トップ/記事一覧/【無料】OSS脆弱性スキャナー|npm/Pythonの依存を貼るだけ即チェック
oss-supply-chain-scanner-cover-ja

【無料】OSS脆弱性スキャナー|npm/Pythonの依存を貼るだけ即チェック

package.jsonやrequirements.txtを貼り付けるだけで、npmやPyPIの依存ライブラリにOSSサプライチェーン攻撃の影響がないかをOSV.devで10秒で確認できる無料ツールです。pyproject.tomlにも対応、ブラウザだけで完結、アカウント登録不要、axiosやLiteLLM汚染の確認にも使えます。

ラボ2026年5月27日公開最終更新 2026年5月28日
目次
この記事のポイント

package.jsonやrequirements.txtを貼り付けるだけで、npmやPyPIの依存ライブラリにOSSサプライチェーン攻撃の影響がないかをOSV.devで10秒で確認できる無料ツールです。pyproject.tomlにも対応、ブラウザだけで完結、アカウント登録不要、axiosやLiteLLM汚染の確認にも使えます。

依存関係を貼って10秒、脆弱性が混じっていないかを判定するブラウザ完結スキャナー

package.jsonrequirements.txtpyproject.tomlのいずれかを下のテキストエリアに貼り付けて「スキャン」を押すと、依存している外部ライブラリに既知の脆弱性が残っていないかをその場で判定します。アカウント登録もインストールも不要、ブラウザだけで動きます。

作った動機はこの半年の事件です。axios(週間1億DL)の汚染LiteLLMの乗っ取りTrivyから連鎖した4OSSの陥落GlassWormによる不可視マルウェアと、OSSサプライチェーン攻撃が日常風景になりました。「うちのプロジェクトは大丈夫か」を、CLIを叩かずに10秒で確認したくて作ったのが本ツールです。

サンプル3種類は「npm」「pip」「Poetry」のボタンから読み込めます。手元のファイルがなくても挙動だけ確認できます。

OSSサプライチェーン汚染スキャナー

入力例:

データソース: OSV.dev(Google・CC BY 4.0)/検索結果はクライアント側で実行され、貼り付けた内容はOSV.dev以外には送信されません。

そもそも何をやっているのか——出てきた用語のおさらい

スキャナーを触ってみて「結果に出てくるCVEとかGHSAとかOSVって何?」「package.jsonに書いてある依存関係って結局なに?」と思った方向けに、この記事に出てくる主な用語を一段下のレベルで整理しておきます。普段からCIにスキャナーを組み込んで使っているエンジニアは、この節は読み飛ばしても問題ありません。

用語ひとことでもう一段詳しく
依存関係
(dependencies)
自分のプロジェクトが動くために
借りている他人の部品
Webアプリ1本に数十〜数千個のライブラリが
連なるのが普通。
本ツールは「直接借りている部品」だけを見る
package.jsonNode.js / npm プロジェクトの
依存リスト
「うちはこのライブラリのこのバージョンを
使います」と書いてある JSON ファイル
requirements.txtPython / pip プロジェクトの
依存リスト
pip install -r requirements.txt
まとめて入れるための一覧
pyproject.tomlPython の新しい依存リスト形式
(Poetry / uv / Rye)
requirements.txt の現代版。
PEP 621 という規格に沿って、
1ファイルでプロジェクト全体を記述する
CVE世界共通の
「脆弱性の通し番号」
Common Vulnerabilities and Exposures。
例: CVE-2026-8832
米MITRE 社が中心となり全世界で運用
GHSAGitHub が独自に発行する
脆弱性アドバイザリ
GitHub Security Advisory。
例: GHSA-xxxx-xxxx-xxxx
npm / PyPI 等のパッケージに密着しており、
CVE が振られる前にこちらが先行する事もある
OSV複数の脆弱性情報を
束ねた巨大データベース
Open Source Vulnerability。
Google が中心、GitHub・PyPA・Rust Foundation
等のデータを統合。
本ツールはここに問い合わせている
SemVerバージョン番号の付け方の
世界共通ルール
Semantic Versioning。
1.2.3 = メジャー.マイナー.パッチ。
^1.2.3 は「1系のうち最新を取る」の意味
サプライチェーン
攻撃
借りている部品の中身が
こっそり書き換えられる攻撃
数百万〜数億 DL のライブラリが
毒入りバージョンを公開する事件。
世界中のプロジェクトが
一斉に汚染される

