#セキュリティ

CISA KEVにCraft CMS CVSS10.0・Laravel CVSS9.8・Apple WebKit脆弱性5件追加、4月3日パッチ期限

MuddyWaterとDarkSword悪用確認済みの5件がKEVカタログ入り。Craft CMSはCVSS10.0のゼロデイで2月から実攻撃が続いており、Laravel LivewireはMuddyWaterが中東インフラへの攻撃に活用中。

MagentoのREST APIで未認証RCEを可能にするPolyShell脆弱性

Magentoの商品オプションAPIに未認証でポリグロットファイルをアップロードしてPHPコードを実行できる脆弱性。nginx 2.0.0〜2.2.x環境ではフルRCE、その他の構成ではXSSによるアカウント乗っ取りが成立する。

Azure Entra IDサインインログを未記録のまま認証する4つの手口をTrustedSecが公開

RoPCフローのSQLカラムオーバーフローを突いてAzure Entra IDのサインインログを回避する4つの手法が全公開された。GraphGoblinはCVSS v4.0=8.7で有効なアクセストークンを発行する。

LangflowのCVE-2026-33017、公開20時間以内に実攻撃が開始

未認証のRCEを可能にするCVSS9.3の脆弱性。公表から20時間以内に攻撃が確認された。

NemoClawとStripe MPPで考えるOpenClawエージェントの課金セキュリティ

NVIDIAのNemoClawが4層サンドボックスでOpenClawエージェントを保護する一方、StripeのMachine Payments Protocolはエージェントに秘密鍵を渡さない決済を実現する。サンドボックスの中から安全に課金するにはどうすればいいのか。

GNU Inetutils telnetdにCVSS 9.8の認証前リモートコード実行脆弱性（CVE-2026-32746）

GNU Inetutils telnetdのLINEMODE SLCハンドラにバッファオーバーフローが発見された。認証不要・ポート23への接続だけでroot権限を奪取可能。全バージョン（〜2.7）が影響を受け、パッチは未リリース。

Cisco FMC CVSS 10.0ゼロデイ CVE-2026-20131をInterlockランサムウェアが36日間悪用

Cisco Secure FMCの未認証RCE脆弱性CVE-2026-20131（CVSS 10.0）をInterlockランサムウェアグループがCisco公表の36日前から悪用。Amazon Threat Intelligenceが詳細なツールキットを解析した。

Codex SecurityがSASTレポートを出さない理由

OpenAIがCodex Securityで採用したAI駆動制約推論の仕組みと、従来のSASTとの違い。

Chrome DevTools MCPが既存ブラウザセッションへの接続に対応

Chrome DevTools MCPサーバーに--autoConnectオプションが追加され、コーディングエージェントが既存のブラウザセッションに直接接続できるようになった。MCP vs CLI論争の背景、OpenClawでのブラウザ操作、認証済みセッション委譲のリスクを深掘りする。

GlassWormがOpen VSXで急拡大、拡張機能の依存関係を悪用したトランジティブ感染に手口が進化

Open VSX拡張機能72件・GitHubリポジトリ151件・npmパッケージ88件に及ぶGlassWormキャンペーンの拡大と、extensionDependenciesを踏み台にした新たなサプライチェーン手口の詳細。

CloudflareがAIアプリ向けWAFセキュリティとRFC 9457エラーレスポンスを同日リリース

AI Security for AppsがGAに達し、プロンプトインジェクション・PII漏洩をWAFで遮断できるようになった。同日、AIエージェントがCloudflareエラーに遭遇する際のHTMLをJSON/Markdownで置き換えるRFC 9457対応も提供開始。

Chrome 146のゼロデイ2件、SkiaとV8で実環境悪用を確認

GoogleがChrome 146.0.7680.75で修正した2件のゼロデイ脆弱性。Skia（CVSS 8.8）とV8（CVSS 8.8）への攻撃が実環境で確認されており、2026年に入って3件目のChrome緊急パッチとなった。