技術 2026年6月11日(木) 約10分 Microsoft系73リポジトリ停止、MiasmaはAIエージェント起動へ GitHubが2026年6月5日にMicrosoft系73リポジトリを停止。Azure/durabletaskへの悪意あるコミットはnpm installではなく、Claude Code、Gemini CLI、Cursor、VS Codeの設定読み込みで発火する。 セキュリティ npm サプライチェーン マルウェア Microsoft AIエージェント
技術 2026年6月10日(水) 約9分 LiteLLM CVE-2026-42271がCISA KEV入り、MCP stdioテスト経由でRCE LiteLLM 1.74.2〜1.83.6のMCP stdioテストAPIで任意コマンド実行。CISA KEV入り済み。LiteLLM 1.83.7以上とStarlette 1.0.1以上へ更新。BadHostが残ると未認証RCEになる。 セキュリティ CVE RCE CISA MCP LLM
技術 2026年6月6日(土) 約5分 Vitest APIサーバーのWebSocketからテストファイルを書き換えてRCEに届くCVE-2025-24964 Vitest UIやapi有効化時に立つWebSocket APIのOrigin検証不足で、悪意あるWebページからsaveTestFileとrerunを叩かれる。CVE-2025-24964の影響範囲、修正版、隣のCVE-2025-24963との違い、ローカル開発環境で見る設定を確認する。 セキュリティ Vite JavaScript 脆弱性 CVE Node.js
技術 2026年6月5日(金) 約5分 Android 2026年6月更新は悪用兆候のあるCVE-2025-48595を塞ぐ Android 14〜16/16-qpr2に入るCVE-2025-48595は、Googleが限定的標的型悪用の兆候ありと書いたFrameworkの権限昇格。2026-06-01と2026-06-05のパッチレベル差、CISA KEVの期限、端末側で確認する日付を整理する。 Android セキュリティ CVE 脆弱性
技術 2026年6月5日(金) 約9分 Spring BootでRequest SmugglingとRequest Splittingを取り違えない Spring BootとTomcat前提で、Request SmugglingとRequest Splittingの境界を確認する。プロキシとバックエンドのHTTP/1.1フレーミング差分、CRLFヘッダ注入、既存のaxios CRLF記事との違いまで扱う。 セキュリティ Spring Java 脆弱性
技術 2026年6月4日(木) 約17分 HTTP/2 Bomb PoC公開でnginxとApacheとEnvoyのメモリ枯渇DoSを確認する HTTP/2のHPACK圧縮とフロー制御停止を組み合わせると100Mbps回線1本で32GBのメモリを枯渇させられる。Envoyで5,700倍、Apacheで4,000倍の増幅が出る仕組みと、nginx・Apache・Envoy・IIS・Pingoraの修正状況を追った。 セキュリティ CVE nginx Apache 脆弱性
技術 2026年5月31日(日) 約8分 npm・PyPI・Crates.ioをまたぐTrapDoorが、Rustのbuild.rsとSui/Moveのキーストアを狙う暗号資産ステイラー SocketがTrapDoorとして追跡する34パッケージは、npmのpostinstall・PyPIのimport時実行・Crates.ioのbuild.rsを同時に使うクロスレジストリ型の暗号資産ステイラー。Sui/Move/Solana/Aptos開発者の鍵を主目的に、レジストリごとに発火点も暗号化方式も違う点を整理した。 セキュリティ npm PyPI Rust サプライチェーン マルウェア AIエージェント
技術 2026年5月30日(土) 約10分 SpaceXの41.6億ドル契約でゴールデンドームのセンサー衛星が発注された SpaceXの41.6億ドルSB-AMTI契約は迎撃衛星ではなく空中目標追跡のセンサー層。AMTIとGMTIの違い、数日前のSDN Backbone契約、日本のトライサット・コンステレーションとの対比まで一次ソースで整理した。 宇宙 セキュリティ 軍事
技術 2026年5月30日(土) 約8分 Microsoft DefenderのRedSunとUnDefendにCVEが付き実際の悪用も確認された RedSunとUnDefendとして先に出ていたMicrosoft Defenderの2件がCVE-2026-41091とCVE-2026-45498として公開され、CISA KEVにも入った。エンジン1.1.26040.8とプラットフォーム4.18.26040.7まで更新できているかを確認する。 セキュリティ Microsoft Windows 脆弱性 CVE CISA KEV
技術 2026年5月29日(金) 約9分 VS Code Remote-SSHで侵害済みSSH先からローカル端末へコマンドが届く Remote-SSHを隔離箱として使っている人向け。Califの実証で侵害済みSSH先がnewLocal+sendSequenceでローカル端末にコマンドを流せると判明。CVEもパッチもなくMicrosoftは仕様扱い、痕跡の追い方と隔離の代替まで セキュリティ VS Code Cursor AI Coding AIエージェント
技術 2026年5月28日(木) 約21分 KnowledgeDeliverの共通machineKeyでViewState RCEからGodzillaとCobalt Strikeまで到達 2026年2月24日以前にKnowledgeDeliverを入れてweb.configのmachineKeyを変えていない環境が対象。ViewStateデシリアライズの仕組み、Godzillaのメモリ内実行、JS改ざんによるCobalt Strike配布までの攻撃チェーンと、Event ID 1316からの追跡手順 セキュリティ CVE 脆弱性 RCE マルウェア ゼロデイ
技術 2026年5月26日(火) 約9分 Secure Boot 2023証明書ロールオーバーで2026年6月のCA失効に向けMS Secure Score新チェックとKB5025885の段階適用が動き出した 2011年に発行されたMicrosoftのSecure Boot CAが2026年6月に失効する。Defender for EndpointのSecure Scoreに新チェックが追加され、KB5025885ガイドのAvailableUpdatesレジストリで段階適用していく。BlackLotus由来の2023 CA移行を実機展開する手順を整理した セキュリティ Microsoft Windows UEFI