ひと続きの流れに直すと、「自分のプロジェクトが借りている部品(依存関係)の一覧(package.json 等)を見て、それぞれの部品に振られたセキュリティの傷の番号(CVE / GHSA)が、巨大な傷リスト(OSV)に登録されていないか照合する」のがこのスキャナーの仕事です。サプライチェーン攻撃は、その「借りている部品」自体に毒を入れる手口。家の鍵を作る業者ごと買収されてしまうイメージです。

普段からCIに npm auditTrivy を組み込んでいるチームは、この処理が裏で常時走っているわけで、本ツールはその「裏で動いている処理」を、ブラウザで1回だけ手動で叩いてみる窓口と捉えるとイメージが合います。

なぜブラウザ完結にこだわったか

同じことをするツールはすでに山ほどあります。npm auditpip-auditTrivy、Snyk、Dependabot。本職のエンジニアならどれかしらをCIに組み込んでいるはずです。

それでも、実務でこの種のツールが欲しくなるのは、CIに組み込まれた監視とは別の文脈です。

  • 取引先から受け取ったpackage.jsonの中身を、PRレビュー前にざっと見たい
  • OSSサプライチェーン攻撃のニュースを見た直後、社内Slackで「うちのプロダクト大丈夫?」と聞かれたとき
  • GitHubで気になったライブラリのリポジトリを見つけて、依存の健康診断だけ先にやりたい
  • 非エンジニアの上司や、業務委託のフリーランスが書いたコードをチェックしたい

どれも「ローカルにツールを入れるほどじゃない」「VPN・社内プロキシでCLIが弾かれる」「権限がない」という、軽い摩擦のあるシーンです。ブラウザに貼って押すだけ、にしておけば10秒で済みます。

もうひとつの理由は、本サイトで書いてきた個別の攻撃事件と紐付けたかったからです。axios・LiteLLM・Trivy・GlassWorm・TeamPCPと、過去記事は単体で読んでも事件のあらすじしか分かりません。「で、自分はどうチェックするのか」の出口がなかった。このツールがその出口になります。

裏側の仕組み——全部ブラウザの中で動いている

このツールにはサーバーがありません。HTMLとJavaScriptだけで構成されており、貼り付けた内容はOSV.dev の公開APIに直接送られて、その結果がブラウザ側で整形されます。Google・GitHub・PyPA・Rust Foundationなどが運営する脆弱性データベースで、認証不要・CORS対応済み・1リクエスト最大1,000パッケージまで投げられます。

処理の流れはこの4ステップです。

ステップ処理内容使っているもの
① 形式判定{ で始まれば npm、[project] 等を含めば Poetry、
それ以外は requirements.txt と判定
自前のヒューリスティック
② 依存抽出JSON.parse / TOMLパース /
1行ずつ正規表現
smol-toml
③ バージョン正規化^1.7.7>=2.0.0,<3
「最低互換バージョン」に変換
semver
④ 脆弱性突合OSV.dev の /v1/querybatch
全依存を1リクエストで投げる
fetch API

③のバージョン正規化が、実装でいちばん厄介でした。^1.7.7 のような範囲指定はOSV.devが受け付けないので、こちらで具体的なバージョン番号に変換する必要があります。SemVer範囲の「最低互換バージョン」を取れる関数semver.minVersion()を使って、安全側に倒して問い合わせています。

