https://infoburner.com中小企業のIT担当者のためのセキュリティ情報を、毎朝わかりやすくお届けします。jaSat, 02 May 2026 02:19:14 +0000http://www.boannews.com/media/view.asp?idx=143065&kind=&sub_kind=中国政府と連携したハッキンググループ「Storm-1175」が、CVE-2025-10035などのゼロデイ脆弱性を悪用してランサムウェアを拡散させています。米国、英国、オーストラリアの医療および金融機関を標的としており、侵入から24時間以内にMedusaランサムウェアを配備する極めて速い攻撃テンポが特徴です。また、セキュリティソフトの無効化や、BandizipやRcloneなどの一般ソフトを悪用したデータ窃取を行っていることが確認されています。Sat, 02 May 2026 02:19:14 +0000脆弱性aec26f3b71dca4b1https://threatpost.com/student-loan-breach-exposes-2-5m-records/180492/Nelnet Servicingの脆弱性により、EdFinancialおよびオクラホマ州学生ローン局（OSLA）の利用者約250万人の個人情報が流出しました。流出したデータには氏名、住所、メールアドレス、電話番号、社会保障番号が含まれていますが、財務情報は含まれていません。専門家は、これらの情報が学生ローンの免除などの話題を利用したフィッシング攻撃やソーシャルエンジニアリングに悪用される危険性を警告しています。Nelnetはシステムの修正を行い、影響を受けたユーザーに2年間の無料クレジットモニタリングを提供しています。Sat, 02 May 2026 02:19:14 +0000事案73f6459c7c5024cbhttps://blog.topsec.com.cn/evilparcel%e6%bc%8f%e6%b4%9e%e5%88%86%e6%9e%90/AndroidのIPC通信におけるParcelableオブジェクトのシリアル化とデシリアル化の不一致を利用した脆弱性（EvilParcel）に関する分析です。この脆弱性は、データの読み書きにおけるバイト数の不整合により解析エラーを誘発し、結果として権限昇格や任意のコード実行を可能にします。攻撃者はこれを悪用して、ユーザーのデバイスに不正にアプリをインストールまたはアンインストールし、プライバシーを侵害する恐れがあります。Sat, 02 May 2026 02:19:14 +0000脆弱性984615c3921a802fhttps://www.security-next.com/183971SonicWall製ファイアウォールのOSである「SonicOS」に、認証回避やDoS、パストラバーサルなどの複数の脆弱性が発見されました。CVE-2026-0204では特定の条件下で管理インタフェースへの不正アクセスが可能になる恐れがあります。ベンダーから修正アップデートが提供されており、重要度は「高」とされています。Sat, 02 May 2026 02:19:14 +0000脆弱性3d3a2dcb1f6286a0https://www.security-next.com/183961Google Chromeにおいて、重要度が「クリティカル」な4件を含む計30件の脆弱性が修正されました。クリティカルな脆弱性は、Views、Accessibility、Canvas、iOSにおけるUse After Free（解放済みメモリの使用）に関連しています。Windows、macOS、Linux向けに修正済みバージョンがリリースされており、早急なアップデートが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性74269bbd1a3b0a4dhttps://thehackernews.com/2026/04/sap-npm-packages-compromised-by-mini.htmlSAP関連のnpmパッケージを標的としたサプライチェーン攻撃が確認されました。攻撃者は悪意のあるpreinstallスクリプトを仕込み、GitHubからBunバイナリをダウンロード・実行させることで認証情報を窃取します。影響を受けるパッケージにはmbtや@cap-js関連の特定バージョンが含まれています。Sat, 02 May 2026 02:19:14 +0000脆弱性1cebc7701568474bhttps://www.freebuf.com/articles/479365.htmlKubernetes（K8s）環境における攻撃チェーンを自動化するツール「K8sPenTool」に関する分析記事です。このツールは、APIServerやKubeletの未認証アクセス、Secretの窃取、権限昇格、コンテナ脱出、永続化といった一連の攻撃プロセスを統合的に実行します。特にコントロールプレーンの露出や不適切な権限設定が、クラスター全体の侵害に直結することを警告しています。Sat, 02 May 2026 02:19:14 +0000脆弱性00f69ce20e5ae57chttps://thehackernews.com/2026/04/new-wave-of-dprk-attacks-uses-ai.html北朝鮮の脅威アクター「Famous Chollima」による、npmパッケージを用いた新しい攻撃キャンペーン「PromptMink」が発見されました。