ニュース
AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
開発AIセキュリティ
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
2026.06.0328 views
ニュース
WordPress『Kirki』のCVE-2026-8206悪用開始、50万サイトで管理者乗っ取り
開発セキュリティ海外企業
50万サイトで使われるWordPressの人気プラグイン「Kirki」の脆弱性CVE-2026-8206(CVSS9.8)を突く攻撃が始まりました。Defiant(Wordfence)は公表後24時間で222件超をブロック。ログイン不要で管理者を乗っ取られる恐れがあり、対策版6.0.7への即更新と侵害確認の手順を整理します。
2026.06.0256 views
ニュース
Langroidに脆弱性 CVE-2026-25879、AIが書いたSQLでデータベース乗っ取り
開発セキュリティAI
LangroidのSQLChatAgentが、AI生成のSQLを無検査で実行する欠陥CVE-2026-25879(CVSS9.8)。プロンプト注入からDBサーバーのRCEに至ります。v0.63.0への更新と、権限を絞る対策を整理します。
2026.06.0227 views
ニュース
WordPress『Gravity Forms』など4件に脆弱性、CVE-2026-48866を即更新
海外企業開発セキュリティ
WordPressの人気プラグイン4製品に深刻な脆弱性。フォーム作成のGravity Forms(CVE-2026-48866)でファイル削除、Contest Gallery・wpForo・AIWUで権限奪取が可能。多くが無認証で悪用でき、修正版への即更新が必要です。
2026.06.0218 views
ニュース
Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
開発セキュリティ
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
2026.05.2919 views
ニュース
ACF Extendedに4か月で2回目の管理者作成、CVE-2026-8809、0.9.2.6で修正
セキュリティ開発
WordPressプラグイン「Advanced Custom Fields: Extended」に認証不要で管理者ユーザーを作成できるCVE-2026-8809(CVSS 9.8)。0.9.2.5以前が影響、修正は0.9.2.6。100,000サイト影響、ACFEで4か月以内に2回目の同型バグ。公式changelogには「CSS微調整」とだけ記載のサイレント修正。
2026.05.2920 views
ニュース
`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944
AIセキュリティ開発
明示的に --trust-remote-code=False を指定しても vLLM 内部のハードコードでサイレントに無効化されます。Nemotron-VL系・Kimi-K2.5系の悪意あるHuggingFaceリポジトリ経由でRCE。修正は0.18.0。3連目のバイパス。
2026.05.2922 views
ニュース
Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正
AIセキュリティ開発
Rust製AI協調エディタZedに4連のRCEが公開(CVE-2026-44461/44463/44465/44466、いずれもCVSS 8.6)。悪意あるリポジトリのcloneとZedでのフォルダオープン、リモートSSH/WSL接続、AIエージェントの正規表現許可リストすり抜けの4経路。0.229.0へ即更新を。
2026.05.2926 views
ニュース
WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762
開発セキュリティ
TinyMCEに保存型XSSが4本同時公開(CVE-2026-47759〜47762、いずれもCVSS 8.7)。data-mce-*属性・ネストSVG・mediaプラグイン・mce:protectedコメントの4経路で編集権限ユーザーから管理者セッション奪取が可能、修正版8.5.1/7.9.3/5.11.1へ即更新を。
2026.05.2934 views
ニュース
「国会議員マップ」とは、建設職人がClaude活用で個人開発した政治可視化サイト
開発AI
建設会社経営の中島真之助氏がClaude 4.5 Haikuと国会会議録APIを組み合わせて個人開発した「国会議員マップ」が2026年5月27日にバズ、26分のサーバーダウンを経てXフォロワー2.1万人に到達。郵便番号で選挙区議員の発言・採決が見える仕組みと、個人×生成AIの新しい開発スタックを解説する。
2026.05.2919 views
ニュース
Jupyter Serverに偽サイト誘導の脆弱性 CVE-2025-61669、2.18.0へ更新を
開発AIセキュリティ
研究者・データ分析者が使う『Jupyter Server』2.17.0以下に偽サイト誘導の脆弱性 CVE-2025-61669(CVSS 6.1)。ログイン画面のURL細工で外部の偽サイトへ飛ばされ、フィッシングの踏み台にされます。JupyterLab・Notebook 7も内部のJupyter Server経由で影響。修正版2.18.0へ更新を。
2026.05.2838 views
ニュース
Goobi viewerに認証なし脆弱性 CVE-2026-45083、デジタルアーカイブが危機
セキュリティ開発インフラ
図書館・博物館のデジタルアーカイブ閲覧プラットフォーム『Goobi viewer』v4.8.0以上・v26.04.1未満に認証なしの致命的脆弱性 CVE-2026-45083(CVSS 9.8)。REST endpoint経由でSolr streaming expressionが任意送信可能、文化資料データの読取・改竄・削除まで届く。v26.04.1で修正。
2026.05.2823 views