結果として、たとえば"axios": "^1.7.7"と書いてあっても「1.7.7 として」問い合わせます。実際にインストールされたバージョン(1.7.9とか1.8.2)と微妙にズレますが、ロックファイルなしでも最低限の警告は出せます。ロックファイル(package-lock.jsonpoetry.lock等)を見ない範囲では、これが落とし所だと判断しました。

突合本体のコードはこの程度の短さです(全コードはツール本体のHTMLソースに含まれています)。

// 依存関係を OSV.dev に1リクエストで投げる
const queries = deps.map(d => ({
  package: { name: d.name, ecosystem: d.ecosystem }, // npm / PyPI
  version: d.resolvedVersion,                         // semver.minVersion() で正規化済み
}));

const res = await fetch("https://api.osv.dev/v1/querybatch", {
  method: "POST",
  headers: { "Content-Type": "application/json" },
  body: JSON.stringify({ queries }),
});
const { results } = await res.json();
// results[i] が deps[i] に対応。vulns 配列が空でなければ脆弱性あり。

バックエンドAPIを立てていないのは、コストもあるのですが、それ以上に「貼り付けた内容をこちらのサーバーに送る必要がない」点が大きい。プロプライエタリな社内コードのpackage.jsonでも、OSV.devを経由する以外はどこにも保存されません。データソースの透明性をそのまま使えるのがOSV.dev経由の利点です。

対応している入力形式の細かい話

package.json(npm / yarn / pnpm 共通)

dependenciesdevDependenciesoptionalDependenciespeerDependenciesを全て拾います。workspaces(ローカル参照)とnpm:プレフィックス(パッケージエイリアス)は除外。git+ssh://等のVCS指定もスキップします。

requirements.txt(pip / pip-tools / pipenv-lock経由のexport)

== >= ~= != を解釈します。同一行の複数指定(django>=4.0,<5.0)はカンマで分割して最低バージョンを採用。-r(他ファイル参照)、-e(編集可能インストール)、--index-url等のオプション行はスキップ。コメント行(# 始まり)も無視します。

pyproject.toml(Poetry / uv / Rye / PEP 621)

2つの書式が混在しているのが厄介で、両方サポートしました。

  • PEP 621標準(uv / Rye / Hatch等): [project].dependencies 配列と [project.optional-dependencies]。中身は"requests>=2.28.0"のようなPEP 508文字列。
  • Poetry形式: [tool.poetry.dependencies] オブジェクトと [tool.poetry.group.*.dependencies]。値はSemVer風文字列("^2.28.0")または { version = "...", extras = [...] } のテーブル形式。

TOMLパーサには軽量なsmol-tomlを採用しました。pythonキーや、{path = "..."}{git = "..."}のローカル/VCS参照は突合対象外として除外しています。

このツールではわからないこと

使いどころを誤ると過信に繋がるので、見えていない範囲を先に並べておきます。

  • ? 推移的依存(依存の依存)は見えません。トップレベルの依存だけが対象です。package-lock.jsonpoetry.lockを貼れば全依存をスキャンできますが、本ツールはサイズが軽い宣言ファイルだけを想定しています
  • ? ロックファイルなしのバージョンは最低互換版で評価しています。実際にインストールされたバージョンとは微妙にズレます。0day直撃の判定には使えないと考えてください
  • ? 未公開の脆弱性は当然出ません。OSV.devに登録されてから反映されるまでにはタイムラグがあります
  • ? マルウェア混入そのものは検知できません。汚染パッケージにCVEやGHSAが振られていればヒットしますが、サプライチェーン攻撃の初動24時間は無防備です。GlassWormのような不可視マルウェアも対象外です

本格的にやるなら、CIにnpm auditTrivyを組み込み、SBOM運用とロックファイルのコミットを徹底するのが筋です。このツールはあくまで「貼って10秒で雰囲気をつかむ」用途と割り切ってください。