AI（Claude Opus）によって生成された悪意のある依存関係を含むパッケージ「@validate-sdk/v2」を配布し、機密情報を窃取することを目的としています。この攻撃は、偽のIT企業や偽の求人などを通じて開発者を標的にする手法と組み合わせて展開されています。Sat, 02 May 2026 02:19:14 +0000事案506aab37a377092chttps://securityaffairs.com/191483/hacking/cve-2026-42208-litellm-bug-exploited-36-hours-after-its-disclosure.htmlLiteLLMのPythonパッケージに、SQLインジェクションの脆弱性（CVE-2026-42208）が発見されました。この脆弱性はプロキシAPIキーの検証プロセスに存在し、攻撃者は認証なしでデータベース内の機密データにアクセスまたは変更することが可能です。公開からわずか36時間後に悪用が確認されており、迅速な対応が求められています。Sat, 02 May 2026 02:19:14 +0000脆弱性b6f6d1561cc843b9https://www.darkreading.com/application-security/reverse-engineering-ai-unearths-high-severity-github-bugセキュリティ企業のWizが、AIを活用したリバースエンジニアリングツールを用いてGitHubの重大な脆弱性を発見しました。AIの導入により、従来の手法ではコストと時間がかかりすぎて困難だった複雑なコード解析が可能になった事例です。この発見は、攻撃者が同様にAIを利用して脆弱性を効率的に探索するリスクが高まっていることを示唆しています。Sat, 02 May 2026 02:19:14 +0000脆弱性a1ff261d171823fehttps://www.darkreading.com/vulnerabilities-threats/ai-finds-38-security-flaws-openemrAIを用いたセキュリティ診断により、10万人以上の医療提供者に利用されている電子健康記録（EHR）プラットフォーム「OpenEMR」に38件の脆弱性が発見されました。これらの脆弱性は、データベースの侵害、リモートコード実行（RCE）、および機密データの窃取を可能にする深刻なものです。発見された問題はすでに修正されており、ユーザーは最新バージョンへのアップデートが推奨されています。Sat, 02 May 2026 02:19:14 +0000脆弱性942dcebcc92e0678https://cyberscoop.com/congress-industry-ponder-government-posture-for-protecting-data-centers/米国議会で、データセンターを独立した重要インフラセクターとして指定し、保護体制を強化すべきかどうかの議論が行われました。AIブームによる施設急増の一方で、イランによるドローン攻撃などの物理的・サイバー攻撃のリスクが高まっています。現状の連邦政府の枠組みでは、責任所在や統一的なセキュリティアプローチが不明確であると指摘されています。Sat, 02 May 2026 02:19:14 +0000脆弱性7eb2fdf8c8f1429chttps://www.bleepingcomputer.com/news/security/official-sap-npm-packages-compromised-to-steal-credentials/SAPの公式npmパッケージ4つが侵害され、開発者の認証情報やトークンを盗み出すサプライチェーン攻撃が発生しました。攻撃者は'preinstall'スクリプトを悪用して、Bunランタイム経由で難読化された情報窃取ペイロードを実行させます。影響を受けるパッケージのバージョンは既に非推奨となっており、npmおよびGitHubトークン、SSHキーなどが標的となりました。Sat, 02 May 2026 02:19:14 +0000脆弱性3b496741555f6842https://www.bleepingcomputer.com/news/security/popular-wordpress-redirect-plugin-hid-dormant-backdoor-for-years/WordPressのプラグイン「Quick Page/Post Redirect」に、数年前からバックドアが仕込まれていたことが判明しました。このバックドアは外部ドメイン（anadnet[.]com）を介して任意のコードを注入することを可能にしており、7万以上のサイトが影響を受けた可能性があります。現在、WordPress.orgはこのプラグインをディレクトリから一時的に削除しています。Sat, 02 May 2026 02:19:14 +0000脆弱性1c0c995ba0e0dccahttps://thehackernews.com/2026/04/webinar-how-to-automate-exposure.html攻撃者がカスタムAIを用いてキルチェーンを自動化し、Active Directoryのマッピングやドメイン管理者の権限奪取を数分で実行する事例が報告されています。