技術 2026年5月18日(月) 更新 約9分 YellowKeyがWinRE経由でBitLockerをバイパス、GreenPlasma CTFMON権限昇格も同時公開で未パッチ、Chaotic Eclipseはバックドアと指摘 Chaotic Eclipse (Nightmare-Eclipse) が5月Patch Tuesday翌日にYellowKeyとGreenPlasmaのPoCを公開。USBに置いた FsTx フォルダとCTRLキーでBitLocker暗号化ドライブが開く挙動、WinREだけに存在する不審なコンポーネント、CTFMON経由のSYSTEM昇格、RedSunサイレント修正問題までまとめる。 セキュリティ Microsoft Windows 脆弱性 CVE
技術 2026年5月17日(日) 約13分 OpenClawのClaw ChainはAIエージェント侵害として見るべき脆弱性連鎖 OpenClaw 2026.4.22で修正されたClaw Chain(CVE 4件の連鎖)を、対応優先度・検知ログ・ローテーション対象まで整理。OpenShellのTOCTOU、heredoc展開、MCPループバックのowner偽装を、AIエージェント基盤の運用視点でつなげて読む。 セキュリティ OpenClaw AIエージェント CVE Sandbox MCP 脆弱性
技術 2026年5月14日(木) 約10分 Next.jsのWebSocketアップグレードSSRFはセルフホストだけが踏むCVE-2026-44578 CVE-2026-44578は、Next.jsの組み込みNode.jsサーバーをセルフホストしている環境でWebSocketアップグレードリクエストから内部HTTPリクエストを投げられるSSRF。Vercel上は対象外で、15.5.16または16.2.5以上への更新が修正になる。 Next.js WebSocket セキュリティ 脆弱性
技術 2026年5月14日(木) 更新 約10分 Microsoft 2026年5月Patch Tuesdayの本命はDNS ClientとNetlogonの認証不要RCE、ZeroLogon・SIGRedとの位置づけで読む 5月Patch Tuesdayは137件中Critical 30件、公開悪用ゼロ。確認の中心は認証不要でCVSS 9.8のCVE-2026-41089 Netlogon RCEとCVE-2026-41096 DNS Client RCE。ZeroLogon・SIGRedとの違いとExploitability Index控えめの読み方、優先順位、検出ポイントを整理する。 Microsoft Windows セキュリティ 脆弱性 CVE RCE Active Directory DNS
技術 2026年5月14日(木) 更新 約6分 nginxの18年越しrewrite脆弱性CVE-2026-42945は設定パターン次第で未認証RCEに届く nginx 0.6.27〜1.30.0のrewriteモジュールに18年間残っていたバッファオーバーフロー。CVSS 9.2だが全環境ではなく特定のrewrite設定パターンだけが対象で、nginx -Tによる確認方法も書いた セキュリティ CVE nginx 脆弱性 RCE
技術 2026年5月12日(火) 更新 約7分 NIST NVDの優先度付きenrichmentでSCAツールごとに見落とし方が変わる 2026年4月15日のNIST NVD運用変更で、KEV・米連邦利用ソフト・EO 14028 critical software以外のCVEはDeferredで止まる。Snyk・Trivy・Dependabot・OSV-Scanner・Grypeが何を見ているか、NVD APIでvulnStatusを確認するコマンド、実際にDeferredになったCVE例までまとめた。 セキュリティ 脆弱性 CVE CISA
技術 2026年5月11日(月) 約5分 OllamaのCVE-2026-7482は公開API化したローカルLLMのメモリを読む Ollama 0.17.1未満のGGUFローダーに境界外読み取り脆弱性。公開API化したローカルLLMでは、環境変数、APIキー、system prompt、会話断片の漏えいまで疑う必要がある。 Ollama セキュリティ 脆弱性 CVE ローカルLLM LLM
技術 2026年5月9日(土) 約6分 PAN-OSのCVE-2026-0300悪用でUser-ID Authentication Portalからroot RCEに到達 PA-Series / VM-SeriesでUser-ID Authentication Portalを公開している環境向け。CVE-2026-0300は国家支援型グループCL-STA-1132がroot RCEを成功、AD列挙とトンネリングまで確認済み。パッチは5月13日以降順次 セキュリティ CVE 脆弱性 RCE ネットワーク
技術 2026年5月9日(土) 約4分 CVE-2026-0073はWireless ADBの証明書比較ミスで隣接ネットワークRCEになる Android 14〜16/16-qpr2のWireless ADBに入ったCVE-2026-0073を、2026年5月のAndroidセキュリティ情報とAOSP差分から確認。EVP_PKEY_cmpの戻り値誤用で、同一LAN付近からshellユーザーのRCEに届く。 Android セキュリティ CVE 脆弱性 RCE
技術 2026年5月8日(金) 約6分 Next.js 16.2.6と15.5.18はMiddlewareバイパスとRSC DoSを同時に塞ぐセキュリティ更新 Next.js 16.2.6 / 15.5.18のセキュリティ更新を確認した。App Router、Middleware / Proxy、RSC、self-hosted Node.js serverで影響が変わるので、アップグレード前に見る場所を絞る。 Next.js React セキュリティ 脆弱性
技術 2026年5月4日(月) 約5分 CursorのCVE-2026-26268はGit hooksでAIエージェントのサンドボックスを抜ける Cursor 2.5未満で修正されたCVE-2026-26268は、AIエージェントが保護不足の.git設定やGit hooksを書き換え、次のGit操作でサンドボックス外RCEにつながる脆弱性だった。 セキュリティ Cursor AI Coding AIエージェント CVE 脆弱性
技術 2026年4月30日(木) 約7分 OpenAI Codexのサンドボックス迂回をZDIがゼロデイとして公開 ZDI-26-305として公開されたOpenAI Codexのサンドボックス迂回脆弱性。悪意あるJavaScriptを含むリポジトリをCodexで処理した場合に、サンドボックス外でユーザー権限のコード実行へつながるとされる。 OpenAI Codex セキュリティ 脆弱性 AIエージェント Sandbox
