ニュース
Drupalサイトに認証不要の乗っ取り脆弱性、米政府が5月27日までの修正を命令
インフラセキュリティ開発
米政府CISAが5月27日までの修正を命じた、DrupalのCMS本体に潜むSQL注入の脆弱性。認証なしで誰でも管理者権限を奪える攻撃で、日本のデジタル庁が政府統一サイトで採用するCMSが対象。すでに世界65カ国・6000サイトに攻撃試行が観測されており、PostgreSQLを使う環境のみが影響を受けます。
2026.05.237 min46 views
ニュース 昨日更新
UniFiの欠陥が悪用フェーズへ、認証なしで乗っ取り CVE-2026-34910ほか
インフラセキュリティ
Ubiquitiの人気ネットワーク機器UniFi OSの重大な脆弱性3件(いずれもCVSS最高値10.0)が、2026年6月にCISAの『実際に悪用されている脆弱性』リスト(KEV)へ追加されました。3件を連鎖させると認証なしで機器の最高権限を奪える攻撃手順も公開。対象機種・修正版・いますぐやるべき対策(更新+秘密情報の作り直し)を整理します。
2026.05.2213 min46 views
ニュース
Langflowに重大欠陥、Webページを開くだけでAIエージェント乗っ取りの恐れ
開発AIセキュリティ
AIエージェント構築の人気OSS『Langflow』にCVSS 9.4の脆弱性が見つかり、CISAは実際に攻撃されている脆弱性カタログに登録しました。悪意あるWebページを開くだけでログイン情報が奪われ、設定済みのOpenAIやAnthropicなどのAPIキーごとAIエージェント基盤が乗っ取られる恐れがあります。修正版1.9.3公開済み。
2026.05.228 min28 views
ニュース
Mac人気動画プレイヤーIINAに重大脆弱性、不正リンクで乗っ取りの恐れ
Linuxセキュリティ開発
Macで人気のオープンソース動画プレイヤー「IINA」にCVSS 8.8の脆弱性が見つかりました。悪意あるリンクをクリックして起動許可をするだけで、攻撃者があなたのMacで任意のコマンドを実行できる恐れがあります。GitHubスター4.4万を超える人気アプリで、開発元は修正版1.4.3を公開済み。即時アップデート推奨です。
2026.05.226 min39 views
ニュース
Apex Oneに重大脆弱性、管理画面が乗っ取られ全社PCに侵入の恐れ
国内企業セキュリティインフラ
トレンドマイクロが企業向けウイルス対策ソフトApex Oneで計14件の脆弱性を公開しました。うち2件は最高クラスの深刻度で、ログイン不要で管理画面を乗っ取り、社内の全PCにマルウェア配信される恐れがあります。過去にはゼロデイ攻撃の実例もあり、即時アップデートが推奨されます。
2026.05.2210 min42 views
ニュース
GUARDIANWALLを使う会社はいま確認を、攻撃すでに進行中
セキュリティ国内企業インフラ
メールセキュリティ製品GUARDIANWALL MailSuiteのオンプレミス版で、認証なしで遠隔操作される深刻な脆弱性(CVSS 9.8)が見つかりました。国内4,000社・580万ユーザーが利用する製品で、攻撃はすでに観測済みです。自社環境の確認手順とパッチ適用の段取りをまとめます。
2026.05.217 min42 views
ニュース
NGINX Rift CVE-2026-42945:影響範囲・確認手順・暫定回避策
インフラセキュリティ
NGINXに18年潜んだ重大脆弱性CVE-2026-42945(NGINX Rift/CVSS 9.2)が公開され、すでに実際の攻撃も始まっています。認証不要でサーバを乗っ取られる恐れあり。Rocky Linux・RHEL系・Ubuntu・Debian・SUSEのパッチ状況、確認コマンド、暫定回避策をディストリ別早見表でまとめます。
2026.05.1511 min242 views
ニュース
Linuxの『古い配管』、3週間で3度目の同時破裂。サーバー乗っ取り連鎖
インフラセキュリティLinux
Linuxカーネルの新たな権限昇格脆弱性『Fragnesia』(CVE-2026-46300)が5月13日に公開。Copy Fail・Dirty Fragに続き3週間で3度目のroot奪取バグ。XFRM ESP系の古い設計が一斉に剥がれ始めた構造を、運用者向け5層遮断フレームで解説。
2026.05.1412 min198 views
ニュース 5日前更新
Ubuntu含むLinuxに権限奪取『Copy Fail』CVE-2026-31431、26.04は影響なし
セキュリティインフラLinux
Linuxカーネルの権限昇格脆弱性『Copy Fail』(CVE-2026-31431)。Ubuntuは24.04 LTS以前が対象で26.04は影響なし。732バイトのコードで管理者権限を奪える仕組み、Red Hat・Debian等のディストロ別早見表、JVNVU#96811810と多層防御を運用者目線で解説。
2026.05.1215 min129 views
ニュース
【速報】REvil/GandCrab首謀者を独警察が実名公開、31歳ロシア人
海外企業セキュリティ
ドイツ連邦刑事局がランサムウェアGandCrab/REvilの首謀者を31歳のロシア人ダニール・シチューキンと特定し実名公開。被害総額3500万ユーロ超、Kaseya攻撃の裏側にいた「UNKN」の正体。
2026.04.078 min48 views
ニュース
LinkedIn、ログインするたびにChrome拡張6,000件以上をスキャン
プライバシーセキュリティ海外企業
LinkedInがページ読み込み時にChrome拡張機能6,236件をスキャンし、デバイス情報を収集していたことが判明。ドイツの調査団体Fairlinkedが技術的証拠を公開し、BleepingComputerが独自検証で確認。
2026.04.058 min41 views
ニュース
Chromeゼロデイ攻撃中、業務PCは今すぐ更新を。2026年4件目
セキュリティ海外企業
GoogleがChromeの緊急アップデートを公開。WebGPU実装「Dawn」のuse-after-free脆弱性CVE-2026-5281はすでに悪用が確認されており、CISAは4月15日までのパッチ適用を命じた。2026年4件目のゼロデイとなる。
2026.04.037 min86 views
