ニュース
Cloud Foundryの認証サーバーで秘密鍵漏えい CVE-2026-40965
セキュリティインフラ海外企業
Cloud Foundryの認証サーバーUAAで、公開ページからEC秘密鍵が漏れるCVE-2026-40965(CVSS10.0)が公表。トークン偽造に直結します。影響はEC鍵構成のみ。対象版と、見落としがちな鍵の作り替えまで整理します。
2026.06.028 min23 views
ニュース
WebLogicの脆弱性CVE-2024-21182が悪用中、CISAが緊急是正を指示
インフラ海外企業セキュリティ
Oracle WebLogic Serverの脆弱性CVE-2024-21182を、米CISAが悪用確認リスト(KEV)に追加。ログインなしでデータを読み取られる欠陥で、修正は2024年7月公開済み。対象の確認と対策を整理します。
2026.06.027 min66 views
ニュース
WordPress『Gravity Forms』など4件に脆弱性、CVE-2026-48866を即更新
海外企業開発セキュリティ
WordPressの人気プラグイン4製品に深刻な脆弱性。フォーム作成のGravity Forms(CVE-2026-48866)でファイル削除、Contest Gallery・wpForo・AIWUで権限奪取が可能。多くが無認証で悪用でき、修正版への即更新が必要です。
2026.06.028 min18 views
ニュース
CATIAの設計データ共有サーバーに無認証侵入の脆弱性 CVE-2026-7858
セキュリティインフラ海外企業
設計ソフトCATIAの開発元ダッソーが、設計データ共有サーバーTeamwork Cloudの無認証乗っ取りCVE-2026-7858(CVSS9.8)など2件を公表。自動車・航空など製造業が対象。影響範囲と今すぐの対策を整理します。
2026.06.018 min33 views
ニュース 2日前更新
2026年上半期、日本企業を狙った重大な脆弱性まとめ【CVE一覧・KEV対応】
国内企業インフラセキュリティ
2026年上半期、日本企業がよく使う製品で見つかった重大な脆弱性を横断でまとめたハブです。富士通ServerView・NEC Aterm・トレンドマイクロApex Oneなどの国産大手から、Oracle・IBM・F5・Drupal・SharePointといった海外製品まで、情シスが押さえるべき案件だけを厳選。JVNとCISA KEVの違い、上半期の傾向、いま確認すべきことを解説します。
2026.06.019 min51 views
ニュース
問い合わせ管理OTRSに侵入の脆弱性 CVE-2026-48188、特定設定なら無認証
セキュリティプライバシー
問い合わせ管理システムOTRSに無認証で侵入できる脆弱性CVE-2026-48188(CVSS 9.1)。ただし発動はMySQL/MariaDBが特定のSQLモードの場合に限られます。修正版は2026.4.X以降、保守終了の無償版が最も危険です。
2026.06.017 min24 views
ニュース
富士通ServerView Agentsに権限奪取の穴 CVE-2026-27788/32325、即更新を
インフラ国内企業セキュリティ
富士通系のエフサステクノロジーズが提供するサーバ管理ソフトServerView Agents for Windowsに、権限昇格の脆弱性が2件(CVE-2026-27788/CVE-2026-32325、いずれもCVSS8.5)見つかりました。対象はV11.60.04以前で、サーバにログインできる者が最高権限を奪取できます。
2026.06.017 min423 views
ニュース
ログイン基盤Casdoorに認証回避の穴9件 CVE-2026-9090ほか修正版なし
プライバシーセキュリティ
米CERT/CCが2026年5月28日、オープンソースのログイン基盤Casdoorに認証回避とアカウント乗っ取りにつながる脆弱性を9件まとめて公開しました。対象は2.362.0以前で、修正版はまだ出ていません。
2026.06.018 min32 views
ニュース
採用管理ソフトOpenCATSに脆弱性、求職者データ流出の恐れ CVE-2026-49489
プライバシーセキュリティ
人材会社が使う採用管理ソフトOpenCATS(0.9.7.4以前)に脆弱性CVE-2026-49489(CVSS 8.5)。ログインできれば誰でも求職者データを抜ける状態で、実証コードも公開済み。修正版は未公開。
2026.05.316 min18 views
ニュース
Palo AltoのVPNに認証回避の穴 CVE-2026-0257、攻撃発生中で即更新を
インフラセキュリティ
企業向けVPN『Palo Alto GlobalProtect』に、正規のID不要で社内ネットに接続できる認証回避の脆弱性CVE-2026-0257。証明書の使い回しを突いて接続用Cookieを偽造される仕組みで、すでに実際の攻撃を観測。CISAがKEVに登録し米政府は6月1日まで修正を命令。PAN-OS 10.2/11.1/11.2/12.1系が対象で、影響範囲と修正版、確認すべき侵害痕跡を一覧で整理。
2026.05.309 min49 views
ニュース
Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
開発セキュリティ
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
2026.05.299 min19 views
ニュース
ACF Extendedに4か月で2回目の管理者作成、CVE-2026-8809、0.9.2.6で修正
セキュリティ開発
WordPressプラグイン「Advanced Custom Fields: Extended」に認証不要で管理者ユーザーを作成できるCVE-2026-8809(CVSS 9.8)。0.9.2.5以前が影響、修正は0.9.2.6。100,000サイト影響、ACFEで4か月以内に2回目の同型バグ。公式changelogには「CSS微調整」とだけ記載のサイレント修正。
2026.05.299 min20 views
