CVE-2026-8175(ヒープBOF、CVSS9.8)とCVE-2026-8179(スタックBOF、CVSS8.8)を開示。認証不要RCEの経路を含む。
2026.05.286 min24 views
ニュース
Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ
セキュリティAI開発
Langflow OSSにCVSS9.8の重大脆弱性CVE-2026-7524。IBMが2026年5月27日に開示。tar内のシンボリックリンクからJWT秘密鍵流出を経て遠隔コード実行まで連鎖する経路が確認された。v1.0.0〜v1.9.1が影響、v1.9.2以降への即更新を。
2026.05.287 min28 views
ラボ 昨日更新
CISA KEV 日本語ダッシュボード|攻撃中の脆弱性カタログを全件検索
インフラセキュリティ
米CISAが公開する『実際に攻撃に使われている脆弱性カタログ(KEV)』全1,603件を、日本語UIで検索・ベンダー絞込・国内シェアフィルタ・ランサム関連抽出で閲覧できる無料ダッシュボードです。ブラウザだけで完結、アカウント登録不要。各CVEはNVDと本サイト解説記事に深リンクします。
2026.05.277 min54 views
ラボ
【無料】OSS脆弱性スキャナー|npm/Pythonの依存を貼るだけ即チェック
セキュリティ開発
package.jsonやrequirements.txtを貼り付けるだけで、npmやPyPIの依存ライブラリにOSSサプライチェーン攻撃の影響がないかをOSV.devで10秒で確認できる無料ツールです。pyproject.tomlにも対応、ブラウザだけで完結、アカウント登録不要、axiosやLiteLLM汚染の確認にも使えます。
2026.05.276 min37 views
ニュース
WordPress『WPCode』に編集者権限から任意コード実行の脆弱性 CVE-2026-8832、300万サイトはv2.3.6へ即更新を
海外企業セキュリティ開発
WordPressサイト300万件以上で利用されているコードスニペット管理プラグイン『WPCode』に、編集者(Author)以上の権限を持つアカウントからサーバー上で任意のコードを実行できる脆弱性 CVE-2026-8832(CVSS 8.8)が見つかった。Wordfenceが2026年5月27日に公開、ベンダーは前日の5月26日にv2.3.6を緊急リリース済み。
2026.05.274 min38 views
ニュース 2日前更新
IBM WebSphereに重大欠陥が連続公開、CVE-2026-8633ほか6月も4件
インフラ海外企業セキュリティ
IBM WebSphereに重大欠陥が相次ぎ公開。6月1日に新たに4件(CVE-2026-8644ほか、3件が遠隔コード実行)、5月のCVE-2026-8633(CVSS9.8)も継続対象。8.5系/9.0系の確認と修正パッチの当て方を優先順位つきで整理。
2026.05.2711 min445 views
ニュース
cPanel用LiteSpeedプラグインに最悪脆弱性、攻撃中。サーバ丸ごと乗っ取り(CVE-2026-48172)
海外企業インフラセキュリティ
CVSS最大値10.0のLiteSpeed cPanelプラグイン脆弱性CVE-2026-48172が攻撃中。レンタルサーバー業者の管理者が即パッチ必須で、契約者側にも乗っ取りリスクが波及。
2026.05.277 min32 views
ニュース
【緊急】世界のWi-Fiルータの土台「dnsmasq」に脆弱性6件、機器乗っ取りの恐れ
インフラセキュリティ
世界中のWi-Fiルータ・IoT機器・Linuxサーバの土台になっている「dnsmasq」に、6件の脆弱性が見つかりました。最悪のものは管理者権限の乗っ取り、他にニセのサイトへの誘導やサービス停止も。修正版は2.92rel2。家庭のルータでも他人ごとではありません。
2026.05.268 min35 views
ニュース
【緊急】SGLangに脆弱性4件、悪意あるAIモデルでサーバ乗っ取りの恐れ
インフラAIセキュリティ
AI推論サーバSGLangに重大脆弱性4件。CVSS9.8で認証不要、悪意あるGGUFモデルファイルや特定APIエンドポイント経由でサーバを乗っ取られる恐れ。3件は2026年5月26日時点で未パッチ。JVNが注意喚起。
2026.05.269 min44 views
ニュース
NEC Atermの人気Wi-Fiルーター9機種に新たな脆弱性、3月の大型修正に続く第2弾
セキュリティインフラ国内企業
NECは2026年5月25日、家庭用Wi-FiルーターAtermシリーズの9機種に管理画面経由で任意のスクリプトを実行される脆弱性、業務用LTEルーター2機種にOSコマンド実行の脆弱性を公表した。21機種に影響した3月の大型修正に続く第2弾で、対象モデルの所有者はファームウェア更新が呼びかけられている。
2026.05.257 min46 views