2025〜2026年のサプライチェーン攻撃事例

本サイトで追ってきた直近の攻撃事例を時系列で並べておきます。各事件の検知方法や影響範囲は、それぞれの記事に書いています。

時期事件影響規模関連記事
2026-05axios汚染(npm)週間1億DL
パッケージにRAT
axios記事
2026-04Trivy連鎖攻撃10日で4OSSが陥落
守る側のツールが破られた
Trivy連鎖Trivy3度目
2026-04Telnyx PyPI侵害WAVファイルに
マルウェアを隠す手口
Telnyx記事
2025-12LiteLLM乗っ取り月間9,500万DL
Python起動だけで感染
LiteLLM乗っ取り.pth追跡
2025-10GlassWorm見えない文字で
マルウェアを隠す手口
GlassWorm記事

パターンは毎回違いますが、起点は同じです。「信頼しているパッケージのバージョンを上げたら、いつの間にか別の人が中身を書き換えていた」。普段触らない依存ファイルを定期的に確認する習慣がそのまま防衛線になります。

追加してほしい機能・要望

現状の優先実装は「3形式のテキスト貼り付け」までで、以下は次の更新で考えています。

  • package-lock.jsonpoetry.lock対応(推移的依存も含めたスキャン)
  • Gemfile / Cargo.toml / go.mod対応
  • GitHub URL貼り付けでリポジトリ直接スキャン(CORS対応の関係でAPIプロキシが必要)

必要そうなものがあれば、本記事のコメントやお問い合わせから教えてもらえると、優先度を組み替えます。

参照元・ライセンス

  • 脆弱性データ: OSV.dev(運営: Google、GitHub Security Advisory・PyPA・Rust Foundation等のソースを統合、CC BY 4.0
  • API仕様: OSV API Documentation
  • SemVer解釈ライブラリ: node-semver(npm Inc., ISCライセンス)
  • TOMLパーサ: smol-toml(Cynthia Rey, BSD-3-Clauseライセンス)
  • 外部CDN: esm.sh (ESMモジュール配信)

OSV.devの脆弱性メタデータはCC BY 4.0の下に再配布されています。本ツールはOSV.dev/Googleの提供サービスではなく、本サイトが独立に提供するクライアントです。

avatar-m-1

堀川 慎

Backend Engineer / AWS / Django / Go

関連記事

cve-digest-2026-07-11-cover-ja
ニュース

【2026年7月11日】セキュリティ脆弱性まとめ ― WordPressプラグイン7件で管理者乗っ取りが連鎖、一般利用者への影響は

2026年7月11日
mcp-server-kubernetes-cve-cover-ja
ニュース

AIにサーバー群を操作させる連携ツール『mcp-server-kubernetes』に脆弱性、クラスタ管理者の認証情報が盗まれる恐れ CVE-2026-61459、最新版へ即更新を

2026年7月11日
9router-cve-cover-ja
ニュース

人気AIコーディングルーター『9Router』に脆弱性が相次ぐ、保存したAPIキーやトークンが丸ごと盗まれる恐れ CVE-2026-55500ほか、最新版へ即更新を

2026年7月11日
cline-cve-cover-ja
ニュース

500万人が使うAIコーディングツール『Cline』に乗っ取りの脆弱性、悪意あるサイトを開くだけでPC操作やAPIキー窃取の恐れ CVE-2026-59723、3.0.30へ更新を

