技術2026年4月11日(土)約12分MarimoのCVSS 9.3 pre-auth RCEとAstralが公開したuvサプライチェーン防御Python notebookのMarimoでCVSS 9.3の未認証RCEが悪用された事例と、uvとruffを開発するAstralが公開したCI/CDパイプライン保護・Trusted Publishing・Sigstore attestationの包括的なOSSセキュリティ対策を対比する。SecurityPythonCVERCEサプライチェーンPyPISigstore
技術2026年4月10日(金)約5分Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立2025年11月から活発に悪用されているAdobe Reader/Acrobatのゼロデイ。サンドボックスバイパスとRCEを2バグの組み合わせで実現し、最新版を含む全バージョンが影響を受ける。パッチ未提供。セキュリティAdobe脆弱性ゼロデイPDFRCE
技術2026年4月7日(火)約6分FlowiseのCustomMCPノードにCVSS 10.0のRCE脆弱性、12,000超のインスタンスが攻撃にさらされているAIエージェントビルダーFlowiseのCustomMCPノードにFunction()コンストラクタ経由の任意コード実行脆弱性CVE-2025-59528が見つかり、実際に悪用されている。12,000以上のインスタンスがインターネットに露出中。セキュリティCVEFlowiseMCPRCE
技術2026年3月31日(火)約5分OpenCodeに未認証RCEとXSS経由RCEの2件、220,000超のインスタンスが露出オープンソースAIコーディングエージェント「OpenCode」にCVE-2026-22812(CVSS 8.8)とCVE-2026-22813(CVSS 9.4)が公開された。無認証HTTPサーバーとMarkdownレンダラーのXSSを経由してシェルコマンドが実行される。PoCが公開済みで、220,000超のインスタンスがネットに露出している。セキュリティCVEOpenCodeRCEXSSAIエージェント
技術2026年3月29日(日)約4分F5 BIG-IP APMの未認証RCEがCISA KEV入り、中国APTがF5侵害中に発見したCVE-2025-53521F5 BIG-IP APMの未認証RCE脆弱性CVE-2025-53521(CVSS 9.8)がCISA KEVに追加された。元はDoSとして分類されていたが、F5のネットワークを侵害した中国系APTがソースコードを盗んで再分類した経緯を持つ。連邦機関の対応期限は2026年3月30日。セキュリティF5BIG-IPCVECISARCEAPT
技術2026年3月21日(土)約3分MagentoのREST APIで未認証RCEを可能にするPolyShell脆弱性Magentoの商品オプションAPIに未認証でポリグロットファイルをアップロードしてPHPコードを実行できる脆弱性。nginx 2.0.0〜2.2.x環境ではフルRCE、その他の構成ではXSSによるアカウント乗っ取りが成立する。MagentoセキュリティRCE脆弱性Adobe Commerce
技術2026年3月21日(土)約4分LangflowのCVE-2026-33017、公開20時間以内に実攻撃が開始未認証のRCEを可能にするCVSS9.3の脆弱性。公表から20時間以内に攻撃が確認された。LangflowCVEセキュリティRCELLMOps
技術2026年3月19日(木)約4分GNU Inetutils telnetdにCVSS 9.8の認証前リモートコード実行脆弱性(CVE-2026-32746)GNU Inetutils telnetdのLINEMODE SLCハンドラにバッファオーバーフローが発見された。認証不要・ポート23への接続だけでroot権限を奪取可能。全バージョン(〜2.7)が影響を受け、パッチは未リリース。セキュリティCVETelnetGNU InetutilsRCE
技術2026年3月13日(金)約4分n8nの複数RCE脆弱性とCISA KEV追加、24,700インスタンスに未パッチが残るn8nのワークフロー式評価に深刻なRCE脆弱性が複数発見された。CVE-2025-68613(CVSS 9.9)はCISAのKEVカタログに追加され積極的な悪用が確認済み。未認証攻撃が可能なCVE-2026-27493(CVSS 9.5)も含め、全ユーザーに即時パッチ適用が必要。セキュリティn8nCVERCECISA
技術2026年2月22日(日)更新約6分CISA KEV追加の重大脆弱性4件(ChromiumゼロデイからデフォルトRCEまで)同じ週にCISA KEVカタログへ追加されたChromium CSSエンジンUAF、Roundcubeの10年潜伏RCE、BeyondTrustのランサムウェア悪用RCE、Daguのデフォルト認証なしRCE。4件すべてで即時パッチ適用が必要。セキュリティ脆弱性CISAKEVRCEゼロデイChromiumRoundcubeBeyondTrust