ニュース
XSSスキャナーDalfoxに認証なしRCE CVE-2026-45087、v2.13.0へ即更新を
セキュリティ開発
XSSスキャナーDalfoxのREST APIモードに認証なし遠隔コード実行 CVE-2026-45087(CVSS 10.0)。v2.12.0以下が影響、デフォルト0.0.0.0:6664でリッスン、JSON経由で任意コマンド実行。v2.13.0で修正。
2026.05.2820 views
ニュース
free5GCに5件の重大認証バイパス CVE-2026-44315他、v4.2.2へ即更新を
開発セキュリティインフラ
5Gコアネットワーク実装『free5GC』v4.2.1以下にOAuth2認可欠落の致命5件(CVE-2026-44315/26/27/29/30、CVSS 10.0×3)。NEFとSMFのAPI群が認証不要で操作される。v4.2.2で修正。
2026.05.2810 views
ニュース
TanStack→Nx Console連鎖攻撃 CVE-2026-45321/48027、npm 84版汚染がVS Code拡張へ
AI開発セキュリティ
2026年5月、npm『TanStack』42パッケージ84版が攻撃者に汚染(CVE-2026-45321)。流出したGitHub認証情報を使って5月18日にVS Code拡張『Nx Console』v18.95.0も悪意ある版で配信(CVE-2026-48027)。連鎖型サプライチェーン攻撃、両者ともCISA KEV登録済み。
2026.05.2838 views
ニュース
LibVNCに重大脆弱性 CVE-2026-44988、悪意あるVNCサーバに接続するだけでPC乗っ取り
Linuxセキュリティ開発
LibVNCClient v0.9.15以下にCVSS8.8の重大脆弱性CVE-2026-44988。悪意あるVNCサーバが特殊な画面更新パケットを送るだけで、接続したクライアントPCがメモリ書き換え・遠隔コード実行を受けるおそれ。Remmina・KRDC・ZoneMinder等が依存。修正版は未リリース。
2026.05.2826 views
ニュース
Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ
セキュリティAI開発
Langflow OSSにCVSS9.8の重大脆弱性CVE-2026-7524。IBMが2026年5月27日に開示。tar内のシンボリックリンクからJWT秘密鍵流出を経て遠隔コード実行まで連鎖する経路が確認された。v1.0.0〜v1.9.1が影響、v1.9.2以降への即更新を。
2026.05.2829 views
ラボ
【無料】OSS脆弱性スキャナー|npm/Pythonの依存を貼るだけ即チェック
セキュリティ開発
package.jsonやrequirements.txtを貼り付けるだけで、npmやPyPIの依存ライブラリにOSSサプライチェーン攻撃の影響がないかをOSV.devで10秒で確認できる無料ツールです。pyproject.tomlにも対応、ブラウザだけで完結、アカウント登録不要、axiosやLiteLLM汚染の確認にも使えます。
2026.05.2737 views
ニュース
WordPress『WPCode』に編集者権限から任意コード実行の脆弱性 CVE-2026-8832、300万サイトはv2.3.6へ即更新を
海外企業セキュリティ開発
WordPressサイト300万件以上で利用されているコードスニペット管理プラグイン『WPCode』に、編集者(Author)以上の権限を持つアカウントからサーバー上で任意のコードを実行できる脆弱性 CVE-2026-8832(CVSS 8.8)が見つかった。Wordfenceが2026年5月27日に公開、ベンダーは前日の5月26日にv2.3.6を緊急リリース済み。
2026.05.2738 views
コラム
「謎の個人ブログ」をGoogleが呼び戻す日。AI記事疲れの先にあるもの
フリーランス開発
2023年のヘルプフルコンテンツアップデートで姿を消した「謎の個人ブログ」を、2026年3月・5月のGoogleコアアップデートはまた呼び戻そうとしている。E-E-A-Tの「経験」追加、AI記事疲れ、Bingが主力になった一介の個人ブログから見える検索の地殻変動を、運用者の目で観測する。
2026.05.2643 views
ニュース
Drupalサイトに認証不要の乗っ取り脆弱性、米政府が5月27日までの修正を命令
インフラセキュリティ開発
米政府CISAが5月27日までの修正を命じた、DrupalのCMS本体に潜むSQL注入の脆弱性。認証なしで誰でも管理者権限を奪える攻撃で、日本のデジタル庁が政府統一サイトで採用するCMSが対象。すでに世界65カ国・6000サイトに攻撃試行が観測されており、PostgreSQLを使う環境のみが影響を受けます。
2026.05.2347 views
ニュース
Langflowに重大欠陥、Webページを開くだけでAIエージェント乗っ取りの恐れ
開発AIセキュリティ
AIエージェント構築の人気OSS『Langflow』にCVSS 9.4の脆弱性が見つかり、CISAは実際に攻撃されている脆弱性カタログに登録しました。悪意あるWebページを開くだけでログイン情報が奪われ、設定済みのOpenAIやAnthropicなどのAPIキーごとAIエージェント基盤が乗っ取られる恐れがあります。修正版1.9.3公開済み。
2026.05.2228 views
ニュース
Mac人気動画プレイヤーIINAに重大脆弱性、不正リンクで乗っ取りの恐れ
Linuxセキュリティ開発
Macで人気のオープンソース動画プレイヤー「IINA」にCVSS 8.8の脆弱性が見つかりました。悪意あるリンクをクリックして起動許可をするだけで、攻撃者があなたのMacで任意のコマンドを実行できる恐れがあります。GitHubスター4.4万を超える人気アプリで、開発元は修正版1.4.3を公開済み。即時アップデート推奨です。
2026.05.2240 views
コラム
【コラム】UMLという科目は卒業していい。体験を先に、名前は後に
フリーランス開発
UMLを教えていた時期がある。現場に戻った今、あの科目をあの形で教え続ける意味はほぼないと感じている。ただし中身は名前を変えて残っている。教育課程に本当に足りないのは「一巡」の体験と、「体験を先、名前は後」という順序でした。
2026.04.2458 views