2026年7月9日
repomix-ssrf-cve-cover-ja
ニュース

AIにコードを渡す人気ツール『Repomix』に深刻な脆弱性、公開サーバーが踏み台にされ内部情報流出の恐れ CVE-2026-59702、1.14.1へ更新を

2026年7月9日
cve-digest-2026-07-08-cover-ja
ニュース

【2026年7月8日】セキュリティ脆弱性まとめ ― CVSS9.0以上の「重大」19件、一般利用者への影響は

2026年7月8日
ray-cve-cover-ja
ニュース

AI分散処理基盤「Ray」に不正なデータセットの読み込みで乗っ取りの脆弱性 CVE-2026-57516、2.56.0へ更新を

2026年7月2日
fastify-middie-cve-cover-ja
ニュース

Fastify向けプラグイン「middie」に認証をすり抜けられる脆弱性 CVE-2026-14198、細工したURLで保護機能を回避、9.3.3へ更新を

2026年7月1日
llama-factory-cve-cover-ja
ニュース

LLaMA-Factoryに脆弱性 CVE-2026-58116、AI学習画面の公開で乗っ取りの恐れ

2026年6月30日
snowflake-cli-cve-cover-ja
ニュース

データ基盤Snowflakeのコマンドツールに乗っ取りの脆弱性 CVE-2026-13749、不正プロジェクトのビルドで危険、v3.19.0へ更新を

2026年6月30日
vscode-java-cve-cover-ja
ニュース

VS CodeのJava拡張機能に乗っ取りの脆弱性 CVE-2026-12856、不正なコードを開いて操作すると危険、v1.55.0へ更新を

2026年6月30日
libzypp-cve-cover-ja
ニュース

SUSE Linuxの更新基盤「libzypp」に任意ファイル書き換えの脆弱性 CVE-2026-25707、修正版へ更新を

2026年6月29日
fluentd-cve-cover-ja
ニュース

ログ収集ソフト「Fluentd」に認証不要で乗っ取り可能な脆弱性 CVE-2026-44024、v1.19.3へ即更新を

2026年6月29日
kestra-cve-cover-ja
ニュース

業務自動化基盤Kestraに最悪の脆弱性 CVE-2026-53576、認証なしで乗っ取り

2026年6月27日
mise-cve-cover-ja
ニュース

開発ツールmiseに脆弱性 CVE-2026-33646ほか、入るだけでコマンド実行

2026年6月27日
pnpm-cve-cover-ja
ニュース

pnpmに乗っ取り級の脆弱性2件、利用者は最新版へ更新を CVE-2026-55698

2026年6月26日
appsmith-cve-cover-ja
ニュース

ローコード開発基盤Appsmithに通信の出入り口を乗っ取られる脆弱性、CVE-2026-55454、v2.1へ更新を

2026年6月25日
cacti-cve-cover-ja
ニュース

ネットワーク監視ツールCactiに認証なしでデータベースを抜かれる脆弱性、CVE-2026-39893、v1.2.31へ更新を

2026年6月25日
gogs-cve-cover-ja
ニュース

セルフホスト型Git『Gogs』に脆弱性6件、認証なしで乗っ取り可能、CVE-2026-52813ほかv0.14.3へ更新を

2026年6月25日
ghost-cve-cover-ja
ニュース

ブログ作成ツールGhostにキャッシュ汚染で乗っ取りの脆弱性、CVE-2026-53943、v6.37.0へ更新を

2026年6月25日
rclone-cve-cover-ja
ニュース

クラウド保存ツールRcloneに認証なしで遠隔操作される脆弱性、CVE-2026-49980、v1.74.3へ更新を

2026年6月25日
warp-cve-cover-ja
ニュース

AIエージェント搭載ターミナルWarpに脆弱性4件、開いただけでコマンド実行の恐れ、CVE-2026-48704ほか最新版へ更新を

2026年6月25日
feast-cve-cover-ja
ニュース

AIの学習データ基盤Feastに認証なしの脆弱性が相次ぐ、サーバー乗っ取りとファイル書き込み CVE-2026-56121ほか、v0.63.0へ更新を

2026年6月25日
capgo-cve-cover-ja
ニュース

スマホアプリ即時更新サービスCapgoに脆弱性多数、アカウント乗っ取りの恐れ、CVE-2026-56237、v12.128.2へ更新を

2026年6月24日
style-dictionary-cve-2026-54639-prototype-pollution-cover-ja