従来のCTI、レッドチーム、ブルーチームによる分断された防御フローでは、AIによるマシン速度の攻撃に対抗できないことが指摘されています。これに対処するため、Picus Security社は「自律的なエクスポージャー検証（Autonomous Exposure Validation）」という新しい防御パラダイムを提唱しています。Sat, 02 May 2026 02:19:14 +0000脆弱性cde59b67db947c60https://xakep.ru/2026/04/29/vimeo-leak/動画プラットフォームのVimeoが、サードパーティのデータ分析会社Anodotへの攻撃を通じてユーザーおよび顧客データの漏洩が発生したことを発表しました。攻撃者はShinyHuntersと名乗り、身代金を要求しています。漏洩したデータには技術データ、ビデオタイトル、メタデータ、一部のメールアドレスが含まれますが、ビデオコンテンツやパスワード、決済情報は含まれていないとのことです。Sat, 02 May 2026 02:19:14 +0000脆弱性cfcaced613e46917http://www.boannews.com/media/view.asp?idx=143417&kind=&sub_kind=セキュリティ企業CheckmarxのGitHubリポジトリが供給網攻撃を受け、ソースコード、APIキー、データベース認証情報などがダークウェブに流出したことが確認されました。攻撃はTeamPCPによるオープンソーススキャナー「Trivy」の供給網攻撃から始まり、KICS DockerイメージやVS Code拡張機能にマルウェアが仕込まれる連鎖的な攻撃でした。Checkmarx社は、流出したデータは顧客環境とは分離されており、直接的な顧客被害はないとしていますが、現在詳細なフォレンジック調査を継続しています。Sat, 02 May 2026 02:19:14 +0000脆弱性f648d1e6cfc9c20dhttps://www.bleepingcomputer.com/news/security/hackers-exploit-rce-flaws-in-qinglong-task-scheduler-for-cryptomining/オープンソースのタスクスケジューラ「Qinglong」において、認証バイパスの脆弱性2件（CVE-2026-3965, CVE-2026-4047）が発見されました。攻撃者はこれらを組み合わせてリモートコード実行（RCE）を行い、サーバー上でクリプトマイニング（仮想通貨の採掘）を実行しています。影響を受けるのはバージョン2.20.1以前であり、早急なアップデートが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性2786d73e64861625https://xakep.ru/2026/04/29/elementary-data/PyPIで公開されているデータモニタリングツール「elementary-data」のバージョン0.23.3に、開発者の機密情報や暗号通貨ウォレットを盗み出すマルウェアが混入しました。攻撃者はプロジェクトのワークフローの脆弱性を悪用して悪意のあるリリースを公開し、Dockerイメージにも影響が及びました。現在は修正済みのバージョン0.23.4がリリースされており、迅速なアップデートが推奨されています。Sat, 02 May 2026 02:19:14 +0000脆弱性66dfb9ace05d4342https://www.darkreading.com/threat-intelligence/vect-ransomware-wiper-design-errorVect 2.0ランサムウェアが、設計上の欠陥により復号不可能な「ワイパー」として動作していることが判明しました。この攻撃はTeamPCPのサプライチェーン攻撃の被害者を標的に展開されています。復号キーを支払ってもデータを取り戻せない可能性が高いため、身代金の支払いは推奨されません。Sat, 02 May 2026 02:19:14 +0000事案3a8d55764280000dhttps://thehackernews.com/2026/04/critical-cpanel-authentication.htmlcPanelの認証パスに影響を与える深刻な脆弱性が発見されました。この脆弱性を悪用されると、攻撃者がコントロールパネルに不正アクセスし、サーバーを操作される可能性があります。cPanel社は修正アップデートをリリースしており、サポート対象の全バージョンで適用が推奨されています。Sat, 02 May 2026 02:19:14 +0000脆弱性51d903ae5741227ehttps://www.bleepingcomputer.com/news/security/hackers-arrested-for-hijacking-and-selling-610-000-roblox-accounts/ウクライナ警察が、61万人以上のRobloxアカウントを不正に取得し販売していた3名の容疑者を逮捕しました。犯行グループはアカウント内の仮想アイテムやリソースを金銭的価値として利用し、約22万5,000ドルの利益を得ていたとされています。家宅捜索では多数のPC、スマートフォン、現金などが押収されました。