#vulnerability
このタグが付いた記事
Index
count=10- セキュリティtheme: テクノロジー
Squidbleed、29 年前の Squid バグを Claude Mythos が発見
Squid Proxy の FTP パーサにヒープ over-read CVE-2026-47729。Calif.io が Claude Mythos Preview の支援で 1997 年からの欠陥を発掘した。
- セキュリティtheme: テクノロジー
WordPress Gravity SMTP の認証回避欠陥、1700 万件の悪用試行
10 万サイトに導入されている WordPress プラグイン Gravity SMTP の情報漏洩欠陥 CVE-2026-4020 を狙う攻撃が継続。Wordfence は活動開始以降 1700 万件超の悪用試行をブロックしたと報告した。
- セキュリティtheme: テクノロジー
Palo Alto の GlobalProtect 認証バイパス、攻撃に悪用 CISA 緊急対応
Palo Alto Networks の PAN-OS GlobalProtect 認証バイパス (CVE-2026-0257) が実環境で悪用され、CISA は KEV カタログに追加し連邦機関に 6 月 1 日までの対処を指示した。
- セキュリティtheme: テクノロジー
NGINX 1.31.0 に未修正 RCE 0-day「nginx-poolslip」公開 — ASLR 回避で Web 全体の 30-40% に影響
セキュリティ研究チーム NebSec が 5 月 21 日に NGINX の最新安定版を狙う未認証 RCE を公表。CVE 未採番・F5 公式パッチ未提供のまま 30 日責任開示の途中段階。
- セキュリティtheme: テクノロジー
OpenClaw に 4 連鎖脆弱性『Claw Chain』⇒ 公開 AI エージェント 24.5 万台が露出
Cyera が自律 AI エージェント基盤 OpenClaw に未公開の 4 脆弱性『Claw Chain』を公表。サンドボックス回避から認証情報漏洩・権限昇格まで連鎖可能で、インターネットに露出する公開インスタンス約 24.5 万台が影響対象となる。
- セキュリティtheme: テクノロジー
Ollama に重大 OOB read 脆弱性 CVE-2026-7482『Bleeding Llama』⇒ 約 30 万台のサーバにメモリ漏えいリスク
Cyera が 5 月初旬に公表したローカル LLM 実行基盤 Ollama の脆弱性 CVE-2026-7482『Bleeding Llama』が、5 月 10 日に The Hacker News などで本格的に報じられました。GGUF テンソル解析処理のヒープ OOB read で、未認証リモート攻撃者がプロセスメモリを丸ごと漏えいさせることが可能。インターネット公開中の約 30 万台が影響を受けると見られ、修正版は 0.17.1。
- セキュリティtheme: テクノロジー
Apache HTTP Server に HTTP/2 二重解放の重大脆弱性 CVE-2026-23918、2.4.67 で修正
Apache 財団は 5 月 4 日、HTTP/2 の早期リセット時に二重解放を起こす CVE-2026-23918 (CVSS 8.8) を公表し、修正版 2.4.67 を配布。デフォルトで mod_http2 を有効にする多数のサイトが DoS と RCE 双方の影響を受け得る。Debian 系の APR mmap アロケータでは scoreboard を用いた RCE 経路が現実的に成立する。
- セキュリティtheme: テクノロジー
cPanel CVE-2026-41940、複数の脅威アクターが悪用拡大 政府機関・MSP に標的型攻撃と『.sorry』ランサム
4 月末に CVE-2026-41940 として正式採番された cPanel/WHM の認証バイパス脆弱性 (CVSS 9.8) について、5 月 4 日時点で複数の脅威アクターによる現用攻撃が確認されたと Help Net Security が報じた。東南アジアの政府・軍ドメインへの標的型侵入と、『.sorry』拡張子を使う Linux ランサムへ展開している。
- セキュリティtheme: テクノロジー
cPanel/WHM に深刻な認証バイパス CVE-2026-41940、約 2 か月間ゼロデイ攻撃に悪用 PoC も公開
ホスティング管理ツール cPanel & WHM に未認証の遠隔攻撃で管理権限を奪える致命的な認証バイパス脆弱性 CVE-2026-41940(CVSS 9.8)が判明。2 月 23 日頃から実環境で悪用されており、4 月 28 日に緊急パッチが公開されるまで約 2 か月間ゼロデイ状態が続いた。watchTowr は技術詳細と PoC を公開、CISA は KEV カタログに登録し連邦機関に 5 月 3 日までの修正を命じた。
- セキュリティtheme: テクノロジー
cPanel/WHM に認証バイパスの重大脆弱性、各社ホスティング事業者が緊急遮断
cPanel/WHM のログイン認証に重大な脆弱性が確認され、Namecheap・InMotion Hosting・hosting.com など主要ホスティング事業者が一斉に管理画面ポートを遮断。サポート対象の全バージョンが影響を受け、cPanel は段階的にパッチ済みリリースを配信している。