ニュース
開発ツールmiseに脆弱性 CVE-2026-33646ほか、入るだけでコマンド実行
開発セキュリティ
世界中の開発者が使う環境管理ツールmiseに深刻な脆弱性が2件見つかりました。悪意あるプロジェクトのフォルダに入る、またはコマンドをタブ補完するだけで、攻撃者のコマンドがパソコン上で実行され、鍵や認証情報を奪われる恐れがあります。CVE-2026-33646ほか、修正版2026.6.4へ即更新を。
2026.06.2728 views
ニュース
広告配信ソフト『Revive Adserver』に乗っ取りの脆弱性 CVE-2026-50741、6.0.8へ更新を
セキュリティ開発
自前のサーバーで広告を配信するオープンソースソフト『Revive Adserver』に、サーバーを乗っ取られる脆弱性CVE-2026-50741(CVSS 8.8)が見つかりました。権限の低いログインアカウントから任意のプログラムを実行でき、6月に直したCVE-2026-34916の修正を回避する再発です。typeパラメータとox.setChannelTargeting XML-RPCの2経路で悪用可能。6.0.7以前が対象で、修正版6.0.8への更新が必要です。
2026.06.2620 views
ニュース
pnpmに乗っ取り級の脆弱性2件、利用者は最新版へ更新を CVE-2026-55698
開発セキュリティ
JavaScript開発で広く使われるパッケージ管理ツール『pnpm』に、危険度の高い脆弱性が2件見つかりました。悪意あるパッケージやリポジトリを取り込むだけで、開発者のパソコンが乗っ取られ任意のコードを実行される恐れがあります。修正版は公開済みで、10系は10.34.2、11系は11.5.3以上への更新が必要です。
2026.06.2655 views
ニュース
ローコード開発基盤Appsmithに通信の出入り口を乗っ取られる脆弱性、CVE-2026-55454、v2.1へ更新を
開発セキュリティ
社内向け業務アプリを短時間で作れる人気のローコード開発基盤『Appsmith』に、権限の低い利用者がサーバーの通信の出入り口(リバースプロキシ)を乗っ取れる脆弱性が見つかりました。CVE-2026-55454、深刻度はCVSS9.9。同梱プロキシの管理機能が認証なしで開いており、SSRFと組み合わせて設定を丸ごと書き換えられます。2.1より前が対象で、2.1へ更新を。
2026.06.2516 views
ニュース
社内チャット基盤Rocket.Chatに認証なしで乗っ取りの脆弱性3件、CVE-2026-45688ほか最新版へ更新を
開発セキュリティ
官公庁や企業で使われる社内チャット基盤『Rocket.Chat』に、認証なしで他人のアカウントを乗っ取られかねない脆弱性が3件見つかりました。最も深刻なCVE-2026-45688とCVE-2026-45689はCVSS9.1。ログインの窓口にデータベース用の記号を割り込ませて本人確認をすり抜け、アクセス権の窃取や管理者昇格に至る恐れがあります。各系統の最新版へ更新を。
2026.06.2530 views
ニュース
セルフホスト型Git『Gogs』に脆弱性6件、認証なしで乗っ取り可能、CVE-2026-52813ほかv0.14.3へ更新を
セキュリティ開発
自分のサーバーでソースコードを管理できる軽量なGitサービス『Gogs』に、脆弱性が6件見つかりました。最も深刻なCVE-2026-52813は認証なしでサーバーを乗っ取れるCVSS10.0。ほかにコード実行や管理者権限の奪取も含まれます。0.14.3より前が対象で、この1回の更新でまとめて修正されます。自分でGogsを運用しているなら今すぐ更新を。
2026.06.2521 views
ニュース
ブログ作成ツールGhostにキャッシュ汚染で乗っ取りの脆弱性、CVE-2026-53943、v6.37.0へ更新を
開発セキュリティ
ブログやニュースレターを配信できる人気ツール『Ghost』に、サイトの表示を外部から汚染して運営者のアカウントを乗っ取られかねない脆弱性が見つかりました。CVE-2026-53943、深刻度はCVSS9.6。認証なしで特定のヘッダーを送ると、汚染された表示が他の閲覧者にも配られ、公開サイトと管理画面が同じドメインだとスタッフ乗っ取りに至る恐れがあります。4.0.0〜6.36系が対象で、6.37.0へ更新を。
2026.06.258 views
ニュース
AIエージェント搭載ターミナルWarpに脆弱性4件、開いただけでコマンド実行の恐れ、CVE-2026-48704ほか最新版へ更新を
セキュリティ開発
AIエージェントを搭載した開発者向けターミナル『Warp』に、脆弱性が4件見つかりました。CVE-2026-48704ほか、深刻度はいずれもCVSS8.6〜8.8。細工した文書を開いたり、画面の出力を受け取ったり、悪意あるリポジトリでAIに作業させたりするだけで、手元のパソコンで勝手にプログラムを実行される恐れがあります。最新版への更新が必要です。
2026.06.2523 views
ニュース
スマホアプリ即時更新サービスCapgoに脆弱性多数、アカウント乗っ取りの恐れ、CVE-2026-56237、v12.128.2へ更新を
セキュリティ開発
スマホアプリの中身を審査なしで即時更新できるサービス『Capgo』に、認証の不備による脆弱性が多数見つかりました。CVE-2026-56237ほか、最も重い深刻度はCVSS9.1。他人のアカウントや組織を乗っ取り、アプリに配るプログラム更新を不正に操作される恐れがあります。バージョン12.128.1以前が対象で、修正版12.128.2以降への更新が必要です。
2026.06.2426 views
ニュース
WordPress『Ultimate Member』に管理者乗っ取りの脆弱性、CVE-2026-7761、最新版2.12.0へ更新を
セキュリティ開発
世界20万サイト以上が使う会員制サイト構築プラグイン『Ultimate Member』に、投稿者権限の利用者が管理者を乗っ取れる脆弱性が見つかりました。CVE-2026-7761、深刻度はCVSS8.8。バージョン2.11.4以前が対象で、最新の2.12.0への更新が必要です。パスワード再設定用リンクを盗まれ、サイトを丸ごと奪われる恐れがあります。
2026.06.2418 views
ニュース
Style Dictionaryにビルド汚染の脆弱性 CVE-2026-54639、5.4.4へ更新を
開発セキュリティ
デザインの色や余白を一括管理する開発ツール『Style Dictionary』に、危険度8.8の脆弱性CVE-2026-54639。細工したデザイントークンを読み込ませると、アプリ共通の土台が書き換わり、ビルド汚染やサービス停止に連鎖する恐れがあります。対象は4.3.0〜5.4.3。修正版5.4.4への更新方法と、本当に注意すべき人を解説します。
2026.06.249 views
ニュース
Sakana AIの新AI「Fugu」とは、複数のAIを束ねる日本の実力
国内企業AI開発
日本のAI企業Sakana AIが、複数のAIを自動で束ねて使い分ける新サービス「Fugu」と上位版「Fugu Ultra」を公開しました。ClaudeやChatGPTといった海外の最先端AIに匹敵する性能をうたい、しかも特定国の輸出規制で止まる心配が少ないのが特徴です。Sakana AIとは何か、他のAIと何が違うのかを、専門知識ゼロでもわかるよう整理します。
2026.06.2325 views