技術 2026年5月17日(日) 約13分 OpenClawのClaw ChainはAIエージェント侵害として見るべき脆弱性連鎖 OpenClaw 2026.4.22で修正されたClaw Chain(CVE 4件の連鎖)を、対応優先度・検知ログ・ローテーション対象まで整理。OpenShellのTOCTOU、heredoc展開、MCPループバックのowner偽装を、AIエージェント基盤の運用視点でつなげて読む。 セキュリティ OpenClaw AIエージェント CVE Sandbox MCP 脆弱性
技術 2026年5月15日(金) 約8分 node-ipc 9.1.6、9.2.3、12.0.1に開発者シークレット窃取バックドア node-ipcの悪意ある3バージョンはpostinstallではなくCommonJSのrequire時に動く。9.xと12.0.1の実行条件、lockfile、__ntwプロセス、DNS TXT流出の痕跡まで確認する。 セキュリティ npm サプライチェーン マルウェア
技術 2026年5月14日(木) 約10分 Next.jsのWebSocketアップグレードSSRFはセルフホストだけが踏むCVE-2026-44578 CVE-2026-44578は、Next.jsの組み込みNode.jsサーバーをセルフホストしている環境でWebSocketアップグレードリクエストから内部HTTPリクエストを投げられるSSRF。Vercel上は対象外で、15.5.16または16.2.5以上への更新が修正になる。 Next.js WebSocket セキュリティ 脆弱性
技術 2026年5月14日(木) 約11分 Composer CVE-2026-45793でGitHub ActionsトークンがCIログに平文露出 Composer 2.9.8と2.2.28で修正されたCVE-2026-45793。GitHubの新形式GITHUB_TOKENがハイフンを含むことで検証に落ち、CIログへ平文表示される条件と、GitHubの再ロールアウト前に確認する範囲を整理する。 PHP セキュリティ CVE GitHub Actions サプライチェーン
技術 2026年5月14日(木) 約8分 FragnesiaはDirty Frag対策後も残ったLinuxページキャッシュ権限昇格 Fragnesia(CVE-2026-46300)はLinuxのXFRM ESP-in-TCP経路でページキャッシュを書き換えるローカル権限昇格。Dirty Fragと同じ暫定緩和で止められるが、IPsec利用ホストでは副作用の確認が要る。 Linux セキュリティ CVE カーネル コンテナ IPsec
技術 2026年5月14日(木) 更新 約10分 Microsoft 2026年5月Patch Tuesdayの本命はDNS ClientとNetlogonの認証不要RCE、ZeroLogon・SIGRedとの位置づけで読む 5月Patch Tuesdayは137件中Critical 30件、公開悪用ゼロ。確認の中心は認証不要でCVSS 9.8のCVE-2026-41089 Netlogon RCEとCVE-2026-41096 DNS Client RCE。ZeroLogon・SIGRedとの違いとExploitability Index控えめの読み方、優先順位、検出ポイントを整理する。 Microsoft Windows セキュリティ 脆弱性 CVE RCE Active Directory DNS
技術 2026年5月14日(木) 更新 約6分 nginxの18年越しrewrite脆弱性CVE-2026-42945は設定パターン次第で未認証RCEに届く nginx 0.6.27〜1.30.0のrewriteモジュールに18年間残っていたバッファオーバーフロー。CVSS 9.2だが全環境ではなく特定のrewrite設定パターンだけが対象で、nginx -Tによる確認方法も書いた セキュリティ CVE nginx 脆弱性 RCE
技術 2026年5月14日(木) 約12分 GTIGが初観測したAI生成ゼロデイ、OSSウェブ管理ツールの2FAをLLMが見つけたセマンティック欠陥でバイパス 2026年5月11日にGoogle GTIGが公表した、攻撃者がLLMで生成したゼロデイの初確認事例。OSSウェブ系管理ツールの2FAバイパスを「ハードコードされた信頼仮定」のセマンティック欠陥として発見、Pythonエクスプロイトに残ったハルシネートCVSSスコアと教科書的構造が手がかりだった。APT45・UNC2814の周辺動向まで整理 セキュリティ AI LLM ゼロデイ Google
技術 2026年5月13日(水) 約5分 RubyGemsが500件超の悪性パッケージ対応で新規登録を一時停止 RubyGems.orgは悪性スパム投稿への対応として新規アカウント登録を停止した。500件超の悪性パッケージはyank済みで、既存ユーザーのgem installとpushは影響なし。新規gem採用や公開アカウント作成時の確認対象を絞る。 セキュリティ サプライチェーン マルウェア
技術 2026年5月12日(火) 更新 約7分 NIST NVDの優先度付きenrichmentでSCAツールごとに見落とし方が変わる 2026年4月15日のNIST NVD運用変更で、KEV・米連邦利用ソフト・EO 14028 critical software以外のCVEはDeferredで止まる。Snyk・Trivy・Dependabot・OSV-Scanner・Grypeが何を見ているか、NVD APIでvulnStatusを確認するコマンド、実際にDeferredになったCVE例までまとめた。 セキュリティ 脆弱性 CVE CISA
技術 2026年5月12日(火) 更新 約29分 Mini Shai-HuludがTanStack・Mistralのnpmへ拡大、CVE-2026-45321とTeamPCPの連続キャンペーン 2026年5月11日UTCのTanStack汚染(42パッケージ84バージョン、CVE-2026-45321 CVSS 9.6)からUiPath系60超・Mistral・OpenSearch・guardrails-ai・Checkmarx Jenkinsまで広がるTeamPCPの連続キャンペーン。トークン失効ワイプの順序、SLSA provenance付き悪性パッケージ初観測、Vectランサムウェア(実体はwiper)二次攻撃まで追跡。随時更新 セキュリティ npm サプライチェーン マルウェア GitHub Actions
技術 2026年5月12日(火) 約6分 GhostLockはSMB共有を暗号化なしで業務停止させる GhostLockのPoCと分析を読む。CreateFileWのdwShareMode=0だけでSMB共有上の大量ファイルを排他ロックし、従来のランサムウェア検知が見ていないNASセッション指標を突く話。 セキュリティ Windows ランサムウェア
