技術 2026年5月12日(火) 更新 約7分 NIST NVDの優先度付きenrichmentでSCAツールごとに見落とし方が変わる 2026年4月15日のNIST NVD運用変更で、KEV・米連邦利用ソフト・EO 14028 critical software以外のCVEはDeferredで止まる。Snyk・Trivy・Dependabot・OSV-Scanner・Grypeが何を見ているか、NVD APIでvulnStatusを確認するコマンド、実際にDeferredになったCVE例までまとめた。 セキュリティ 脆弱性 CVE CISA
技術 2026年5月11日(月) 約5分 OllamaのCVE-2026-7482は公開API化したローカルLLMのメモリを読む Ollama 0.17.1未満のGGUFローダーに境界外読み取り脆弱性。公開API化したローカルLLMでは、環境変数、APIキー、system prompt、会話断片の漏えいまで疑う必要がある。 Ollama セキュリティ 脆弱性 CVE ローカルLLM LLM
技術 2026年5月9日(土) 約6分 PAN-OSのCVE-2026-0300悪用でUser-ID Authentication Portalからroot RCEに到達 PA-Series / VM-SeriesでUser-ID Authentication Portalを公開している環境向け。CVE-2026-0300は国家支援型グループCL-STA-1132がroot RCEを成功、AD列挙とトンネリングまで確認済み。パッチは5月13日以降順次 セキュリティ CVE 脆弱性 RCE ネットワーク
技術 2026年5月9日(土) 約4分 CVE-2026-0073はWireless ADBの証明書比較ミスで隣接ネットワークRCEになる Android 14〜16/16-qpr2のWireless ADBに入ったCVE-2026-0073を、2026年5月のAndroidセキュリティ情報とAOSP差分から確認。EVP_PKEY_cmpの戻り値誤用で、同一LAN付近からshellユーザーのRCEに届く。 Android セキュリティ CVE 脆弱性 RCE
技術 2026年5月8日(金) 約6分 Next.js 16.2.6と15.5.18はMiddlewareバイパスとRSC DoSを同時に塞ぐセキュリティ更新 Next.js 16.2.6 / 15.5.18のセキュリティ更新を確認した。App Router、Middleware / Proxy、RSC、self-hosted Node.js serverで影響が変わるので、アップグレード前に見る場所を絞る。 Next.js React セキュリティ 脆弱性
技術 2026年5月4日(月) 約5分 CursorのCVE-2026-26268はGit hooksでAIエージェントのサンドボックスを抜ける Cursor 2.5未満で修正されたCVE-2026-26268は、AIエージェントが保護不足の.git設定やGit hooksを書き換え、次のGit操作でサンドボックス外RCEにつながる脆弱性だった。 セキュリティ Cursor AI Coding AIエージェント CVE 脆弱性
技術 2026年4月30日(木) 約7分 OpenAI Codexのサンドボックス迂回をZDIがゼロデイとして公開 ZDI-26-305として公開されたOpenAI Codexのサンドボックス迂回脆弱性。悪意あるJavaScriptを含むリポジトリをCodexで処理した場合に、サンドボックス外でユーザー権限のコード実行へつながるとされる。 OpenAI Codex セキュリティ 脆弱性 AIエージェント Sandbox
技術 2026年4月22日(水) 約4分 Microsoft が ASP.NET Core の権限昇格脆弱性 CVE-2026-40372 にパッチ 暗号署名検証の回帰で CVSS 9.1 の脆弱性が .NET 10.0 に混入。Data Protection API が HMAC 検証を不完全に実装し、パディングオラクル攻撃でトークン偽造が可能に。 セキュリティ ASP.NET Core .NET CVE 脆弱性 暗号化
技術 2026年4月18日(土) 約4分 Vertex Addons for ElementorでCVE-2026-4326、Subscriber権限から任意プラグインを有効化できる WordPressのElementor拡張プラグイン『Vertex Addons for Elementor』v1.6.4以下で、activate_required_plugins()の認可チェック実装ミスによりSubscriber権限以上の利用者が任意のプラグインをインストール・有効化できるCWE-862脆弱性。CVSS 8.8。 セキュリティ WordPress CVE 脆弱性 Elementor Wordfence
技術 2026年4月16日(木) 約6分 NIST NVDがCVE全件エンリッチメントを断念、優先トリアージ制へ移行 NISTがNVDの運用方針を転換。CVE全件へのエンリッチメントをやめ、CISA KEV・連邦政府ソフト・EO 14028重要ソフトの3カテゴリのみ優先対応する。 セキュリティ CVE 脆弱性 NIST
技術 2026年4月16日(木) 約6分 nginx-uiのMCPエンドポイント認証欠如(CVE-2026-33032)が実攻撃に、パッチなし Webベースのnginx管理ツールnginx-uiにCVSS 9.8の認証バイパスが見つかり、実攻撃が確認された。MCPの/mcp_messageエンドポイントが認証をスキップするため、未認証のリモート攻撃者がnginx設定を自由に書き換えられる。 セキュリティ CVE nginx MCP 認証バイパス 脆弱性
技術 2026年4月15日(水) 約6分 2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応 史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ(CVSS 6.5)が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer(CVSS 7.8)はフルPoC公開済み。IKEワーム化RCE(CVSS 9.8)を含む高CVSSも多数。 セキュリティ Microsoft Windows SharePoint CVE 脆弱性 CISA KEV
