技術 2026年6月24日(水) 約8分 npmに2FA承認つきstaged publishingとinstall元制限が入った npm CLI 11.15.0でstaged publishingがGAになり、CIからstage queueへ出したtarballをメンテナが2FA承認してから公開できる。--allow-remoteなどのinstall元制限と、age gateやallowScriptsとの違いも確認する。 セキュリティ npm サプライチェーン Node.js GitHub
技術 2026年6月24日(水) 約6分 Ghost CMSのCVE-2026-26980悪用で700サイト超がClickFix配布元になった Ghost 3.24.0〜6.19.0のContent API SQLインジェクションが、Admin APIキー窃取と記事本文の一括改ざんに使われた。Ghost 6.19.1以降への更新だけでなく、記事末尾のJavaScript、APIキー、訪問者通知まで確認する。 セキュリティ CVE CMS JavaScript マルウェア 脆弱性
技術 2026年6月20日(土) 約7分 npmアカウントaiの7パッケージは週964Mダウンロードでprovenance未設定 PostCSS、nanoid、browserslistなどを公開するnpmアカウントaiの集中リスクを見る。provenance未設定、staged releases移行中、TanStackやMastraとの違いから、依存側で確認する差分を絞る。 セキュリティ npm サプライチェーン Node.js
技術 2026年6月19日(金) 約8分 Joomla JCE CVE-2026-48907がCISA KEV入り、更新後も不正プロファイルとPHPファイルを確認する Joomla Content Editor 2.9.99.4以前の未認証プロファイル取り込みからPHPコード実行。CISA KEV追加で期限は2026年6月19日。JCE 2.9.99.7への更新と、侵害済みサイトの不正プロファイル・ウェブシェル確認まで必要。 セキュリティ CVE RCE CISA PHP CMS 脆弱性
技術 2026年6月18日(木) 約8分 Vertex AI SDKのModel.uploadが予測可能なGCSバケット経由でモデル差し替えRCEにつながった Unit 42が確認したgoogle-cloud-aiplatform 1.139.0/1.140.0で、Model.uploadのデフォルトステージングバケットが予測可能だった。1.148.0以降への更新、明示的なstaging_bucket、ノートブック・CI・学習パイプライン側のSDK版確認まで見る。 セキュリティ Google Cloud Python 機械学習 RCE
技術 2026年6月18日(木) 約9分 Chainguardがnpmグレーウェアを検知し5万2,000件超を遮断 Chainguardのグレーウェアスキャナ発表を、npmの公開経過時間ゲートやnpm v12 allowScriptsの範囲外として読む。5万2,000件超の遮断、npmの公開例、開発端末とCIで確認する差分まで。 セキュリティ npm サプライチェーン OSS マルウェア
技術 2026年6月18日(木) 約8分 Mastraのnpm侵害はeasy-day-js依存でpostinstall発火、公式116件・外部143〜144件 Mastraの@mastra/*侵害は、正規パッケージ本体ではなくeasy-day-js依存のpostinstallが入口。公式116件・外部143〜144件の差、npmトークンpublish、provenance欠落、age gateとallowScriptsで止まる範囲を確認する。 セキュリティ npm サプライチェーン マルウェア AIエージェント Node.js
技術 2026年6月16日(火) 約8分 FFmpeg 21件のゼロデイ、183バイトのAV1 RTP PoC depthfirstのAIセキュリティエージェントがFFmpegで21件のゼロデイを発見。CVE付き9件、RTSP URLからAV1 over RTPへ届く経路、同梱FFmpegの確認まで整理する。 セキュリティ ffmpeg ゼロデイ CVE 脆弱性 AIエージェント
技術 2026年6月15日(月) 約10分 npm v12でinstall scriptsが既定で停止、allowScriptsとapprove-scriptsの移行手順 2026年7月予定のnpm v12でpreinstall、postinstall、binding.gypの暗黙node-gypが未許可なら停止。npm 11.16.0でapprove-scriptsを実行し、allowScripts、--allow-git、--allow-remoteをCI前に確認する。 セキュリティ npm サプライチェーン Node.js
技術 2026年6月11日(木) 約10分 Microsoft系73リポジトリ停止、MiasmaはAIエージェント起動へ GitHubが2026年6月5日にMicrosoft系73リポジトリを停止。Azure/durabletaskへの悪意あるコミットはnpm installではなく、Claude Code、Gemini CLI、Cursor、VS Codeの設定読み込みで発火する。 セキュリティ npm サプライチェーン マルウェア Microsoft AIエージェント
技術 2026年6月10日(水) 約9分 LiteLLM CVE-2026-42271がCISA KEV入り、MCP stdioテスト経由でRCE LiteLLM 1.74.2〜1.83.6のMCP stdioテストAPIで任意コマンド実行。CISA KEV入り済み。LiteLLM 1.83.7以上とStarlette 1.0.1以上へ更新。BadHostが残ると未認証RCEになる。 セキュリティ CVE RCE CISA MCP LLM
技術 2026年6月6日(土) 約5分 Vitest APIサーバーのWebSocketからテストファイルを書き換えてRCEに届くCVE-2025-24964 Vitest UIやapi有効化時に立つWebSocket APIのOrigin検証不足で、悪意あるWebページからsaveTestFileとrerunを叩かれる。CVE-2025-24964の影響範囲、修正版、隣のCVE-2025-24963との違い、ローカル開発環境で見る設定を確認する。 セキュリティ Vite JavaScript 脆弱性 CVE Node.js