Sat, 02 May 2026 02:19:14 +0000事案c175a4d0954e0682https://thehackernews.com/2026/04/cisa-adds-actively-exploited.htmlCISAは、ConnectWise ScreenConnectおよびMicrosoft Windowsの脆弱性が悪用されているとして、KEVカタログに追加しました。ConnectWiseの脆弱性(CVE-2024-1708)はリモートコード実行の恐れがあり、Windowsの脆弱性(CVE-2026-32202)はネットワーク経由のなりすましを可能にします。Windowsの脆弱性は、以前のパッチの不備に起因していると報告されています。Sat, 02 May 2026 02:19:14 +0000脆弱性443b8895690e3113https://securityaffairs.com/191465/security/all-supported-cpanel-versions-hit-by-critical-auth-bug-now-patched.htmlcPanelの全サポートバージョンにおいて、攻撃者がサーバーに不正アクセスできる重大な認証脆弱性が発見されました。この脆弱性は、管理パネルへの権限のないアクセスを許すリスクがあります。cPanel社は修正パッチをリリースしており、管理者は速やかにアップデートを適用することが強く推奨されています。Sat, 02 May 2026 02:19:14 +0000脆弱性8f581020566b0049https://www.securityweek.com/fresh-litellm-vulnerability-exploited-shortly-after-disclosure/AIゲートウェイであるLiteLLMに、認証前のSQLインジェクションの脆弱性（CVE-2026-42208）が発見されました。攻撃者は特製のAuthorizationヘッダーを送信することで、データベース内の機密情報や認証資格情報を窃取できる可能性があります。この脆弱性は公開後すぐに悪用が確認されており、CVSSスコアは9.3と非常に高く設定されています。Sat, 02 May 2026 02:19:14 +0000脆弱性bf170fa8f43733f5https://xakep.ru/2026/04/29/vect-bug/VECT 2.0というランサムウェアが、実装上のバグにより128KBを超えるファイルを完全に破壊し、復旧不能にする「ワイパー」のように動作していることが判明しました。このマルウェアはRaaS（Ransomware-as-a-Service）として提供されており、TeamPCPなどのグループと連携してサプライチェーン攻撃を通じて展開される可能性があります。Windows、Linux、ESXiの全バージョンにこの致命的なバグが含まれています。Sat, 02 May 2026 02:19:14 +0000事案f03964b72c494963https://www.securityweek.com/hundreds-of-internet-facing-vnc-servers-expose-ics-ot/Forescoutの調査により、インターネットに直接公開されたRDPおよびVNCサーバーが数百万台存在し、その一部が産業制御システム（ICS/OT）へのアクセス経路となっていることが判明しました。特に製造業やヘルスケアなどの重要セクターで多く見られ、サポート終了済みのOSやBlueKeep（CVE-2019-0708）などの深刻な脆弱性を抱えたサーバーが多数検出されています。これらの公開サーバーは、攻撃者による不正アクセスやランサムウェア攻撃の格好の標的となります。Sat, 02 May 2026 02:19:14 +0000事案6d77cf6bcdc8afdehttps://www.bleepingcomputer.com/news/security/cpanel-whm-emergency-update-fixes-critical-auth-bypass-bug/cPanelおよびWHMにおいて、認証をバイパスしてコントロールパネルにアクセスできる深刻な脆弱性（CVE-2026-41940）が発見されました。CVSSスコアは9.8と非常に高く、攻撃者が認証なしでサーバー管理権限を取得する可能性があります。ベンダーは緊急アップデートをリリースしており、手動コマンドによるパッチ適用が必要です。Sat, 02 May 2026 02:19:14 +0000脆弱性7110f553b243e246https://www.freebuf.com/articles/system/479294.htmlCISAは、Microsoft Windows Shellにおける0クリックの脆弱性（CVE-2026-32202）が実際に悪用されているとして警告を発しました。この脆弱性は保護メカニズムの不備（CWE-693）に起因し、攻撃者がネットワーク欺瞞攻撃を通じて機密データの傍受やアクセス制御の回避を行う可能性があります。CISAはこの脆弱性を既知の悪用済み脆弱性（KEV）カタログに追加し、早急なパッチ適用を強く推奨しています。