ニュース 2日前更新
AI部品Guardrails AIに毒入りパッケージ混入 CVE-2026-45758、TeamPCP連続攻撃の新標的
AIセキュリティ
LLMの入出力を検証する人気OSS部品Guardrails AIのPyPI配布物に、認証情報を盗む毒入り版0.10.1が混入しました。CVE-2026-45758でCVSSは9.6。攻撃グループTeamPCPがTanStackやMistral AIなど170超のパッケージに400以上の毒入り版をばらまいた連続サプライチェーン攻撃の一部で、標的がAI開発に拡大。安全な版と確認・対処手順をまとめます。
2026.06.069 min3 views
ニュース 2日前更新
人気VS Code拡張にMarkdownを開くだけで乗っ取りの脆弱性3件 CVE-2026-49492ほか、0.8.28へ
開発セキュリティ
約950万インストールの人気VS Code拡張Markdown Preview Enhancedに、悪意あるMarkdownファイルを開いてプレビューするだけでパソコンを乗っ取られる脆弱性が3件見つかりました。CVE-2026-49492/49493/50733でCVSSは各8.8。図や数式を描く処理が文章をコードとして実行する欠陥で、いずれも0.8.28で修正済み。対象バージョンと更新手順をまとめます。
2026.06.069 min5 views
ニュース 2日前更新
SolarWinds Serv-Uに外部からサービス停止の脆弱性 CVE-2026-28318、悪用確認で即更新を
セキュリティインフラ
企業のファイル転送サーバーSolarWinds Serv-Uに、認証なしで細工した通信を送るだけでサービスを停止させられる脆弱性が見つかりました。CVE-2026-28318でCVSSは7.5。米CISAが2026年6月5日に実際に悪用されているとしてKEVに登録し、連邦機関に6月19日までの対処を命じました。対象バージョンと修正版15.5.4-hotfix-1、いますべきことをまとめます。
2026.06.069 min9 views
ニュース 2日前更新
7-Zipにファイルを開くだけで乗っ取りの脆弱性 CVE-2026-48095、26.01へ更新を
セキュリティ開発
無料の圧縮・解凍ソフト7-Zipに、細工されたファイルを開くだけでパソコンを乗っ取られかねない脆弱性が見つかりました。CVE-2026-48095でCVSSは8.8。バージョン26.00以前が対象で、zipやrarに偽装したファイルでも発火します。7-Zipには自動更新がなく実証コードも公開済み。対象バージョンと更新手順、いますべきことをまとめます。
2026.06.069 min3 views
ニュース 2日前更新
TP-LinkのTapo家電に通信傍受の脆弱性 CVE-2026-34126、設定時に更新を
プライバシーセキュリティ
TP-Linkのスマート家電ブランドTapoの電球・電源タップ・見守りチャイムで、初期設定時のBluetooth通信が暗号化されず、近くの第三者に通信を盗み見られたり機器を乗っ取られる恐れが見つかりました。脆弱性はCVE-2026-34126。修正版ファームウェアが公開済みで、対象機種の更新方法と設定済みの場合の対処をまとめます。
2026.06.059 min12 views
ニュース 3日前更新
ラベル印刷ソフトBarTenderに乗っ取りの脆弱性 CVE-2026-25550
インフラセキュリティ
工場や倉庫、物流でラベルやバーコードの印刷に広く使われるソフトBarTenderの古い世代(2010・2016・2019)に、深刻度9.8の脆弱性CVE-2026-25550が見つかりました。ログインなしで遠隔からパソコンを乗っ取られ、最も強い権限でプログラムを実行される恐れがあります。最新版への移行と通信遮断を。
2026.06.059 min8 views
ニュース 3日前更新
Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を
インフラセキュリティ開発
動画・写真サーバーPlexの視聴状況を見張る人気ツールTautulliに、深刻度9.9を含む5件の脆弱性が見つかりました。ログインなしでも悪用できる経路があり、組み合わせると管理画面の乗っ取りやサーバー上でのプログラム実行につながります。最新版v2.17.1への更新を。
2026.06.059 min11 views
ニュース 3日前更新
OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可
開発セキュリティインフラ
自前クラウド基盤OpenStackのワークフロー機能Mistralに、深刻度9.9の脆弱性CVE-2026-41283。ログイン済みの利用者なら誰でも任意コードを実行でき、クラウド全体の認証情報を盗まれる恐れがあります。修正版への更新を。
2026.06.049 min16 views
ニュース 4日前更新
Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を
セキュリティ開発インフラ
世界中のネット通販で使われるMagento向け拡張機能に、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-45247(深刻度9.8)が見つかりました。すでに実際の攻撃が始まっており、買い物客のクレジットカード情報が盗まれる恐れがあります。対象店舗は修正版1.11.12への即更新が必要です。
2026.06.049 min21 views
ニュース 4日前更新
Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用
インフラ開発セキュリティ
多くのJava製ネットワークアプリの土台で動くApache MINAに、ログイン無しでサーバーを乗っ取られる脆弱性CVE-2026-47065(CVSS9.8)が見つかりました。過去の修正をすり抜ける3度目の穴で、対象は2.2.8・2.1.13・2.0.29への即更新が必要です。
2026.06.039 min3 views
ニュース 5日前更新
社内ログイン基盤authentikに脆弱性、空送信で突破 CVE-2026-49448ほか4件
海外企業インフラセキュリティ
社内のシングルサインオンに広く使われる認証基盤authentikに、深刻な脆弱性が4件見つかりました。最も危ないものは、ログインしていない第三者が空のデータを送るだけで認証ステップを飛ばし、なりすましでログインできてしまう欠陥(CVE-2026-49448・CVSS 9.8)です。対象バージョンと、いますぐ上げるべき修正版、確認手順をまとめました。
2026.06.039 min9 views
ニュース 5日前更新
Linuxのコンテナ脱出脆弱性CVE-2022-0492が悪用中、CISAが修正を指示
インフラセキュリティLinux
Linuxのcgroups v1にあるCVE-2022-0492が実際の攻撃に悪用され、CISAがKEVに追加。release_agentの権限確認欠落でコンテナから脱出・権限昇格が可能です。悪用には特権コンテナ等の条件が必要。カーネル5.17以降への更新と堅牢化を整理します。
2026.06.038 min15 views
