ニュース
ネットワーク監視ツールCactiに認証なしでデータベースを抜かれる脆弱性、CVE-2026-39893、v1.2.31へ更新を
セキュリティインフラ
サーバーやネットワークの状態をグラフで監視する定番ツール『Cacti』に、認証なしでデータベースを操作されかねない脆弱性が見つかりました。CVE-2026-39893、深刻度は最高クラスのCVSS9.8。絞り込み用の値からのSQLインジェクションで、ゲスト閲覧を有効にした環境ではログインなしに悪用できます。1.2.30以前が対象で、1.2.31へ更新を。
2026.06.2510 views
ニュース
分散型SNS Mastodonにサーバーを踏み台にされる脆弱性、クラウドの鍵が盗まれる恐れ、CVE-2026-47389、修正版へ更新を
インフラセキュリティ
分散型SNS『Mastodon』のサーバーソフトに、外部からサーバー自身を踏み台にして不正な接続をさせられる脆弱性が見つかりました。CVE-2026-47389、深刻度はCVSS8.6。攻撃者がDNSを細工するだけで、サーバー内部やクラウドの管理情報(鍵)に到達され、認証情報を盗まれる恐れがあります。4.5.9以前・4.4.16以前・4.3.22以前が対象で、運営者は4.5.10/4.4.17/4.3.23へ更新を。
2026.06.2517 views
ニュース
自宅メディアサーバーJellyfinに脆弱性2件、ファイル書き換えの恐れ、CVE-2026-48793ほかv10.11.10へ更新を
セキュリティインフラ
自宅サーバーで映画や音楽を配信できる人気ソフト『Jellyfin』に、攻撃者がサーバー上の本来書き込めない場所へファイルを書き込める脆弱性が2件見つかりました。CVE-2026-48793とCVE-2026-49247、深刻度はいずれもCVSS8.8。管理者権限は不要で、複数人で共有していたり外部に公開していたりするサーバーほど危険です。10.11.10より前が対象で、10.11.10へ更新を。
2026.06.257 views
ニュース
クラウド保存ツールRcloneに認証なしで遠隔操作される脆弱性、CVE-2026-49980、v1.74.3へ更新を
セキュリティインフラ
クラウドにファイルを保存・同期する定番ツール『Rclone』に、認証なしで遠隔から悪用できる脆弱性が見つかりました。CVE-2026-49980、深刻度は最高クラスのCVSS9.8。リモート操作機能(rcd)をネットワークに開いていると、細工した通信を一度送るだけで、Rcloneが動くマシン上で任意のコマンドを実行される恐れがあります。1.46.0〜1.74.2が対象で、1.74.3へ更新を。
2026.06.2516 views
ニュース
GeoVision防犯機器に乗っ取りの脆弱性8件、CVE-2026-12485ほか、修正版v2.12へ更新を
セキュリティインフラ
防犯カメラと連動して警報や電気錠を制御するGeoVision製機器「GV-I/O Box 4E」に、パスワードなしで遠隔から乗っ取られる脆弱性が8件見つかりました。最大の深刻度はCVSS10.0。古いバージョン2.09が対象で、修正版2.12への更新が必要です。放置すると機器が攻撃の踏み台やネットワーク侵入の起点にされる恐れがあります。
2026.06.2411 views
ニュース 3日前更新
Crawl4AIに無認証で乗っ取りの脆弱性 CVE-2026-57572、0.9.0へ即更新を
セキュリティAIインフラ
AIにWebページを読み込ませる人気ツール『Crawl4AI』に、ログインなしでサーバーを乗っ取られる重大な欠陥が見つかりました。深刻度はCVSS 9.8。自分のサーバーで動かすDocker版で、利用者を確認する『合鍵』が製品に固定で埋め込まれており、誰でも管理者になりすませます。修正版0.8.7が出ており、自分で運用している場合は早急な更新が必要です。
2026.06.2212 views
ニュース
データ基盤『Prefect』に乗っ取りの穴 CVE-2026-5366、最新版へ更新を
セキュリティ開発インフラ
Pythonでデータ処理を自動化する人気ツール『Prefect』に、サーバー上でコードを実行され乗っ取られる重大な欠陥が見つかりました。深刻度はCVSS 9.9。複数人で使う共有環境では、作業を登録できる権限さえあれば他の利用者の処理基盤まで乗っ取られる恐れがあります。修正版が出ており、自分で運用している場合は早急な更新が必要です。
2026.06.2126 views
ニュース
データベース中継ソフト「ProxySQL」に最悪評価10.0の脆弱性 CVE-2026-48772、全利用者はv3.0.9へ即更新を
開発インフラセキュリティ
MySQLやPostgreSQLへのアクセスを振り分ける人気ソフト「ProxySQL」に、攻撃者が接続元を偽ってアクセス制限を突破できる最悪評価10.0の欠陥など重大な2件が見つかりました。どちらも認証なしで悪用でき、初期設定のままだと無防備です。対象バージョンと、安全な3.0.9への更新手順をまとめます。
2026.06.2017 views
ニュース
Acer・ASUS・東芝などのPCにセキュアブートの穴、消えないウイルスの恐れ
セキュリティインフラLinux
Acer・ASUS・GIGABYTE・東芝など複数メーカーのパソコンで、起動時の安全装置「セキュアブート」をすり抜けられる脆弱性が見つかりました(JVNVU#93024090)。悪用されると、OSを入れ直しても消えず、ウイルス対策ソフトにも見つかりにくいウイルスを奥深くに仕込まれる恐れがあります。攻撃には管理者権限か端末への直接操作が必要で、メーカーの更新とDBX更新で対処します。
2026.06.1931 views
ニュース
Cassandra公式イメージに初期パスワード残存 CVE-2026-47846、即更新を
インフラ開発セキュリティ
大量データを分散保管する人気データベースCassandraを手軽に動かせる公式コンテナイメージ(Bitnami版)に、初期パスワードがそのまま残る不具合が見つかりました。CVE-2026-47846、危険度は10点満点中9.8。独自の管理者を設定したつもりでも、誰でも知る初期アカウントで外部から侵入され全データを読み書きされる恐れがあります。対象の4.0/4.1/5.0系は修正版へ即更新を。
2026.06.1911 views
ニュース
業務用スイッチZyxel GS1900に乗っ取りの脆弱性 CVE-2026-7273、即更新を
インフラセキュリティ海外企業
オフィスや店舗で広く使われるZyxel製ネットワーク機器「GS1900」シリーズ10機種に、同じ社内ネットワークにつながった相手がパスワードなしで機器を乗っ取れる脆弱性CVE-2026-7273が見つかりました。攻撃を受けると通信の盗み見や遮断が可能になります。対象機種と修正版、いますぐやるべき更新手順を解説します。
2026.06.1611 views
ニュース
CVE-2026-20262、Cisco SD-WANに悪用中の脆弱性 修正版へ即更新を
インフラ海外企業セキュリティ
企業の通信網を一元管理する『Cisco Catalyst SD-WAN Manager』に、すでに悪用が確認された脆弱性(CVE-2026-20262)。ログインできれば低権限アカウントからサーバーのファイルを書き換え、最高権限(root)を奪われる恐れがあります。修正版が公開済みで、利用企業は今すぐ更新を。
2026.06.1645 views