ニュース
Palo AltoのVPNに認証回避の穴 CVE-2026-0257、攻撃発生中で即更新を
インフラセキュリティ
企業向けVPN『Palo Alto GlobalProtect』に、正規のID不要で社内ネットに接続できる認証回避の脆弱性CVE-2026-0257。証明書の使い回しを突いて接続用Cookieを偽造される仕組みで、すでに実際の攻撃を観測。CISAがKEVに登録し米政府は6月1日まで修正を命令。PAN-OS 10.2/11.1/11.2/12.1系が対象で、影響範囲と修正版、確認すべき侵害痕跡を一覧で整理。
2026.05.3054 views
ニュース
Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
開発セキュリティ
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
2026.05.2929 views
ニュース
ACF Extendedに4か月で2回目の管理者作成、CVE-2026-8809、0.9.2.6で修正
セキュリティ開発
WordPressプラグイン「Advanced Custom Fields: Extended」に認証不要で管理者ユーザーを作成できるCVE-2026-8809(CVSS 9.8)。0.9.2.5以前が影響、修正は0.9.2.6。100,000サイト影響、ACFEで4か月以内に2回目の同型バグ。公式changelogには「CSS微調整」とだけ記載のサイレント修正。
2026.05.2922 views
ニュース
Oracleに最悪級の乗っ取り欠陥 CVE-2026-46840、月次パッチ初回で35件公開
セキュリティインフラ海外企業
Oracleが2026年5月28日、最悪レベルの脆弱性CVE-2026-46840を含む35件のパッチを公開しました。認証なしでシステムを丸ごと乗っ取られる恐れがあり、業務システムをAPI化するORDSが直撃。人事・経理を支えるE-Business Suiteにも12件。ORDS利用者は今すぐ更新を。
2026.05.2994 views
ニュース
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.2935 views
ニュース
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.2928 views
ニュース
WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762
開発セキュリティ
TinyMCEに保存型XSSが4本同時公開(CVE-2026-47759〜47762、いずれもCVSS 8.7)。data-mce-*属性・ネストSVG・mediaプラグイン・mce:protectedコメントの4経路で編集権限ユーザーから管理者セッション奪取が可能、修正版8.5.1/7.9.3/5.11.1へ即更新を。
2026.05.2939 views
ニュース
「国会議員マップ」とは、建設職人がClaude活用で個人開発した政治可視化サイト
開発AI
建設会社経営の中島真之助氏がClaude 4.5 Haikuと国会会議録APIを組み合わせて個人開発した「国会議員マップ」が2026年5月27日にバズ、26分のサーバーダウンを経てXフォロワー2.1万人に到達。郵便番号で選挙区議員の発言・採決が見える仕組みと、個人×生成AIの新しい開発スタックを解説する。
2026.05.2924 views
ニュース
Sambaに認証なしRCE CVE-2026-4408、check password scriptの%uでコマンド注入、4.24.3へ即更新を
インフラLinuxセキュリティ
Sambaのファイルサーバ・クラシックドメインコントローラに認証なしRCEの脆弱性CVE-2026-4408(CVSS 9.0)。check password scriptの%u置換でシェルメタ文字がエスケープされず、SAMR経由でroot権限の任意コマンド実行が成立。Samba 4.22.10/4.23.8/4.24.3で修正。
2026.05.28216 views
ニュース
Jupyter Serverに偽サイト誘導の脆弱性 CVE-2025-61669、2.18.0へ更新を
AIセキュリティ開発
研究者・データ分析者が使う『Jupyter Server』2.17.0以下に偽サイト誘導の脆弱性 CVE-2025-61669(CVSS 6.1)。ログイン画面のURL細工で外部の偽サイトへ飛ばされ、フィッシングの踏み台にされます。JupyterLab・Notebook 7も内部のJupyter Server経由で影響。修正版2.18.0へ更新を。
2026.05.2843 views
ニュース
Goobi viewerに認証なし脆弱性 CVE-2026-45083、デジタルアーカイブが危機
セキュリティ開発インフラ
図書館・博物館のデジタルアーカイブ閲覧プラットフォーム『Goobi viewer』v4.8.0以上・v26.04.1未満に認証なしの致命的脆弱性 CVE-2026-45083(CVSS 9.8)。REST endpoint経由でSolr streaming expressionが任意送信可能、文化資料データの読取・改竄・削除まで届く。v26.04.1で修正。
2026.05.2824 views
ニュース
Pi.Alertに2件の認証なしRCE CVE-2026-44887/44888、家庭ネット監視が危機
セキュリティインフラLinux
家庭・SOHO向けネットワーク監視ツール『Pi.Alert』に2件の認証なしRCE(CVE-2026-44887/44888、CVSS 9.8×2)。Web保護がデフォルト無効、攻撃者がpialert.confへPython注入、スキャンデーモンがexec()で実行。2026-05-07で修正。
2026.05.2821 views