ニュース
Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を
インフラセキュリティ開発
動画・写真サーバーPlexの視聴状況を見張る人気ツールTautulliに、深刻度9.9を含む5件の脆弱性が見つかりました。ログインなしでも悪用できる経路があり、組み合わせると管理画面の乗っ取りやサーバー上でのプログラム実行につながります。最新版v2.17.1への更新を。
2026.06.059 min20 views
ニュース
OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可
開発セキュリティインフラ
自前クラウド基盤OpenStackのワークフロー機能Mistralに、深刻度9.9の脆弱性CVE-2026-41283。ログイン済みの利用者なら誰でも任意コードを実行でき、クラウド全体の認証情報を盗まれる恐れがあります。修正版への更新を。
2026.06.049 min30 views
ニュース
Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を
セキュリティ開発インフラ
世界中のネット通販で使われるMagento向け拡張機能に、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-45247(深刻度9.8)が見つかりました。すでに実際の攻撃が始まっており、買い物客のクレジットカード情報が盗まれる恐れがあります。対象店舗は修正版1.11.12への即更新が必要です。
2026.06.049 min41 views
ニュース
Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用
インフラ開発セキュリティ
多くのJava製ネットワークアプリの土台で動くApache MINAに、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-47065(CVSS9.8)が見つかりました。過去の修正をすり抜ける3度目の穴で、対象は2.2.8・2.1.13・2.0.29への即更新が必要です。
2026.06.039 min22 views
ニュース
社内ログイン基盤authentikに脆弱性、空送信で突破 CVE-2026-49448ほか4件
セキュリティ海外企業インフラ
社内のシングルサインオンに広く使われる認証基盤authentikに、深刻な脆弱性が4件見つかりました。最も危ないものは、ログインしていない第三者が空のデータを送るだけで認証ステップを飛ばし、なりすましでログインできてしまう欠陥(CVE-2026-49448・CVSS 9.8)です。対象バージョンと、いますぐ上げるべき修正版、確認手順をまとめました。
2026.06.039 min23 views
ニュース
Linuxのコンテナ脱出脆弱性CVE-2022-0492が悪用中、CISAが修正を指示
インフラセキュリティLinux
Linuxのcgroups v1にあるCVE-2022-0492が実際の攻撃に悪用され、CISAがKEVに追加。release_agentの権限確認欠落でコンテナから脱出・権限昇格が可能です。悪用には特権コンテナ等の条件が必要。カーネル5.17以降への更新と堅牢化を整理します。
2026.06.038 min34 views
ニュース
AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
開発AIセキュリティ
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
2026.06.038 min27 views
ニュース
企業向けCMS Sitefinityに脆弱性5件、無認証で情報露出 CVE-2026-7198ほか
インフラセキュリティ海外企業
企業向けCMSのProgress Sitefinityに脆弱性5件が公表。無認証で非公開コンテンツに不正アクセスできるCVE-2026-7198(9.8)、条件次第で認証情報が平文露出するCVE-2026-7312(10.0)など。MOVEit開発元の製品です。条件差とブランチ別の修正ビルドを整理します。
2026.06.039 min11 views
ニュース
OpenShiftに脆弱性 CVE-2026-1784、低い権限でクラスターの通信を乗っ取り
インフラセキュリティ海外企業
Red HatのOpenShiftに脆弱性CVE-2026-1784が公表。公開設定Routeのspec.path検証不備で、共有ルーターのHAProxy設定に細工を割り込めます。ルート作成権限を持つ利用者が他テナントの通信を盗み見・付け替えする恐れ。CVSS8.8。対象と対策を整理します。
2026.06.028 min13 views
ニュース
WordPress『Kirki』のCVE-2026-8206悪用開始、50万サイトで管理者乗っ取り
開発セキュリティ海外企業
50万サイトで使われるWordPressの人気プラグイン「Kirki」の脆弱性CVE-2026-8206(CVSS9.8)を突く攻撃が始まりました。Defiant(Wordfence)は公表後24時間で222件超をブロック。ログイン不要で管理者を乗っ取られる恐れがあり、対策版6.0.7への即更新と侵害確認の手順を整理します。
2026.06.028 min53 views
ニュース
TP-Link Archer BE450/BE7200に脆弱性 CVE-2026-5509、ファーム更新を
海外企業インフラセキュリティ
TP-Linkの人気Wi-Fi 7ルーター「Archer BE450」(速度表記では「BE7200」と書かれる同じ機種)に、管理画面に入った相手がルーターを乗っ取れる脆弱性CVE-2026-5509が見つかりました。日本の研究者が発見し、修正ファームは公開済み。自分の機種が対象かの見分け方と、いますべきファーム更新・パスワード対策をわかりやすく整理します。
2026.06.027 min31 views
ニュース
Langroidに脆弱性 CVE-2026-25879、AIが書いたSQLでデータベース乗っ取り
開発セキュリティAI
LangroidのSQLChatAgentが、AI生成のSQLを無検査で実行する欠陥CVE-2026-25879(CVSS9.8)。プロンプト注入からDBサーバーのRCEに至ります。v0.63.0への更新と、権限を絞る対策を整理します。
2026.06.028 min27 views
