ニュース
予約受付プラグイン「LatePoint」にサイト乗っ取りの脆弱性 CVE-2026-13228、スタッフ権限から管理者を奪える恐れ、10万サイトは5.6.4へ更新を
開発セキュリティ
WordPressの予約受付プラグイン「LatePoint」に、スタッフ用アカウントからサイト全体の管理者権限を奪える脆弱性CVE-2026-13228が見つかりました。世界で10万サイト以上が対象。修正版5.6.4が公開済みで、店舗やクリニックの予約サイト運営者は今すぐ更新が必要です。
2026.07.0112 views
ニュース
企業の基幹バッチを動かす「BMC Control-M」にパスワード不要でサーバーを乗っ取られる脆弱性 CVE-2026-10539、9.0.21.300へ更新を
セキュリティインフラ
企業が夜間の給与計算や決済などの基幹バッチ処理を自動で回す運用ソフト「BMC Control-M」に深刻な脆弱性。一定の条件下で、パスワードなしの攻撃者がサーバー上で不正な命令を実行し乗っ取れる恐れがある(CVE-2026-10539、深刻度9.0)。対象は中核のControl-M/Serverの9.0.21.200まで。修正版9.0.21.300へ更新を。
2026.07.0111 views
ニュース
アフラック438万人の情報漏えい、契約者は何をすべきか 口座情報23万人分も、「すぐ引き出される」の誤解と本当のリスク
国内企業プライバシーセキュリティ
アフラック生命保険が2026年6月30日、不正アクセスで約438万人の顧客情報が漏えいしたと発表。うち約23万人は銀行口座の情報も含む。漏れたのは氏名・住所・証券番号・保障内容などで、マイナンバーとクレジットカードは対象外。口座情報が漏れると「すぐ引き出される」のか、契約者が今すべきことを正確に整理する。
2026.07.0131 views
ニュース
遠隔操作ソフト「UltraVNC」に重大な脆弱性3件、中継サーバーがパスワードなしで乗っ取られる恐れ CVE-2026-7840ほか、最新1.8.2.4へ更新を
インフラセキュリティ
離れたパソコンを操作する無料ソフト「UltraVNC」に重大な脆弱性が3件見つかった。とくに接続を中継するサーバーは、細工した通信を送るだけでパスワードなしに乗っ取られる恐れがある(CVE-2026-7840、深刻度9.8)。わなのサーバーに接続した利用者側が乗っ取られる欠陥も。影響は1.8.2.2まで、最新1.8.2.4への更新を。
2026.07.0170 views
ニュース 3日前更新
IBM Db2に認証前の乗っ取り脆弱性 CVE-2026-10109、基幹DBは即更新を
セキュリティインフラ
銀行や官公庁の基幹システムを支える企業向けデータベースIBM Db2に、ログイン前の通信を悪用してサーバーを乗っ取れる脆弱性(CVE-2026-10109)が見つかりました。認証情報を入れる前の接続のやり取りに細工するだけで任意の命令を実行されます。深刻度は最高クラスの9.8。IBMは修正用の特別ビルドを公開済みで、直ちの適用が必要です。
2026.07.01110 views
ニュース
業務自動化のConductorに認証なしで乗っ取られる脆弱性 CVE-2026-58138
インフラセキュリティ
業務の処理を自動でつなぐ基盤Conductor(旧Netflix Conductor)に、認証なしでサーバーを乗っ取れる脆弱性(CVE-2026-58138)が見つかりました。細工したワークフロー定義をAPIに送るだけで、ログイン前に任意の命令を実行されます。深刻度は最高クラスの9.8。修正版3.30.2が公開済みで、直ちの更新が必要です。
2026.07.018 views
ニュース 2日前更新
ColdFusionの脆弱性が悪用開始、CVE-2026-48282ほか最悪10点、即更新を
セキュリティインフラ
企業や官公庁のWebシステムを支えるAdobe ColdFusionに、外部から認証なしでサーバーを乗っ取れる脆弱性が一挙9件公開されました。うち5件は深刻度が最高の10点満点で、いずれもログイン不要・操作不要(CVE-2026-48276ほか)。Adobeは修正版(APSB26-68)を公開済みで、直ちの更新が必要です。
2026.07.0153 views
ニュース
LLaMA-Factoryに脆弱性 CVE-2026-58116、AI学習画面の公開で乗っ取りの恐れ
AIセキュリティ
AIを自分用に学習・調整できる人気ツール『LLaMA-Factory』に深刻な脆弱性(CVE-2026-58116)。学習画面(WebUI)を外部に公開していると、悪意あるモデルを読み込ませるだけでサーバーを乗っ取られる恐れがあります。最新0.9.5を含む全バージョンが対象で修正版は未提供。画面を外に出さない等の自衛を。
2026.06.3012 views
ニュース
RPGツクール製ゲームに脆弱性 CVE-2026-56137、配布セーブデータでパソコンを乗っ取られる恐れ
セキュリティゲーム
人気のゲーム制作ソフト『RPGツクールMV/MZ』で作られたゲームに、他人が配ったセーブデータを読み込むとパソコンを乗っ取られる恐れのある脆弱性(CVE-2026-56137)が見つかりました。クリアデータやセーブの共有が盛んなだけに、知らない人のセーブデータは読み込まないでください。修正版はまだ提供されていません。
2026.06.3075 views
ニュース
AWSの防御「WAF」をすり抜ける脆弱性 CVE-2026-13762/13763、CloudFrontとロードバランサで攻撃が素通りの恐れ
セキュリティインフラ
Amazon(AWS)のWebサービスを守る防御機能「WAF」に、攻撃の通信を分割して送ると中身の検査をすり抜けられる脆弱性(CVE-2026-13762・13763、CVSS9.8)が判明。CloudFrontは自動修正済み、ロードバランサ(ALB)の利用者は設定変更が必要です。
2026.06.30496 views
ニュース
遠隔操作ソフト「SimpleHelp」に認証回避の重大な脆弱性 CVE-2026-48558、管理下のPCを乗っ取られる恐れ、悪用確認で即更新を
インフラセキュリティ
IT担当者が遠隔から社員や顧客のパソコンを操作する遠隔サポートソフト「SimpleHelp」に、ログインを回避して管理者級アカウントを作られ、管理下の全パソコンを乗っ取られかねない脆弱性(CVE-2026-48558、CVSS10)が判明。米CISAが悪用を確認、v5.5.16などへ即更新を。
2026.06.3035 views
ニュース
データ基盤Snowflakeのコマンドツールに乗っ取りの脆弱性 CVE-2026-13749、不正プロジェクトのビルドで危険、v3.19.0へ更新を
開発セキュリティインフラ
クラウドのデータ分析基盤「Snowflake」の公式コマンドツール(Snowflake CLI)に、悪意あるプロジェクトをビルドまたはデプロイするだけで自分のパソコン上で攻撃者のプログラムが動く脆弱性(CVE-2026-13749、CVSS8.8)が判明。v3.19.0で修正、手動での早急な更新を。
2026.06.3028 views