【要点】 ◎Veeamの脆弱性により低権限ユーザーでもRCEが可能に。バックアップサーバーはランサムウェア標的であり早急な更新が必要 (BleepingComputer)

【要点】 ◎Microsoftは6月パッチで200件とゼロデイ3件を修正。権限昇格やDoS、BitLocker回避など重大脆弱性への対策が実施された (BleepingComputer)

【要点】 ◎CISAは、実際に悪用が確認されたSolarWinds Serv-UのDoS脆弱性CVE-2026-28318をKEVカタログへ追加した。認証不要でサービス停止を引き起こす恐れがある (The Hacker News)

【ニュース】■2026年◇2026年4月 ◆CISA flags new SD-WAN flaw as actively exploited in attacks (BleepingComputer, 2026/04/21 08:30) [CISAは、新たなSD-WANの脆弱性が攻撃で積極的に悪用されていると警告している] https://www.bleepingcomputer.com/new…

【ニュース】■2019年◇2019年3月 ◆Chrome に PDF ファイルを表示するとユーザー情報が流出する脆弱性 (Naked Security, 2019/03/01) https://nakedsecurity.sophos.com/ja/2019/03/01/data-tracking-chrome-flaw-triggered-by-viewing-pdfs/ ⇒ https://vul.ha…

【概要】 項目 内容 名称 HTTP/2 Bomb 攻撃 CVE番号 CVE-2026-49975 手法 HTTP/2のHPACK圧縮増幅とフロー制御を悪用したSlowloris型攻撃を組み合わせた攻撃 対策 ・対応バージョン/対応WEbサーバーの使用・HTTP/2 無効化 対応済みWebサーバー Apache nginxEn…

【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 2026/06/08 2026/06/02 CVE-2026-49975 NVD Apache - 7.5(CISA-ADP) CWE-789 過剰なサイズ値のメモリ割り当て - Ap…

【要点】 ◎OpenStack MistralにCVSS 9.9の重大脆弱性CVE-2026-41283が発見された。認証済みユーザーがアクセス制御を回避し、任意コード実行や機密情報窃取を行う恐れがある (Security NEXT)

【要点】 ◎HTTP/2 Bombは、HPACKのヘッダー展開増幅とHTTP/2のフロー制御を悪用してサーバーメモリを枯渇させるDoS攻撃である。少量通信で大規模なサービス停止を引き起こせる

【要点】 ◎HTTP/2の圧縮機能とSlowloris攻撃を組み合わせた新手法「HTTP/2 Bomb」が発見された。家庭用PCでもサーバを短時間で停止させる可能性があり、国内外で緊急対応が進んでいる (ITmedia)

【要点】 ◎Ciscoは、Catalyst SD-WAN Managerの未修正ゼロデイ脆弱性CVE-2026-20245が実際の攻撃で悪用されていると警告した。攻撃者はroot権限を取得できる可能性がある (BleepingComputer)

【要点】 ◎GoogleはChrome 149を公開し、429件の脆弱性を修正した。22件がクリティカルに分類されており、利用者には速やかなアップデートが推奨される (Security NEXT)

【要点】 ◎OpenAIのCodexを用いた分析により、新たなDoS攻撃「HTTP/2 Bomb」が発見された。家庭用PCでも主要Webサーバーのメモリを短時間で枯渇させ、サービス停止を引き起こせる (Gigazine)

【要点】 ◎GitHubのブラウザ版開発環境「github.dev」に、リンクを1回クリックするだけで認証トークンが窃取される恐れのある脆弱性が発見された。現在は修正済みである (Gigazine)

【要点】 ◎CISAは、Linuxカーネル、Android Framework、Mirasvit Full Page Cache Warmerの3件の脆弱性をKEVへ追加した。いずれも実際に悪用が確認されており、早急な対策が求められる (Security NEXT)