ニュース
業務自動化のConductorに認証なしで乗っ取られる脆弱性 CVE-2026-58138
インフラセキュリティ
業務の処理を自動でつなぐ基盤Conductor(旧Netflix Conductor)に、認証なしでサーバーを乗っ取れる脆弱性(CVE-2026-58138)が見つかりました。細工したワークフロー定義をAPIに送るだけで、ログイン前に任意の命令を実行されます。深刻度は最高クラスの9.8。修正版3.30.2が公開済みで、直ちの更新が必要です。
2026.07.018 views
ニュース 2日前更新
ColdFusionの脆弱性が悪用開始、CVE-2026-48282ほか最悪10点、即更新を
インフラセキュリティ
企業や官公庁のWebシステムを支えるAdobe ColdFusionに、外部から認証なしでサーバーを乗っ取れる脆弱性が一挙9件公開されました。うち5件は深刻度が最高の10点満点で、いずれもログイン不要・操作不要(CVE-2026-48276ほか)。Adobeは修正版(APSB26-68)を公開済みで、直ちの更新が必要です。
2026.07.0153 views
ニュース
AWSの防御「WAF」をすり抜ける脆弱性 CVE-2026-13762/13763、CloudFrontとロードバランサで攻撃が素通りの恐れ
インフラセキュリティ
Amazon(AWS)のWebサービスを守る防御機能「WAF」に、攻撃の通信を分割して送ると中身の検査をすり抜けられる脆弱性(CVE-2026-13762・13763、CVSS9.8)が判明。CloudFrontは自動修正済み、ロードバランサ(ALB)の利用者は設定変更が必要です。
2026.06.30496 views
ニュース
遠隔操作ソフト「SimpleHelp」に認証回避の重大な脆弱性 CVE-2026-48558、管理下のPCを乗っ取られる恐れ、悪用確認で即更新を
インフラセキュリティ
IT担当者が遠隔から社員や顧客のパソコンを操作する遠隔サポートソフト「SimpleHelp」に、ログインを回避して管理者級アカウントを作られ、管理下の全パソコンを乗っ取られかねない脆弱性(CVE-2026-48558、CVSS10)が判明。米CISAが悪用を確認、v5.5.16などへ即更新を。
2026.06.3035 views
ニュース
データ基盤Snowflakeのコマンドツールに乗っ取りの脆弱性 CVE-2026-13749、不正プロジェクトのビルドで危険、v3.19.0へ更新を
インフラ開発セキュリティ
クラウドのデータ分析基盤「Snowflake」の公式コマンドツール(Snowflake CLI)に、悪意あるプロジェクトをビルドまたはデプロイするだけで自分のパソコン上で攻撃者のプログラムが動く脆弱性(CVE-2026-13749、CVSS8.8)が判明。v3.19.0で修正、手動での早急な更新を。
2026.06.3028 views
ニュース
SUSE Linuxの更新基盤「libzypp」に任意ファイル書き換えの脆弱性 CVE-2026-25707、修正版へ更新を
セキュリティLinuxインフラ
openSUSEやSUSE Linuxでソフトの導入・更新を担う「libzypp」に、悪意あるリポジトリのデータを細工するだけでサーバー上の重要ファイルを書き換えられる脆弱性(CVE-2026-25707、最大CVSS8.8)が判明。乗っ取りやサービス停止の恐れがあり、修正版が公開済みです。早急な更新を。
2026.06.296 views
ラボ
PostgreSQL 18は速いのか、17から2000万件で実測【2026年版】
インフラ開発
PostgreSQL 18は本当に速いのか。17.9と18に同じ2000万件を入れて実測したら、目玉の非同期I/Oが効くはずの大きな集計はむしろ遅くなりました。はっきり速くなったのは複合索引の絞り込みだけ。設定ひとつで結果がひっくり返る場所もあります。上げる前に知るべき実データを示します。
2026.06.2912 views
ニュース
ログ収集ソフト「Fluentd」に認証不要で乗っ取り可能な脆弱性 CVE-2026-44024、v1.19.3へ即更新を
セキュリティ開発インフラ
サーバーのログを集めるオープンソースソフト「Fluentd」に、認証なしで乗っ取りにつながる脆弱性(CVE-2026-44024、最大CVSS9.8)が見つかりました。ログの送り元を細工するだけで任意のファイルを書き換えられます。情報漏えいやサービス停止を含む計6件が判明。本体はv1.19.3で修正、早急に更新を。
2026.06.29115 views
ニュース
業務自動化基盤Kestraに最悪の脆弱性 CVE-2026-53576、認証なしで乗っ取り
開発インフラセキュリティ
Bloombergやトヨタなど3万組織が使う業務自動化基盤Kestraに、最悪レベルの脆弱性が見つかりました。インターネットに公開していると、認証なしで誰でも管理者級の権限を奪い、サーバーやデータを丸ごと乗っ取られる恐れがあります。CVE-2026-53576ほか、修正版1.3.24へ即更新を。
2026.06.2714 views
ニュース
製造業の設計データ管理ソフトに最悪の脆弱性、至急更新を CVE-2026-12569
セキュリティインフラ
自動車や電機など製造業が設計データの管理に使う『PTC Windchill / FlexPLM』に、認証なしで遠隔からシステムを乗っ取れる最悪級の脆弱性が見つかりました。ドイツ当局は管理者へ深夜に警告し、攻撃はすでに進行中とされます。米政府は6月28日までの対応を要請。修正版の適用が必要です。
2026.06.2662 views
ニュース
シスコの電話システムに脆弱性、悪用が始まり至急更新を CVE-2026-20230
インフラセキュリティ
多くの企業が社内の電話システムに使うCisco Unified Communications Managerに、認証なしで侵入できる脆弱性が見つかり、すでに実際の攻撃が始まっています。最悪の場合サーバーを乗っ取られ最高権限を奪われる恐れがあり、米政府は6月28日までの対応を求めています。修正版の適用が必要です。
2026.06.2616 views
ニュース
バックアップソフト『Quest NetVault』に脆弱性10件、認証回避でサーバー乗っ取りも、CVE-2026-9787ほか14.0.2へ更新を
インフラセキュリティ
企業向けバックアップソフトQuest NetVault Backupに、CVSS8.8の脆弱性が一度に10件見つかりました。認証を回り込んでサーバーを乗っ取り、最高権限でコマンドを実行されかねないものを含みます。2026年6月24日にZDIが公開。修正版は14.0.2。管理画面を外部公開しているサーバーは最優先で更新を。
2026.06.2524 views