ニュース
axiosに認証情報が盗まれる脆弱性、最新版へ今すぐ更新を CVE-2026-44494
インフラ開発セキュリティ
世界中のアプリが使うHTTP通信ライブラリ「axios」に、クラウドの認証情報が漏れるSSRF(CVE-2026-44492)と、通信を乗っ取る中間者攻撃につながるプロトタイプ汚染(CVE-2026-44494)の2件が見つかりました。修正版は1.16.0以上(旧系列は0.32.0)、最新は1.17.0です。間接依存で古い版が潜むことも多く、npm ls axios での確認と更新が必要です。
2026.06.1241 views
ニュース 昨日更新
GitLabにまた脆弱性14件、社内設置は19.1.1へ更新を CVE-2026-10086
インフラセキュリティ開発
GitLabが2026年6月24日、新たに14件の脆弱性をまとめて修正しました。開発者権限から他人の画面で不正な処理を走らせる穴や、AI機能から情報が漏れる穴を含みます。自社サーバーに置いて使う企業は最新版(19.1.1/19.0.3/18.11.6)へ今すぐ更新を。GitLab.com利用者は対応済みです。
2026.06.1137 views
ラボ
npm v12でnpm installが変わる、依存スクリプトの自動実行が止まる
セキュリティ開発
毎日叩く「npm install」の挙動がnpm v12(2026年7月予定)で変わり、依存パッケージのインストール時スクリプトが自動実行されなくなります。v11以前に何が起きていたかを実際に再現しつつ、変更点・気づかず受けていた恩恵・今やるべき準備を解説します。
2026.06.1141 views
ニュース
NSAの解析ツールGhidraに脆弱性4件、ファイルを開くだけで乗っ取りも CVE-2026-52751ほか、12.1.2へ更新を
セキュリティ開発
NSAの無料解析ツールGhidraに深刻な脆弱性4件(CVE-2026-52751/49498/52754/52758、いずれもCVSS 8.8)。最も危険なCVE-2026-52751は認証不要で、細工されたプロジェクトファイルを開くだけで任意コード実行。残り3本はGhidra Serverのデータベース乗っ取り・なりすまし。12.1.2へ即更新を。
2026.06.1125 views
コラム
価格.comの30年コードをAIが建て替える。選ばれなかった技術の話
開発AI国内企業
価格.comが約960万行・752リポジトリの30年もののコードを、AIエージェント71体で全面刷新している。DBは現行維持、言語はPython+FastAPI。採用技術には同意しつつ、同点だった候補はなぜ選ばれなかったのか、AIに任せすぎたとき何が起きるのかを現場目線で考えた。
2026.06.10290 views
ニュース 7日前更新
AIをまとめる『LiteLLM』乗っ取りの穴 CVE-2026-42271、悪用確認で更新を
セキュリティAI開発
100種類以上のAIサービスをまとめて扱える人気ツール『LiteLLM』に、サーバーを乗っ取られる欠陥CVE-2026-42271が見つかりました。本来はログインが必要ですが、別の欠陥と組み合わせると認証なしで侵入され、APIキーや社内データを丸ごと奪われます。対象は1.74.2〜1.83.6で、1.83.7への更新が必要です。
2026.06.0929 views
ニュース
Markdown Preview Enhancedに脆弱性 CVE-2026-49492ほか、0.8.30へ更新を
開発セキュリティ
約950万インストールの人気VS Code拡張Markdown Preview Enhancedに、悪意あるMarkdownファイルを開いてプレビューするだけでパソコンを乗っ取られる脆弱性が3件見つかりました。CVE-2026-49492/49493/50733でCVSSは各8.8。図や数式を描く処理が文章をコードとして実行する欠陥で、3件は0.8.28で修正、その後0.8.29・0.8.30でも別の弱点が修正されました。対象バージョンと最新版への更新手順をまとめます。
2026.06.06108 views
ニュース
7-Zip(圧縮解凍ソフト)に乗っ取りの脆弱性、26.01へ更新を CVE-2026-48095
セキュリティ開発
定番の圧縮・解凍ソフト「7-Zip」に、ファイルを開くだけでパソコンを乗っ取られる脆弱性CVE-2026-48095が見つかりました。自分の7-Zipが危ないかは「ヘルプ→バージョン情報」で確認でき、26.00以前なら対象です。zip偽装でも発火し自動更新もないため、26.01へ手動更新を。
2026.06.0616 views
ニュース
Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を
インフラセキュリティ開発
動画・写真サーバーPlexの視聴状況を見張る人気ツールTautulliに、深刻度9.9を含む5件の脆弱性が見つかりました。ログインなしでも悪用できる経路があり、組み合わせると管理画面の乗っ取りやサーバー上でのプログラム実行につながります。最新版v2.17.1への更新を。
2026.06.0520 views
ニュース
OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可
開発セキュリティインフラ
自前クラウド基盤OpenStackのワークフロー機能Mistralに、深刻度9.9の脆弱性CVE-2026-41283。ログイン済みの利用者なら誰でも任意コードを実行でき、クラウド全体の認証情報を盗まれる恐れがあります。修正版への更新を。
2026.06.0431 views
ニュース
Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を
セキュリティ開発インフラ
世界中のネット通販で使われるMagento向け拡張機能に、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-45247(深刻度9.8)が見つかりました。すでに実際の攻撃が始まっており、買い物客のクレジットカード情報が盗まれる恐れがあります。対象店舗は修正版1.11.12への即更新が必要です。
2026.06.0441 views
ニュース
Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用
インフラ開発セキュリティ
多くのJava製ネットワークアプリの土台で動くApache MINAに、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-47065(CVSS9.8)が見つかりました。過去の修正をすり抜ける3度目の穴で、対象は2.2.8・2.1.13・2.0.29への即更新が必要です。
2026.06.0323 views
