【要点】 ◎NGINXに18年前から潜む重大脆弱性、DoSは現実的・RCEは条件付き (BleepingComputer)

【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 ★ 2026/05/06 2025/11/03 CVE-2026-0300 NVD Palo Alto 9.3(Palo Alto) 9.8(NVD) CWE-787 境界外書き込み 2026/05/…

【要点】 ◎Apache HTTP Serverに複数脆弱性が発見され、RCEや権限昇格の恐れがあり最新版2.4.67への更新が必要 (Security NEXT)

【要点】 ◎PAN-OSの重大脆弱性CVE-2026-0300が実際に悪用され、未認証でroot権限取得とスパイ活動が可能 (The Hacker News)

【要点】 ◎Apache HTTP/2の脆弱性CVE-2026-23918によりDoSやRCEが可能となり、早急なアップデートが必要 (The Hacker News)

【要点】 ◎Qinglongの認証バイパス脆弱性が悪用され、RCEから暗号通貨マイニング被害が発生 (BleepingComputer)

【要点】 ◎Apache ActiveMQのRCE脆弱性CVE-2026-34197は実際に悪用が確認され、CISAもKEVに追加した。影響環境では早急な更新が必要だ (Security NEXT)

【要点】 ◎Marimo脆弱性が即悪用、Hugging Face経由でNKAbuseマルウェア展開 (BleepingComputer)

【要点】 ◎Marimoの認証前RCE脆弱性CVE-2026-39987は公開から10時間以内に悪用され、攻撃者は認証不要でシェルを取得して認証情報の窃取を試みた (The Hacker News)

【要点】 ◎FortiClient EMSの認証前RCE脆弱性がゼロデイ悪用、緊急パッチ公開 (BleepingComputer)

【要点】 ◎ShareFileの脆弱性連鎖で認証不要RCEが可能 (BleepingComputer)

【要点】 ◎F5 BIG-IP脆弱性がRCEに格上げ、CVSS9.8。実環境で悪用進行中で緊急対応が必要

【要点】 ◎ Claudeを使った検証でVimとGNU Emacsに、悪意あるファイルを開くだけで発火し得るRCE脆弱性が見つかった (BleepingComputer)

【要点】 ◎ LangflowのCSV Agentで危険なコードを許可する設定不備があり、外部公開環境ではプロンプト注入により任意コードやOSコマンド実行が可能となる (Security NEXT)

【要点】 ◎F5 BIG-IP APM脆弱性が実際に悪用され、DoSからRCEへ深刻度が上昇。KEV登録され緊急対応が必要 (Security NEXT)

【要点】 ◎F5 BIG-IP APMの脆弱性CVE-2025-53521が実際に悪用されKEV登録。認証前RCEへ格上げされ緊急対応が必要 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2025/10/15 2025/10/03 CVE-2025-53521 NVD F5 9.3…

【要点】 ◎ Langflowの公開フローAPIに認証不要のコードインジェクション脆弱性が判明し、すでに悪用も確認されているとして早急な更新が求められた (Security NEXT)

【要点】 ◎Telnetdに認証不要でroot権限RCE可能な重大脆弱性。パッチ未提供で広範なシステムに影響し緊急対策が必要 (The Hacker News)

【要点】 ◎ GNU Inetutilsのtelnetdに認証前のオプション処理でバッファオーバーフローが起きる深刻な脆弱性が見つかり、CVSS 9.8で任意コード実行のおそれがある (Security NEXT)

【要点】 ◎ 自然言語処理ライブラリ「NLTK」にリモートコード実行につながる深刻な脆弱性が判明した (Security NEXT)

【要点】 ◎ CiscoはSecure Firewall製品群向け更新で48件の脆弱性を公表し、FMCの認証回避でroot取得可能なCVE-2026-20079など深刻な問題に対応した (Security NEXT)

【要点】 ◎LANSCOPEオンプレ版にCVSS9.8のRCE脆弱性、修正版公開 (Security NEXT)

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV 備考 2026/02/25 2026/02/16 CVE-2026-25785 NVD MOTEX 9.3(JPCERT/CC) 9.8(JPCERT/CC) CWE-22 パス・トラバーサル - Lanscope Endpoint Manager 【公開情報】 ◆【重要な…

【ニュース】■2026年◇2026年2月 ◆CISA: Recently patched RoundCube flaws now exploited in attacks (BleepingComputer, 2026/02/23 06:44) [CISA：最近修正されたRoundCubeの脆弱性が攻撃で悪用される] https://www.bleepingcomputer.com/news/security/ci…

【要点】 ◎CISAがRoundcubeの2脆弱性悪用を警告、3週間以内の修正を指 (BleepingComputer)

【要点】 ◎Orvalに再発したRCE脆弱性。生成コードへ任意JS注入可能、修正版公開 (Security NEXT)

【要点】 ◎LLM推論エンジン「vLLM」の動画処理機能にRCE脆弱性が判明。細工された動画データによりヒープオーバーフローが発生し、リモートコード実行の恐れがある。CVSS9.8の重大欠陥で、0.14.1以降で修正済み (Security NEXT)

【要点】 ◎Cisco Unified Communicationsに認証不要でRCE可能なCVE-2026-20045。攻撃試行も確認され、修正版FW/パッチ適用が急務 (Security NEXT)

【要点】 ◎SAPは2026年1月のパッチチューズデーで17件のセキュリティアドバイザリを公開し、SQLインジェクションなど4件をクリティカルと評価、早急な適用を求めた。 (Security NEXT)

【要点】 ◎n8nにRCE脆弱性 CVE-2025-68613（CVSS 9.9）。式評価の欠陥で任意コード実行・乗っ取り・情報漏洩が可能。修正版 1.120.4/1.121.1/1.122.0 へ更新必須。