Sat, 02 May 2026 02:19:14 +0000脆弱性0b8d2061eb6f26a2https://thehackernews.com/2026/04/litellm-cve-2026-42208-sql-injection.htmlBerriAIのLiteLLM Pythonパッケージに、深刻なSQLインジェクションの脆弱性（CVE-2026-42208）が発見されました。この脆弱性は、プロキシのAPIキーチェック時にユーザー入力が適切に処理されないことで発生し、認証されていない攻撃者がデータベースの読み取りや書き換えを行うことが可能です。公開から36時間以内に実環境での悪用が確認されており、迅速なアップデートが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性17e1a7e9c8f8656chttps://www.securityweek.com/checkmarx-confirms-data-stolen-in-supply-chain-attack/Checkmarxのオープンソースプロジェクト「KICS」を標的としたサプライチェーン攻撃により、機密データが窃取されたことが確認されました。攻撃者はTrivyのサプライチェーン攻撃を利用してGitHub Actionのバージョンタグをハイジャックし、マルウェアを配布させました。TeamPCPとLapsus$が関与していると見られ、ソースコード、従業員データベース、APIキー、データベース認証情報などが流出した可能性があります。Sat, 02 May 2026 02:19:14 +0000脆弱性dd139fdc4eeb88b4https://xakep.ru/2026/04/29/pack2theroot/Linuxのパッケージ管理サービスであるPackageKitに、特権昇格の脆弱性「Pack2TheRoot (CVE-2026-41651)」が発見されました。この脆弱性はTOCTOU（Time-of-Check Time-of-Use）タイプのもので、権限のないユーザーが任意のRPMパッケージをroot権限でインストールすることを可能にします。影響範囲はバージョン1.0.2から1.3.4までと非常に広く、最長で14年前のバージョンまで遡る可能性があります。Sat, 02 May 2026 02:19:14 +0000脆弱性c651835cc395c52dhttps://www.securityweek.com/iranian-cyber-group-handala-targets-us-troops-in-bahrain/イランに関連する脅威アクター「Handala」が、バーレーンに駐留する米軍兵士を標的にWhatsAppを用いた影響工作キャンペーンを展開しました。攻撃者は兵士に対し、監視下にあることやミサイル攻撃の脅威を伝えるメッセージを送信し、心理的な圧力をかけています。また、同グループはTelegram上で米海兵隊員2,379名の個人情報を公開したと主張しています。Sat, 02 May 2026 02:19:14 +0000脆弱性11aa6be631cc5d42https://blog.nsfocus.net/claude-mythos-preview-%e6%a8%a1%e5%9e%8b%e8%83%bd%e5%8a%9b%e8%a7%a3%e6%9e%90%ef%bc%9a%e5%a4%a7%e6%a8%a1%e5%9e%8b%e6%94%bb%e9%98%b2%e5%ae%9e%e6%b5%8b%e4%b8%8e%e4%bc%81%e4%b8%9a%e5%ba%94%e5%af%b9/Anthropic社が発表したAIモデル「Claude Mythos Preview」が、OSやブラウザにおけるゼロデイ脆弱性の自律的な発見および攻撃コードの生成能力を持つことが判明しました。このモデルは従来のAIを大幅に上回る性能を示しており、脆弱性の発見から武器化までのサイクルを劇的に短縮させ、サイバー攻撃の非対称性を高めるリスクがあります。現在、この能力は限定的なパートナーのみに提供されていますが、AI駆動型の高度な攻撃への警戒が必要です。Sat, 02 May 2026 02:19:14 +0000脆弱性60376e4f9a6c653ahttps://www.bleepingcomputer.com/news/security/european-police-dismantles-50-million-crypto-investment-fraud-ring/欧州警察が、世界中で5,000万ユーロ以上の被害を出した大規模な仮想通貨投資詐欺グループを摘発しました。この組織は、顧客獲得やIT、人事などの部門を持つ正規企業のような体制で運営されており、最大450人の従業員を雇用していました。オーストリアとアルバニアの当局による共同作戦で、容疑者10名が逮捕され、多数のPCやスマートフォンが押収されました。Sat, 02 May 2026 02:19:14 +0000脆弱性0c2da9961c249415https://www.securityweek.com/38-vulnerabilities-found-in-openemr-medical-software/オープンソースの電子医療記録プラットフォーム「OpenEMR」において、38件の脆弱性が発見されました。これらの脆弱性には、SQLインジェクションやXSS、不適切な権限管理などが含まれており、悪用された場合は機密性の高い患者情報の窃取やサーバー上でのリモートコード実行に至る可能性があります。