ニュース

Style Dictionaryにビルド汚染の脆弱性 CVE-2026-54639、5.4.4へ更新を

2026年6月24日
moneyforward-security-incidents-cover-ja
ニュース

マネーフォワード6.3万人分の情報流出、原因はGitHubに置いた個人情報

2026年6月24日
expr-eval-cve-2026-12866-code-injection-cover-ja
ニュース

計算用JS部品expr-evalにコード実行の欠陥 CVE-2026-12866、入力に注意

2026年6月23日
vllm-cve-2026-48746-54232-cover-ja
ニュース

AI基盤vLLMにAPIキー回避の欠陥 CVE-2026-48746ほか、0.22.1へ更新を

2026年6月23日
crawl4ai-cve-2026-56266-cover-ja
ニュース

AIクローラーCrawl4AIに認証不要の重大欠陥 CVE-2026-56266、0.8.7へ

2026年6月23日
siyuan-cve-2026-56395-56397-bazaar-xss-rce-cover-ja-update
ニュース

ノートアプリ『SiYuan』に乗っ取りの穴が新たに4件、CVE-2026-50551ほか3.7.0へ更新を

2026年6月22日
crawl4ai-cve-2026-56265-docker-jwt-hardcoded-key-auth-bypass-cover-ja-0707
ニュース

Crawl4AIに無認証で乗っ取りの脆弱性 CVE-2026-57572、0.9.0へ即更新を

2026年6月22日
prefect-cve-2026-5366-git-argument-injection-rce-cover-ja
ニュース

データ基盤『Prefect』に乗っ取りの穴 CVE-2026-5366、最新版へ更新を

2026年6月21日
flowise-cve-2024-58351-overrideconfig-rce-cover-ja
ニュース

AI構築ツール『Flowise』に危険度10.0の脆弱性4件、CVE-2025-71338は修正版なし——更新と隔離を

2026年6月21日
mcp-pinot-cve-2026-49257-unauth-tool-invocation-cover-ja
ニュース

AIとデータを結ぶmcp-pinotに認証なし侵入の穴 CVE-2026-49257、即更新を

2026年6月19日
cassandra-cve-2026-47846-bitnami-default-credentials-cover-ja
ニュース

Cassandra公式イメージに初期パスワード残存 CVE-2026-47846、即更新を

2026年6月19日
autogpt-cve-2026-55237-dom-xss-open-redirect-cover-ja
ニュース

AIエージェント『AutoGPT』に脆弱性 CVE-2026-55237、0.6.62へ更新を

2026年6月19日
ffmpeg-cve-2026-8461-magicyuv-oob-write-cover-ja-rewrite-202606
ニュース

FFmpegは安全か?脆弱性CVE-2026-8461と対策、8.1.2へ更新を

2026年6月19日
picklescan-cve-2026-3490-detection-bypass-8-flaws-cover-ja
ニュース

AIモデルの危険コード検査ツール「picklescan」に検出回避の脆弱性8件 CVE-2026-3490ほか、v1.0.4へ即更新を

2026年6月18日
joomla-jce-cve-2026-48907-unauth-rce-cover-ja
ニュース

Joomla JCEにログイン無しで乗っ取りの穴 CVE-2026-48907、即更新を

2026年6月17日
the-events-calendar-cve-2026-49772-unauth-sql-injection-cover-ja
ニュース

WordPressのThe Events Calendarに情報流出の脆弱性 CVE-2026-49772

2026年6月16日
i18next-cve-2026-48713-48714-prototype-pollution-cover-ja
ニュース

多言語化ライブラリi18nextに認証なしの重大脆弱性2件 CVE-2026-48714ほか

2026年6月16日
wordpress-plugins-june-2026-critical-vulnerabilities-roundup-cover-ja
ニュース

