技術 2026年6月24日(水) 約6分 Ghost CMSのCVE-2026-26980悪用で700サイト超がClickFix配布元になった Ghost 3.24.0〜6.19.0のContent API SQLインジェクションが、Admin APIキー窃取と記事本文の一括改ざんに使われた。Ghost 6.19.1以降への更新だけでなく、記事末尾のJavaScript、APIキー、訪問者通知まで確認する。 セキュリティ CVE CMS JavaScript マルウェア 脆弱性
技術 2026年6月19日(金) 約8分 Joomla JCE CVE-2026-48907がCISA KEV入り、更新後も不正プロファイルとPHPファイルを確認する Joomla Content Editor 2.9.99.4以前の未認証プロファイル取り込みからPHPコード実行。CISA KEV追加で期限は2026年6月19日。JCE 2.9.99.7への更新と、侵害済みサイトの不正プロファイル・ウェブシェル確認まで必要。 セキュリティ CVE RCE CISA PHP CMS 脆弱性
技術 2026年6月16日(火) 約8分 FFmpeg 21件のゼロデイ、183バイトのAV1 RTP PoC depthfirstのAIセキュリティエージェントがFFmpegで21件のゼロデイを発見。CVE付き9件、RTSP URLからAV1 over RTPへ届く経路、同梱FFmpegの確認まで整理する。 セキュリティ ffmpeg ゼロデイ CVE 脆弱性 AIエージェント
技術 2026年6月6日(土) 約5分 Vitest APIサーバーのWebSocketからテストファイルを書き換えてRCEに届くCVE-2025-24964 Vitest UIやapi有効化時に立つWebSocket APIのOrigin検証不足で、悪意あるWebページからsaveTestFileとrerunを叩かれる。CVE-2025-24964の影響範囲、修正版、隣のCVE-2025-24963との違い、ローカル開発環境で見る設定を確認する。 セキュリティ Vite JavaScript 脆弱性 CVE Node.js
技術 2026年6月5日(金) 約5分 Android 2026年6月更新は悪用兆候のあるCVE-2025-48595を塞ぐ Android 14〜16/16-qpr2に入るCVE-2025-48595は、Googleが限定的標的型悪用の兆候ありと書いたFrameworkの権限昇格。2026-06-01と2026-06-05のパッチレベル差、CISA KEVの期限、端末側で確認する日付を整理する。 Android セキュリティ CVE 脆弱性
技術 2026年6月5日(金) 約9分 Spring BootでRequest SmugglingとRequest Splittingを取り違えない Spring BootとTomcat前提で、Request SmugglingとRequest Splittingの境界を確認する。プロキシとバックエンドのHTTP/1.1フレーミング差分、CRLFヘッダ注入、既存のaxios CRLF記事との違いまで扱う。 セキュリティ Spring Java 脆弱性
技術 2026年6月4日(木) 約17分 HTTP/2 Bomb PoC公開でnginxとApacheとEnvoyのメモリ枯渇DoSを確認する HTTP/2のHPACK圧縮とフロー制御停止を組み合わせると100Mbps回線1本で32GBのメモリを枯渇させられる。Envoyで5,700倍、Apacheで4,000倍の増幅が出る仕組みと、nginx・Apache・Envoy・IIS・Pingoraの修正状況を追った。 セキュリティ CVE nginx Apache 脆弱性
技術 2026年5月30日(土) 約8分 Microsoft DefenderのRedSunとUnDefendにCVEが付き実際の悪用も確認された RedSunとUnDefendとして先に出ていたMicrosoft Defenderの2件がCVE-2026-41091とCVE-2026-45498として公開され、CISA KEVにも入った。エンジン1.1.26040.8とプラットフォーム4.18.26040.7まで更新できているかを確認する。 セキュリティ Microsoft Windows 脆弱性 CVE CISA KEV
技術 2026年5月28日(木) 約21分 KnowledgeDeliverの共通machineKeyでViewState RCEからGodzillaとCobalt Strikeまで到達 2026年2月24日以前にKnowledgeDeliverを入れてweb.configのmachineKeyを変えていない環境が対象。ViewStateデシリアライズの仕組み、Godzillaのメモリ内実行、JS改ざんによるCobalt Strike配布までの攻撃チェーンと、Event ID 1316からの追跡手順 セキュリティ CVE 脆弱性 RCE マルウェア ゼロデイ
技術 2026年5月26日(火) 約7分 nginxの2026年5月第2波が来た njsのCVE-2026-8711とrewrite追加分のCVE-2026-9256をRift続報として整理 Riftの後、5月後半にnginxからもう2件出た。njsのjs_fetch_proxy脆弱性CVE-2026-8711と、rewriteモジュールの第2のヒープオーバーフローCVE-2026-9256。どちらも未認証RCEに届く可能性があり、発火条件と確認ポイントを設定ファイルベースで書いた セキュリティ CVE nginx 脆弱性 RCE
技術 2026年5月21日(木) 更新 約7分 MicrosoftがYellowKey CVE-2026-45585にWinRE改修とTPM+PINの緩和策を公開 YellowKeyはまだパッチ前だが、MSRCがWinRE内のautofstx.exe無効化とTPM+PIN追加を案内した。TPM-only BitLocker端末で何を変えるか、前回のPoC公開時点から変わった判断を整理する。 セキュリティ Microsoft Windows 脆弱性 CVE
技術 2026年5月19日(火) 更新 約6分 MiniPlasmaがフルパッチWindows 11でSYSTEM昇格、cldflt.sysはCVE-2020-17103の5年越し不完全パッチか Chaotic Eclipseがcldflt.sysのHsmOsBlockPlaceholderAccessのレースコンディションでSYSTEMシェルを取るMiniPlasmaを公開。2020年にProject ZeroのJames Forshawが報告しMicrosoftが修正したはずのCVE-2020-17103が、フルパッチWindows 11 May 2026 updateで再現。Will Dormannも動作確認、Insider Canaryでは動かず。BlueHammer・YellowKey・GreenPlasmaに続くシリーズの位置づけと、5年前のパッチが再発している意味を整理する。 セキュリティ Microsoft Windows 脆弱性 CVE