現在、すべての脆弱性は修正済みであり、ユーザーは最新バージョンへのアップデートが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性c2d45de3218df00chttps://www.securityweek.com/chrome-147-firefox-150-security-updates-rolling-out/Google Chrome 147およびMozilla Firefox 150において、メモリ安全性の脆弱性を修正するセキュリティアップデートがリリースされました。Chromeでは30件の修正が含まれており、そのうち4件は任意コード実行につながる恐れのある深刻なUse-After-Free（UAF）脆弱性です。これらの脆弱性はCanvas、iOS、Accessibility、Viewsなどのコンポーネントに影響します。ユーザーは速やかにブラウザを最新バージョンに更新することが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性76cda01f5b1e2016https://www.bleepingcomputer.com/news/security/learning-from-the-vercel-breach-shadow-ai-and-oauth-sprawl/Vercelの侵害事例を通じて、サードパーティ製AIアプリへのOAuth権限付与によるリスクが浮き彫りになりました。従業員が個別にAIツールを導入し、Google Workspace等のコアプラットフォームへのアクセス権を許可すると、そのAIベンダーが侵害された際に組織内部への直接的な経路となります。これは「シャドウAI」によるOAuthの乱立（OAuth sprawl）という新たなセキュリティリスクを示しています。Sat, 02 May 2026 02:19:14 +0000事案0630e1985497a7b0https://www.bleepingcomputer.com/news/security/github-fixes-rce-flaw-that-gave-access-to-millions-of-private-repos/GitHubにおいて、悪意のある'git push'コマンドを通じて数百万のプライベートリポジトリへのアクセスを可能にするリモートコード実行（RCE）の脆弱性が発見されました。この脆弱性はGitHub.comおよびGitHub Enterpriseの複数のエディションに影響しますが、GitHub側ですでに修正パッチが適用されています。攻撃者が成功した場合、プライベートリポジトリへの完全な読み取り/書き込み権限を奪取される恐れがありました。Sat, 02 May 2026 02:19:14 +0000脆弱性5b7ba5f207d5e412https://securityaffairs.com/191442/security/u-s-cisa-adds-microsoft-windows-shell-and-connectwise-screenconnect-flaws-to-its-known-exploited-vulnerabilities-catalog.htmlCISAは、Microsoft Windows ShellおよびConnectWise ScreenConnectの脆弱性を既知の悪用済み脆弱性（KEV）カタログに追加しました。ConnectWiseの脆弱性（CVE-2024-1708）はパストラバーサルであり、攻撃者が意図しないファイルやディレクトリにアクセスできる可能性があります。また、Windowsの保護メカニズムの不備に関する脆弱性（CVE-2026-32202）も含まれています。Sat, 02 May 2026 02:19:14 +0000脆弱性79be2470e3bbfd8fhttps://securityaffairs.com/191448/security/shinyhunters-exploit-anodot-incident-to-target-vimeo.htmlVimeoが利用しているサードパーティの分析ベンダーであるAnodotでセキュリティ侵害が発生し、Vimeoのユーザーデータが流出したことが判明しました。流出したデータにはメタデータ、ビデオタイトル、一部のユーザーメールアドレスが含まれていますが、ログイン資格情報や支払い情報は含まれていないとのことです。攻撃者はShinyHuntersであるとされており、サプライチェーン攻撃の一種として機能しています。Sat, 02 May 2026 02:19:14 +0000脆弱性6a0541318f530c6ahttps://www.bleepingcomputer.com/news/security/cisa-orders-feds-to-patch-windows-flaw-exploited-in-zero-day-attacks/CISAは、ゼロデイ攻撃に悪用されたWindowsの脆弱性（CVE-2026-32202）への対策を連邦政府機関に命じました。この脆弱性は、以前の修正が不完全だったことで発生したNTLMハッシュ漏洩の欠陥であり、ロシアのAPT28がウクライナやEU諸国への攻撃に利用していたことが判明しています。攻撃者が悪意のあるファイルを送信し、ユーザーがそれを実行することで機密情報が窃取される恐れがあります。