技術 2026年4月7日(火) 約6分 FlowiseのCustomMCPノードにCVSS 10.0のRCE脆弱性、12,000超のインスタンスが攻撃にさらされている AIエージェントビルダーFlowiseのCustomMCPノードにFunction()コンストラクタ経由の任意コード実行脆弱性CVE-2025-59528が見つかり、実際に悪用されている。12,000以上のインスタンスがインターネットに露出中。 セキュリティ CVE Flowise MCP RCE
技術 2026年4月3日(金) 約8分 OpenClawのSSHサンドボックスにシンボリックリンク経由の脱出、CVSS 8.8 OpenClawのSSHサンドボックス同期処理にシンボリックリンクのバリデーション不備が見つかり、AIエージェントが任意のローカルファイル読み書きでサンドボックスを脱出できる脆弱性。GHSA-fv94-qvg8-xqpw、CVSS 8.8。 セキュリティ OpenClaw AIエージェント CVE Sandbox
技術 2026年4月2日(木) 約6分 Chrome 146のDawnにuse-after-free、2026年4件目のゼロデイが実環境悪用 WebGPU実装DawnのUAF脆弱性CVE-2026-5281がin-the-wildで悪用確認。Chrome 146.0.7680.177/178へのアップデートが必要。 Chrome セキュリティ ゼロデイ WebGPU CVE
技術 2026年3月31日(火) 約5分 OpenCodeに未認証RCEとXSS経由RCEの2件、220,000超のインスタンスが露出 オープンソースAIコーディングエージェント「OpenCode」にCVE-2026-22812(CVSS 8.8)とCVE-2026-22813(CVSS 9.4)が公開された。無認証HTTPサーバーとMarkdownレンダラーのXSSを経由してシェルコマンドが実行される。PoCが公開済みで、220,000超のインスタンスがネットに露出している。 セキュリティ CVE OpenCode RCE XSS AIエージェント
技術 2026年3月29日(日) 約5分 Citrix NetScaler ADCのメモリ読み取り脆弱性CVE-2026-3055にアクティブな偵察活動が進行中 Citrix NetScaler ADC/GatewayのSAML IdP構成に影響するCVSS 9.3のメモリ読み取り脆弱性CVE-2026-3055に対し、認証フロー列挙を狙った偵察スキャンが観測されている。 セキュリティ Citrix NetScaler CVE SAML 脆弱性
技術 2026年3月29日(日) 約4分 F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521 F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521(CVSS 9.8)がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。 セキュリティ F5 BIG-IP CVE CISA RCE APT
技術 2026年3月28日(土) 約8分 LangChainとLangGraphに3件の脆弱性、ファイル・秘密情報・会話履歴が漏洩 LangChain CoreとLangGraphに3件の独立した脆弱性が公開された。デシリアライゼーションによる秘密情報窃取、SQLインジェクションによる会話履歴漏洩、パストラバーサルによる任意ファイル読み取りと、それぞれ異なるデータクラスを侵害する。 LangChain LangGraph CVE セキュリティ LLM Deserialization
技術 2026年3月23日(月) 約4分 Quest KACE SMA に CVSS 10.0 の認証バイパス、3月初旬から実攻撃を確認 Quest KACE SMAにCVSS 10.0の認証バイパス脆弱性CVE-2025-32975が発見され、2026年3月9日の週から実際の攻撃活動が確認された。パッチは2025年5月に公開済みだが、未適用システムが攻撃対象になっている。 セキュリティ CVE KACE Authentication Bypass Mimikatz
技術 2026年3月22日(日) 約4分 CISA KEVにCraft CMS CVSS10.0・Laravel CVSS9.8・Apple WebKit脆弱性5件追加、4月3日パッチ期限 MuddyWaterとDarkSword悪用確認済みの5件がKEVカタログ入り。Craft CMSはCVSS10.0のゼロデイで2月から実攻撃が続いており、Laravel LivewireはMuddyWaterが中東インフラへの攻撃に活用中。 セキュリティ CISA CVE Craft CMS Laravel Apple MuddyWater DarkSword
技術 2026年3月21日(土) 約4分 LangflowのCVE-2026-33017、公開20時間以内に実攻撃が開始 未認証のRCEを可能にするCVSS9.3の脆弱性。公表から20時間以内に攻撃が確認された。 Langflow CVE セキュリティ RCE LLMOps
技術 2026年3月19日(木) 約4分 GNU Inetutils telnetdにCVSS 9.8の認証前リモートコード実行脆弱性(CVE-2026-32746) GNU Inetutils telnetdのLINEMODE SLCハンドラにバッファオーバーフローが発見された。認証不要・ポート23への接続だけでroot権限を奪取可能。全バージョン(〜2.7)が影響を受け、パッチは未リリース。 セキュリティ CVE Telnet GNU Inetutils RCE
技術 2026年3月19日(木) 約7分 Cisco FMC CVSS 10.0ゼロデイ CVE-2026-20131をInterlockランサムウェアが36日間悪用 Cisco Secure FMCの未認証RCE脆弱性CVE-2026-20131(CVSS 10.0)をInterlockランサムウェアグループがCisco公表の36日前から悪用。Amazon Threat Intelligenceが詳細なツールキットを解析した。 Cisco ランサムウェア CVE ゼロデイ セキュリティ
