技術 2026年4月22日(水) 約4分 Microsoft が ASP.NET Core の権限昇格脆弱性 CVE-2026-40372 にパッチ 暗号署名検証の回帰で CVSS 9.1 の脆弱性が .NET 10.0 に混入。Data Protection API が HMAC 検証を不完全に実装し、パディングオラクル攻撃でトークン偽造が可能に。 セキュリティ ASP.NET Core .NET CVE 脆弱性 暗号化
技術 2026年4月18日(土) 約4分 Vertex Addons for ElementorでCVE-2026-4326、Subscriber権限から任意プラグインを有効化できる WordPressのElementor拡張プラグイン『Vertex Addons for Elementor』v1.6.4以下で、activate_required_plugins()の認可チェック実装ミスによりSubscriber権限以上の利用者が任意のプラグインをインストール・有効化できるCWE-862脆弱性。CVSS 8.8。 セキュリティ WordPress CVE 脆弱性 Elementor Wordfence
技術 2026年4月17日(金) 約12分 Apache ActiveMQ Jolokia APIのRCE脆弱性CVE-2026-34197がCISA KEV入り、連邦機関に4/30修正期限 13年間コードベースに潜んでいたApache ActiveMQ ClassicのRCE脆弱性CVE-2026-34197がCISA KEVに追加。Jolokia API経由のMBean操作でVMトランスポートとSpring XMLを連結し、リモートコマンド実行に至る。CVE-2024-32114と組み合わせれば未認証RCEとなる。影響は5.19.4未満および6.0.0〜6.2.2。 Security Apache ActiveMQ CVE CISA RCE Java Spring
技術 2026年4月16日(木) 約6分 NIST NVDがCVE全件エンリッチメントを断念、優先トリアージ制へ移行 NISTがNVDの運用方針を転換。CVE全件へのエンリッチメントをやめ、CISA KEV・連邦政府ソフト・EO 14028重要ソフトの3カテゴリのみ優先対応する。 セキュリティ CVE 脆弱性 NIST
技術 2026年4月16日(木) 約6分 nginx-uiのMCPエンドポイント認証欠如(CVE-2026-33032)が実攻撃に、パッチなし Webベースのnginx管理ツールnginx-uiにCVSS 9.8の認証バイパスが見つかり、実攻撃が確認された。MCPの/mcp_messageエンドポイントが認証をスキップするため、未認証のリモート攻撃者がnginx設定を自由に書き換えられる。 セキュリティ CVE nginx MCP 認証バイパス 脆弱性
技術 2026年4月15日(水) 約6分 2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応 史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ(CVSS 6.5)が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer(CVSS 7.8)はフルPoC公開済み。IKEワーム化RCE(CVSS 9.8)を含む高CVSSも多数。 セキュリティ Microsoft Windows SharePoint CVE 脆弱性 CISA KEV
技術 2026年4月14日(火) 約9分 CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加(4月13日) FortiClient EMSのSQLインジェクション(CVSS 9.1)を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。 セキュリティ CISA CVE Fortinet Microsoft Adobe 脆弱性 KEV
技術 2026年4月14日(火) 約6分 ShowDocのファイルアップロードRCE(CVE-2025-0520)が5年越しで実攻撃に 2020年に公開されたShowDocのCVSS9.4ファイルアップロード脆弱性が、2026年4月にVulnCheck Canariesのハニーポットで初の実悪用を確認。2,000以上の露出インスタンスが中国を中心に残存する。 セキュリティ CVE RCE ShowDoc 脆弱性
技術 2026年4月13日(月) 約5分 axiosがprototype pollutionのgadgetとしてHTTPヘッダ注入を許していた CVE-2026-40175 CVE-2026-40175: 3月のサプライチェーン侵害とは別件。axiosの設定マージがprototype pollution経由の汚染値をHTTPヘッダに流し、CRLF注入からSSRFまで連鎖する。1.15.0で修正済み。 セキュリティ npm Node.js CVE
技術 2026年4月11日(土) 約12分 MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御 Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。 Security Python CVE RCE サプライチェーン PyPI Sigstore
技術 2026年4月10日(金) 約8分 ロシアGRU APT28がTP-Linkルーターを乗っ取りMicrosoft 365の認証情報を窃取していた FBIとNCSCが公表したOperation Masqueradeの全容。APT28がSOHOルーターのDNSを改ざんし、Outlook認証トークンを傍受していた手口と対策。 セキュリティ CVE ネットワーク
技術 2026年4月8日(水) 約6分 Docker Engine AuthZプラグインバイパスの不完全修正が再び悪用可能に(CVE-2026-34040) CVE-2024-41110の修正が1MBを超えるリクエストボディの上限側を見落としていた。Docker Engine 29.3.1未満が影響を受ける。 セキュリティ CVE Docker コンテナ