Sat, 02 May 2026 02:19:14 +0000脆弱性233fdb6609ed6b29https://www.securityweek.com/critical-github-vulnerability-exposed-millions-of-repositories/Wiz社の研究者が、GitHubの内部Gitインフラストラクチャにおける深刻なリモートコード実行（RCE）の脆弱性（CVE-2026-3854）を発見しました。この脆弱性は、認証済みユーザーが標準的なgitクライアントを使用して単一のgit pushコマンドを実行することで、GitHubのバックエンドサーバー上で任意のコマンドを実行できるものです。GitHub Enterprise Serverではサーバー全体の完全な権限奪取が可能であり、GitHub.comでは共有ストレージノードでのRCEを通じて数百万のレポジトリに影響が及ぶ可能性がありました。Sat, 02 May 2026 02:19:14 +0000脆弱性ec8ac7a600ead205https://www.exploit-db.com/exploits/52526HAX CMS 24.xにおいて、低権限の認証済みユーザーがサニタイズされていないHTMLファイルをアップロードできる蓄積型クロスサイトスクリプティング（Stored XSS）の脆弱性が発見されました。攻撃者が悪意のあるHTMLファイルをアップロードし、他のユーザーがそのファイルにアクセスすることで、任意のJavaScriptコードが実行される可能性があります。この脆弱性は、コンテンツの検証不足に起因しています。Sat, 02 May 2026 02:19:14 +0000脆弱性2c6833d6863bc829https://www.exploit-db.com/exploits/52525Craft CMSのassets/generate-transformエンドポイントにおいて、認証なしでリモートコード実行（RCE）が可能な脆弱性が発見されました。Yiiのデシリアライゼーションガジェットチェーンを悪用し、PHPセッションファイルを汚染することで、攻撃者は任意のコマンドを実行できます。影響を受けるバージョンは3.9.14、4.14.14、5.6.16以下です。Sat, 02 May 2026 02:19:14 +0000脆弱性70b140e1cb7be4e2https://www.exploit-db.com/exploits/52524GNU InetUtils 2.0から2.6のtelnetdにおいて、リモートで特権昇格が可能な脆弱性が発見されました。攻撃者がTelnetの環境変数注入（USER変数に'-f root'などを指定）を行うことで、パスワード認証をバイパスしてroot権限のシェルを取得できる可能性があります。影響を受けるシステムは、速やかにバージョン2.7-2以降へのアップデートが必要です。Sat, 02 May 2026 02:19:14 +0000脆弱性ce236ea3d57924dahttps://www.exploit-db.com/exploits/52523phpMyFAQ 4.0.16以下のバージョンにおいて、不適切な権限管理による脆弱性が発見されました。認証済みの一般ユーザーが、管理者権限なしに設定バックアップを作成し、その保存パスを取得できる可能性があります。これにより、機密情報の漏洩につながる恐れがあります。Sat, 02 May 2026 02:19:14 +0000脆弱性6b1f99b78cb694fehttps://www.exploit-db.com/exploits/52522GeographicLib v2.5.1 以下のバージョンにおいて、スタックベースのバッファオーバーフローの脆弱性が発見されました。攻撃者がこの脆弱性を悪用すると、メモリ上のデータを操作し、任意のコードを実行させる可能性があります。現在、PoC（概念実証）コードが公開されており、迅速なアップデートが推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性d6825c10765fee52https://www.exploit-db.com/exploits/52521OpenWrt 23.05で動作する「luci-app-https-dns-proxy」に、認証済みユーザーがルート権限を奪取できるコマンド注入の脆弱性が発見されました。攻撃者はこの脆弱性を利用して、デバイス上で任意のコードを特権状態で実行することが可能です。影響を受けるバージョンは2026年1月17日より前のすべてのバージョンです。Sat, 02 May 2026 02:19:14 +0000脆弱性0227e7ec8d0dbacchttps://www.exploit-db.com/exploits/52520OpenKM Community Edition 6.3.12およびPro Edition 7.1.47以前のバージョンに、複数の深刻なゼロデイ脆弱性が発見されました。Terra System Labsによって公開されたこの脆弱性は、攻撃者がリモートからシステムを操作できる可能性があります。現在、CVE番号は割り当てられていませんが、早急な対策が推奨されます。Sat, 02 May 2026 02:19:14 +0000脆弱性2ca2aa0233aab559