WordPressプラグイン多数に乗っ取りの脆弱性、6月に大量公開で即更新を

2026年6月16日
spring-ai-cve-2026-47835-vector-store-query-injection-cover-ja
ニュース

Spring AIにログインなしでデータベース不正操作の脆弱性 CVE-2026-47835

2026年6月16日
major-hacker-ransomware-groups-directory-cover-ja-v2
まとめ

ハッカー集団の名前まとめ|有名なQilin・アノニマスと日本の被害

2026年6月15日
sanitize-html-xss-bypass-xmp-cve-2026-44990-cover-ja
ニュース

HTML無害化ライブラリsanitize-htmlにXSS脆弱性、即更新を CVE-2026-44990

2026年6月13日
netty-dns-cache-poisoning-cve-2026-45674-45673-47691-cover-ja
ニュース

Netty に通信先を偽装される脆弱性3件、最新版へ更新を CVE-2026-45674

2026年6月13日
vm2-sandbox-escape-cve-2026-47131-47208-rce-octet-cover-ja
ニュース

vm2に乗っ取りの脆弱性8件、v3.11.4へ更新を CVE-2026-47131

2026年6月13日
axios-proxy-ssrf-mitm-cve-2026-44492-44494-cover-ja
ニュース

axiosに認証情報が盗まれる脆弱性、最新版へ今すぐ更新を CVE-2026-44494

2026年6月12日
gitlab-security-release-cve-2026-6552-account-takeover-cover-ja
ニュース

GitLabにまた脆弱性14件、社内設置は19.1.1へ更新を CVE-2026-10086

2026年6月11日
npm-v12-install-scripts-opt-in-no-auto-run-cover-ja
ラボ

npm v12でnpm installが変わる、依存スクリプトの自動実行が止まる

2026年6月11日
litellm-cve-2026-42271-mcp-command-injection-unauth-rce-cover-ja-v2
ニュース

AIをまとめる『LiteLLM』乗っ取りの穴 CVE-2026-42271、悪用確認で更新を

2026年6月9日
guardrails-ai-cve-2026-45758-pypi-supply-chain-teampcp-cover-ja
ニュース

AI部品Guardrails AIに毒入りパッケージ混入 CVE-2026-45758、TeamPCP連続攻撃の新標的

2026年6月6日
markdown-preview-enhanced-cve-2026-49492-49493-50733-vscode-rce-cover-ja
ニュース

Markdown Preview Enhancedに脆弱性 CVE-2026-49492ほか、0.8.30へ更新を

2026年6月6日
bartender-cve-2026-25550-net-remoting-rce-cover-ja
ニュース

ラベル印刷ソフトBarTenderに乗っ取りの脆弱性 CVE-2026-25550

2026年6月5日
tautulli-cve-2026-43986-plex-monitor-takeover-cover-ja
ニュース

Plex監視ツールTautulliに乗っ取りの穴 CVE-2026-43986ほか、即更新を

2026年6月5日
openstack-mistral-cve-2026-41283-policy-bypass-rce-cover-ja
ニュース

OpenStackに乗っ取りの脆弱性 CVE-2026-41283、ログイン済みなら悪用可

2026年6月4日
mirasvit-cache-warmer-cve-2026-45247-magento-rce-cover-ja
ニュース

Magento通販に乗っ取りの脆弱性 CVE-2026-45247、攻撃発生中で即更新を

2026年6月4日
apache-mina-cve-2026-47065-deserialization-rce-cover-ja
ニュース

Apache MINAに乗っ取りの脆弱性 CVE-2026-47065、ログイン無しで悪用

2026年6月3日
japan-enterprise-vulnerabilities-2026-jvn-roundup-cover-ja
ニュース

2026年上半期、日本企業を狙った重大な脆弱性まとめ【CVE一覧・KEV対応】

2026年6月1日
otrs-cve-2026-48188-sql-injection-auth-bypass-cover-ja
ニュース

問い合わせ管理OTRSに侵入の脆弱性 CVE-2026-48188、特定設定なら無認証

2026年6月1日
fujitsu-serverview-agents-cve-2026-27788-32325-privilege-escalation-cover-ja
ニュース

