ニュース
vm2に乗っ取りの脆弱性8件、v3.11.4へ更新を CVE-2026-47131
開発AIセキュリティ
他人が書いたコードを安全に動かすNode.jsの定番部品「vm2」に、サーバーを乗っ取れる脆弱性が8件見つかりました。うち3件は危険度が最高の10.0です。修正版はvm2 3.11.4。ただしvm2は開発終了済みで、根本対策はisolated-vmなど別方式への移行です。npm ls vm2で依存を確認してください。
2026.06.1311 min12 views
ニュース
MariaDBにサーバー乗っ取りの脆弱性、Galera利用者は更新を CVE-2026-49261
インフラセキュリティ開発
定番データベースMariaDBに、危険度が最高値10.0の脆弱性CVE-2026-49261が見つかりました。複数台で同期する「Galeraクラスタ」構成で、通知機能wsrep_notify_cmdが有効な環境が対象で、ノード名経由でサーバーを乗っ取られる恐れがあります。1台だけの単独サーバーは非該当。Galera利用者は修正版(10.6.27/10.11.18/11.4.12/11.8.8/12.3.2)へ今すぐ更新が必要です。
2026.06.128 min31 views
ニュース
axiosに認証情報が盗まれる脆弱性、最新版へ今すぐ更新を CVE-2026-44494
インフラ開発セキュリティ
世界中のアプリが使うHTTP通信ライブラリ「axios」に、クラウドの認証情報が漏れるSSRF(CVE-2026-44492)と、通信を乗っ取る中間者攻撃につながるプロトタイプ汚染(CVE-2026-44494)の2件が見つかりました。修正版は1.16.0以上(旧系列は0.32.0)、最新は1.17.0です。間接依存で古い版が潜むことも多く、npm ls axios での確認と更新が必要です。
2026.06.129 min40 views
ニュース
GitLabにアカウント乗っ取りの脆弱性、社内設置は今すぐ更新 CVE-2026-6552
インフラセキュリティ開発
GitLabが12件の脆弱性をまとめて修正しました。グループの管理役の権限で他の利用者のアカウントを乗っ取れる穴や、ログインなしでサービスを止められる穴を含みます。自社サーバーに置いて使っている企業は、最新版(19.0.2/18.11.5/18.10.8)へ今すぐ更新が必要です。GitLab.com利用者は対応済みです。
2026.06.118 min28 views
ラボ
npm v12でnpm installが変わる、依存スクリプトの自動実行が止まる
セキュリティ開発
毎日叩く「npm install」の挙動がnpm v12(2026年7月予定)で変わり、依存パッケージのインストール時スクリプトが自動実行されなくなります。v11以前に何が起きていたかを実際に再現しつつ、変更点・気づかず受けていた恩恵・今やるべき準備を解説します。
2026.06.119 min35 views
ニュース
Oracleの人事給与システムPeopleSoftに緊急脆弱性、ログインなしでサーバー乗っ取りの恐れ CVE-2026-35273、定例外パッチを今すぐ
インフラ海外企業セキュリティ
Oracleが、大企業や大学・官公庁の人事給与システムPeopleSoftの脆弱性CVE-2026-35273(CVSS 9.8)に緊急パッチを公開。ログインなしでネットワーク越しにサーバーを乗っ取られ、全従業員・全学生の個人情報や給与・口座が一度に盗まれる恐れがある。四半期の定例を待たない異例の対応で、対象のPeopleTools 8.61・8.62は今すぐ適用を。
2026.06.119 min146 views
ニュース 5日前更新
三菱電機のエアコンや冷蔵庫など家電に脆弱性、同じWi-Fiの第三者から遠隔操作を止められる恐れ CVE-2025-49604、修正版へ更新を
モバイル国内企業セキュリティ
三菱電機が、Wi-Fi対応のエアコン・冷蔵庫・炊飯器・IHなど幅広い家電に脆弱性CVE-2025-49604を公表。同じWi-Fiにつないだ機器から細工した通信を送られると、家電のWi-Fiが一時的に止まり、スマホアプリからの遠隔操作ができなくなる恐れがある。情報漏えいや乗っ取りのリスクはないが、対象機種は修正版ファームへの更新を。
2026.06.119 min46 views
ニュース
広告ブロッカーPi-holeに脆弱性、同じネット上の第三者にパスワードなしで管理画面を乗っ取られる恐れ CVE-2026-44693、v6.6.1へ更新を
セキュリティインフラLinux
自宅・社内ネットで広く使われる広告ブロッカーPi-holeの中核エンジンFTLに脆弱性(CVE-2026-44693、CVSS 8.8)。同じネットワーク上の第三者が、管理者の操作中に大量アクセスを送るとセッションIDを盗み、パスワードなしで管理画面を乗っ取れる。DNSの書き換えや通信履歴の閲覧が可能に。影響はv6.0〜v6.6.0、v6.6.1以降へ今すぐ更新を。
2026.06.118 min15 views
ニュース
Linux起動ツールDracutに脆弱性、同じ回線につながれた偽の機器から乗っ取りの恐れ CVE-2026-6893、ネットワーク起動環境は要対策
セキュリティインフラLinux
多くのLinuxの起動の入口を担うツールDracutに脆弱性(CVE-2026-6893、CVSS 8.8)。同じネットワーク上の偽サーバーから、端末が起動した瞬間に管理者権限で乗っ取られる恐れ。守りが立ち上がる前の起動最初期が狙われる。対象はネットワーク起動(PXE等)の環境で、各ディストリの更新適用とネットワーク隔離を。
2026.06.119 min29 views
ニュース 6日前更新
監視ツールSplunkに脆弱性2件、ログインなしでサーバーのファイルを破壊も CVE-2026-20253ほか、最新版へ更新を
海外企業セキュリティインフラ
企業の監視・ログ基盤Splunkに深刻な脆弱性2件(CVE-2026-20253ほか、最大CVSS 9.8)。ログインなしでサーバー上のファイルを作成・破壊でき、一般権限のアカウントからは任意コード実行でサーバーを乗っ取られる恐れ。社内の「監視塔」が攻撃の標的に。Splunk Enterpriseは10.2.4または10.0.7以降へ即更新を。
2026.06.119 min150 views
ニュース
Red HatのVMware移行ツールに脆弱性6件、vCenterの管理者情報やKubernetes鍵が漏れる恐れ CVE-2026-53474ほか
セキュリティインフラ海外企業
VMware脱出の移行先候補Red Hat OpenShiftの無料診断ツール「OpenShift Migration Advisor」に深刻な脆弱性6件(CVE-2026-53469〜53476、最大CVSS 9.6)。SaaSのテナント分離崩壊で他社の構成情報・トークン窃取や全顧客データ削除、RVTools経由のSQLiでKubernetes鍵読み出し、社内エージェントの平文通信でvCenter管理者情報を傍受。エージェント更新と資格情報ローテーションを。
2026.06.119 min23 views
ニュース
NSAの解析ツールGhidraに脆弱性4件、ファイルを開くだけで乗っ取りも CVE-2026-52751ほか、12.1.2へ更新を
セキュリティ開発
NSAの無料解析ツールGhidraに深刻な脆弱性4件(CVE-2026-52751/49498/52754/52758、いずれもCVSS 8.8)。最も危険なCVE-2026-52751は認証不要で、細工されたプロジェクトファイルを開くだけで任意コード実行。残り3本はGhidra Serverのデータベース乗っ取り・なりすまし。12.1.2へ即更新を。
2026.06.119 min24 views
