【要点】 ◎GoogleはChromeの更新で151件の脆弱性を修正した。うち22件はCritical評価で、多数のUse-After-Free脆弱性が含まれている (Security NEXT)
【要点】 ◎Oracleは補完セキュリティ更新を公開し、5製品に影響する35件の脆弱性を修正した。うち11件はCritical評価となっている (Security NEXT)
【要点】 ◎CISAは、DAEMON Tools LiteやTanStack、Nx Consoleの改ざん被害をKEVへ追加した。正規配布経路経由のサプライチェーン攻撃として警告している (Security NEXT)
【概要】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 備考 2022/03/12 2022/03/06 CVE-2022-26500 NVD kb4288 8.8(NVD) CWE-22 パストラバーサル 2022/03/12 2022/03/06 CVE-2022-26501 NVD kb4288 9.8(NVD) CWE-863 不正確な認証 2023/03/10 2…
【要点】 ◎Veeam Backup & Replicationに高深刻度脆弱性が見つかった。任意ファイル書き込みや権限昇格が可能となる恐れがある (Security NEXT)
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 2026/05/26 2026/05/22 CVE-2026-48710 NVD Kludex - 6.5(GitHub) CWE-444 HTTP リクエストスマグリング - starlet…
【要点】 ◎広く利用されるPythonフレームワークStarletteに認証回避の脆弱性「BadHost」が発見された。AIエージェントやMCPサーバーなどに影響し、機密情報漏えいの恐れがある (Gigazine)
【要点】 ◎MicrosoftはSharePointの深刻なRCE脆弱性「CVE-2026-45659」を修正した。認証済み攻撃者によるコード実行が可能となる
【要点】 ◎Starletteの脆弱性「BadHost」により、FastAPIやMCPサーバーなど多数のAI関連システムで認証回避が可能になる恐れが指摘された (Gigazine)
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 2024/02/14 2024/02/01 CVE-2024-22093 NVD F5 - 8.7(F5) CWE-77 コマンドインジェクション - 2026/03/30 2026/03/…
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 2026/05/25 2025/05/15 CVE-2026-8652 NVD NEC プラットフォームズ 8.5(NEC) - CWE-78 OSコマンドインジェクション…
【要点】 ◎Microsoftは、2026年6月に期限切れとなる旧セキュアブート証明書を更新しない場合でもWindows 11は起動可能だが、将来のセキュリティ更新やOSアップグレードに支障が出ると説明した (Gigazine)
【要点】 ◎nginxのrewriteモジュールに深刻な脆弱性が見つかった。条件次第で認証不要のDoSやコード実行が可能となる (Security NEXT)
【要点】 ◎Roundcube Webmailに複数の脆弱性が見つかった。XSSやSQLインジェクション、SSRFなどに対処した修正版が公開された (Security NEXT)
【要点】 ◎NECのAtermシリーズ11機種に脆弱性が見つかった。管理画面経由でOSコマンド実行やXSSが可能となる恐れがある (Security NEXT)
【要点】 ◎iOS版Firefoxに「なりすまし」につながる脆弱性が見つかった。Mozillaは修正版「151.1」を公開している (Security NEXT)
【要点】 ◎PromptArmorは、Microsoft 365 Copilot「Cowork」で間接プロンプト注入によりSharePointやOneDriveの機密ファイルが流出可能だと指摘した (Gigazine)
【ニュース】■2025年◇2025年10月 ◆シリアライズライブラリ「Apache Fory」Python版に深刻な脆弱性 (Security NEXT, 2025/10/02) https://www.security-next.com/175217 ⇒ https://vul.hatenadiary.com/entry/2025/10/02/000000_2 ■2026年◇2026年5月 ◆「Apach…
【要点】 ◎Apache ForyのPython実装「PyFory」に深刻なデシリアライズ脆弱性が見つかった。CISAはCVSS 9.8のCriticalと評価している (Security NEXT)
【要点】 ◎AtermシリーズのWi-Fiルーター複数機種に任意コード実行の脆弱性が見つかり、NECプラットフォームズが更新を呼びかけている
【要点】 ◎DrupalのSQLインジェクション脆弱性「CVE-2026-9082」が実際に悪用されていることが確認され、CISAが緊急対応を呼びかけた (Security NEXT)
【要点】 ◎Ghost CMSの脆弱性「CVE-2026-26980」が悪用され、700超のサイトでClickFix型マルウェア配布攻撃が発生している (The Hacker News)
【要点】 ◎Anthropicの「Claude Mythos」が1万件超の脆弱性を発見した。一方で修正作業が追い付かず、防御側の人的負荷が課題化している (ITmedia)
【SQLインジェクション】 ◆CVE-2026-42208 (まとめ) https://vul.hatenadiary.com/entry/CVE-2026-42208 ◆CVE-2026-9082 (まとめ) https://vul.hatenadiary.com/entry/CVE-2026-9082 ◆CVE-2026-21643 (まとめ) https://vul.hatenadiary.com/entry/CVE-2026-2…
【要点】 ◎Ghost CMSのSQLインジェクション脆弱性が大規模攻撃で悪用され、700超のサイトへClickFix用悪性コードが注入された。大学や企業サイトも被害を受けた (BleepingComputer)
【脆弱性内容】 (★: 本ブログ内の詳細記事リンク) ★ CVE公開日 CVE登録日 CVE番号 NVD ベンダー CVSS v4 CVSS v3 CWE 脆弱性 KEV公開日 備考 ★ 2026/05/20 2026/05/20 CVE-2026-9082 NVD Drupal - 9.8(Drupal) CWE-89 SQLインジェクション 2026/05/22 Drupal…
【要点】 ◎Claude Mythosはゼロデイ脆弱性を大量発見可能な高性能AIで、悪用リスクから非公開とされ金融・政府分野で懸念が広がっている
【要点】 ◎CMS(コンテンツ管理システム)の一種。日本でのシェアは15位(0.3%)と高くはない
【要点】 ◎Drupalの重大SQLインジェクション脆弱性「CVE-2026-9082」が公開直後から悪用されている。PostgreSQL利用サイトは緊急対応が必要 (Security Affairs)
【要点】 ◎Anthropicは「Claude Mythos」が1万件超の高深刻度脆弱性発見に貢献したと発表した。AIによる防御強化と攻撃悪用の両面リスクが浮上している (The Hacker News)