富士通ServerView Agentsに権限奪取の穴 CVE-2026-27788/32325、即更新を

2026年6月1日
casdoor-cve-2026-9090-9098-sso-auth-bypass-cover-ja
ニュース

ログイン基盤Casdoorに認証回避の穴9件 CVE-2026-9090ほか修正版なし

2026年6月1日
opencats-cve-2026-49489-sql-injection-cover-ja
ニュース

採用管理ソフトOpenCATSに脆弱性、求職者データ流出の恐れ CVE-2026-49489

2026年5月31日
mautic-cve-2026-9558-twig-ssti-may-bundle-cover-ja
ニュース

Mauticにテーマ経由RCE、CVE-2026-9558、5月の7CVEまとめパッチで修正

2026年5月29日
vllm-cve-2026-4944-trust-remote-code-hardcoded-rce-cover-ja
ニュース

`trust_remote_code=False` が効かない、vLLM 3連目のRCE CVE-2026-4944

2026年5月29日
zed-editor-cve-2026-44461-44466-malicious-repo-rce-quartet-cover-ja
ニュース

Zedに4連のRCE、悪意あるリポジトリを開くだけで開発者マシン奪取、CVE-2026-44461〜44466、0.229.0で修正

2026年5月29日
tinymce-cve-2026-47759-47762-stored-xss-quartet-cover-ja
ニュース

WordPress編集者から管理者を奪える、TinyMCEに4連の保存型XSS CVE-2026-47759〜47762

2026年5月29日
samba-cve-2026-4408-check-password-script-rce-cover-ja
ニュース

Sambaに認証なしRCE CVE-2026-4408、check password scriptの%uでコマンド注入、4.24.3へ即更新を

2026年5月28日
jupyter-server-cve-2025-61669-login-open-redirect-cover-ja
ニュース

Jupyter Serverに偽サイト誘導の脆弱性 CVE-2025-61669、2.18.0へ更新を

2026年5月28日
goobi-viewer-cve-2026-45083-solr-unauth-streaming-cover-ja
ニュース

Goobi viewerに認証なし脆弱性 CVE-2026-45083、デジタルアーカイブが危機

2026年5月28日
pi-alert-cve-2026-44887-44888-config-injection-cover-ja
ニュース

Pi.Alertに2件の認証なしRCE CVE-2026-44887/44888、家庭ネット監視が危機

2026年5月28日
gladinet-triofox-cve-2026-8362-8363-8364-unauth-rce-cover-ja
ニュース

Gladinet Triofoxに3件の重大脆弱性 CVE-2026-8362/8363/8364、企業ファイル共有が危機

2026年5月28日
budibase-cve-2026-46425-five-flaws-low-code-bypass-cover-ja
ニュース

Budibaseに5件の重大脆弱性 CVE-2026-46425他、v3.39.0へ即更新を

2026年5月28日
dalfox-cve-2026-45087-rest-api-unauth-rce-cover-ja
ニュース

XSSスキャナーDalfoxに認証なしRCE CVE-2026-45087、v2.13.0へ即更新を

2026年5月28日
free5gc-cve-2026-44315-44326-44327-44329-44330-noauth-bypass-cover-ja
ニュース

free5GCに5件の重大認証バイパス CVE-2026-44315他、v4.2.2へ即更新を

2026年5月28日
tanstack-nx-console-supply-chain-cve-2026-45321-48027-cover-ja
ニュース

TanStack→Nx Console連鎖攻撃 CVE-2026-45321/48027、npm 84版汚染がVS Code拡張へ

2026年5月28日
libvnc-cve-2026-44988-malicious-server-oob-write-cover-ja
ニュース

LibVNCに重大脆弱性 CVE-2026-44988、悪意あるVNCサーバに接続するだけでPC乗っ取り

2026年5月28日
langflow-cve-2026-7524-tar-symlink-rce-cover-ja
ニュース

Langflowに重大脆弱性 CVE-2026-7524、tarリンク悪用でJWT流出からRCEへ

2026年5月28日
cisa-kev-dashboard-ja-cover-ja
ラボ

CISA KEV 日本語ダッシュボード|攻撃中の脆弱性カタログを全件検索

2026年5月27日