ニュース 2日前更新
人気VS Code拡張にMarkdownを開くだけで乗っ取りの脆弱性3件 CVE-2026-49492ほか、0.8.28へ
開発セキュリティ
約950万インストールの人気VS Code拡張Markdown Preview Enhancedに、悪意あるMarkdownファイルを開いてプレビューするだけでパソコンを乗っ取られる脆弱性が3件見つかりました。CVE-2026-49492/49493/50733でCVSSは各8.8。図や数式を描く処理が文章をコードとして実行する欠陥で、いずれも0.8.28で修正済み。対象バージョンと更新手順をまとめます。
2026.06.069 min5 views
ニュース 2日前更新
7-Zipにファイルを開くだけで乗っ取りの脆弱性 CVE-2026-48095、26.01へ更新を
セキュリティ開発
無料の圧縮・解凍ソフト7-Zipに、細工されたファイルを開くだけでパソコンを乗っ取られかねない脆弱性が見つかりました。CVE-2026-48095でCVSSは8.8。バージョン26.00以前が対象で、zipやrarに偽装したファイルでも発火します。7-Zipには自動更新がなく実証コードも公開済み。対象バージョンと更新手順、いますべきことをまとめます。
2026.06.069 min3 views
ニュース 3日前更新
Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を
インフラセキュリティ開発
動画・写真サーバーPlexの視聴状況を見張る人気ツールTautulliに、深刻度9.9を含む5件の脆弱性が見つかりました。ログインなしでも悪用できる経路があり、組み合わせると管理画面の乗っ取りやサーバー上でのプログラム実行につながります。最新版v2.17.1への更新を。
2026.06.059 min11 views
ニュース 3日前更新
OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可
開発セキュリティインフラ
自前クラウド基盤OpenStackのワークフロー機能Mistralに、深刻度9.9の脆弱性CVE-2026-41283。ログイン済みの利用者なら誰でも任意コードを実行でき、クラウド全体の認証情報を盗まれる恐れがあります。修正版への更新を。
2026.06.049 min16 views
ニュース 4日前更新
Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を
セキュリティ開発インフラ
世界中のネット通販で使われるMagento向け拡張機能に、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-45247(深刻度9.8)が見つかりました。すでに実際の攻撃が始まっており、買い物客のクレジットカード情報が盗まれる恐れがあります。対象店舗は修正版1.11.12への即更新が必要です。
2026.06.049 min21 views
ニュース 4日前更新
Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用
インフラ開発セキュリティ
多くのJava製ネットワークアプリの土台で動くApache MINAに、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-47065(CVSS9.8)が見つかりました。過去の修正をすり抜ける3度目の穴で、対象は2.2.8・2.1.13・2.0.29への即更新が必要です。
2026.06.039 min3 views
ニュース 5日前更新
AmazonのAI開発ツールKiroに脆弱性 CVE-2026-10591、開くだけでコード実行
開発AIセキュリティ
AmazonのAI開発ツールKiroに脆弱性CVE-2026-10591が公表。AIのファイル書き込み機能が.vscode/tasks.jsonに書き込め、フォルダを開くと攻撃者のコマンドが自動実行されます。プロンプトインジェクションが起点。CVSS8.8、修正版0.11へ更新を。
2026.06.038 min22 views
ニュース 本日更新
WordPress『Kirki』のCVE-2026-8206悪用開始、50万サイトで管理者乗っ取り
開発セキュリティ海外企業
50万サイトで使われるWordPressの人気プラグイン「Kirki」の脆弱性CVE-2026-8206(CVSS9.8)を突く攻撃が始まりました。Defiant(Wordfence)は公表後24時間で222件超をブロック。ログイン不要で管理者を乗っ取られる恐れがあり、対策版6.0.7への即更新と侵害確認の手順を整理します。
2026.06.028 min24 views
ニュース 5日前更新
Langroidに脆弱性 CVE-2026-25879、AIが書いたSQLでデータベース乗っ取り
開発セキュリティAI
LangroidのSQLChatAgentが、AI生成のSQLを無検査で実行する欠陥CVE-2026-25879(CVSS9.8)。プロンプト注入からDBサーバーのRCEに至ります。v0.63.0への更新と、権限を絞る対策を整理します。
2026.06.028 min21 views
ニュース 6日前更新
WordPress『Gravity Forms』など4件に脆弱性、CVE-2026-48866を即更新
海外企業開発セキュリティ
WordPressの人気プラグイン4製品に深刻な脆弱性。フォーム作成のGravity Forms(CVE-2026-48866)でファイル削除、Contest Gallery・wpForo・AIWUで権限奪取が可能。多くが無認証で悪用でき、修正版への即更新が必要です。
2026.06.028 min11 views
ニュース
Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正
開発セキュリティ
オープンソースのマーケティングオートメーション「Mautic」に、テーマアップロード機能経由でリモートコード実行できるCVE-2026-9558(CVSS 9.9)。Twigテンプレートがサンドボックスなしでレンダリングされていた。修正版は7.1.2 / 6.0.9 / 5.2.11 / 4.4.20(ELTS)。同じリリースでSQLi・SSRF・パストラバーサルなど合計7件のCVEがまとめてパッチ。Acquiaが日本法人で支援するMA基盤、18,000サイトが影響対象。
2026.05.299 min5 views
ニュース
ACF Extendedに4か月で2回目の管理者作成、CVE-2026-8809、0.9.2.6で修正
セキュリティ開発
WordPressプラグイン「Advanced Custom Fields: Extended」に認証不要で管理者ユーザーを作成できるCVE-2026-8809(CVSS 9.8)。0.9.2.5以前が影響、修正は0.9.2.6。100,000サイト影響、ACFEで4か月以内に2回目の同型バグ。公式changelogには「CSS微調整」とだけ記載のサイレント修正。
2026.05.299 min10 views
