技術 2026年4月22日(水) 約4分 Microsoft が ASP.NET Core の権限昇格脆弱性 CVE-2026-40372 にパッチ 暗号署名検証の回帰で CVSS 9.1 の脆弱性が .NET 10.0 に混入。Data Protection API が HMAC 検証を不完全に実装し、パディングオラクル攻撃でトークン偽造が可能に。 セキュリティ ASP.NET Core .NET CVE 脆弱性 暗号化
技術 2026年4月18日(土) 約4分 Vertex Addons for ElementorでCVE-2026-4326、Subscriber権限から任意プラグインを有効化できる WordPressのElementor拡張プラグイン『Vertex Addons for Elementor』v1.6.4以下で、activate_required_plugins()の認可チェック実装ミスによりSubscriber権限以上の利用者が任意のプラグインをインストール・有効化できるCWE-862脆弱性。CVSS 8.8。 セキュリティ WordPress CVE 脆弱性 Elementor Wordfence
技術 2026年4月16日(木) 約6分 NIST NVDがCVE全件エンリッチメントを断念、優先トリアージ制へ移行 NISTがNVDの運用方針を転換。CVE全件へのエンリッチメントをやめ、CISA KEV・連邦政府ソフト・EO 14028重要ソフトの3カテゴリのみ優先対応する。 セキュリティ CVE 脆弱性 NIST
技術 2026年4月16日(木) 約6分 nginx-uiのMCPエンドポイント認証欠如(CVE-2026-33032)が実攻撃に、パッチなし Webベースのnginx管理ツールnginx-uiにCVSS 9.8の認証バイパスが見つかり、実攻撃が確認された。MCPの/mcp_messageエンドポイントが認証をスキップするため、未認証のリモート攻撃者がnginx設定を自由に書き換えられる。 セキュリティ CVE nginx MCP 認証バイパス 脆弱性
技術 2026年4月15日(水) 更新 約7分 2026年4月Patch Tuesday、163件パッチでSharePointゼロデイとBlueHammer PoC公開に対応 史上2番目の規模となったMicrosoft 4月Patch Tuesday。SharePoint Server XSSゼロデイ(CVSS 6.5)が実攻撃で悪用されCISA KEV入り、Windows DefenderのBlueHammer(CVSS 7.8)はフルPoC公開済み。IKEワーム化RCE(CVSS 9.8)を含む高CVSSも多数。 セキュリティ Microsoft Windows SharePoint CVE 脆弱性 CISA KEV
技術 2026年4月14日(火) 約9分 CISA KEV、Fortinet・Microsoft・Adobe 7件を一斉追加(4月13日) FortiClient EMSのSQLインジェクション(CVSS 9.1)を含む7件が実悪用確認でKEV入り。連邦機関はFortinetのみ4月16日、残り6件は4月27日が期限。 セキュリティ CISA CVE Fortinet Microsoft Adobe 脆弱性 KEV
技術 2026年4月14日(火) 約6分 ShowDocのファイルアップロードRCE(CVE-2025-0520)が5年越しで実攻撃に 2020年に公開されたShowDocのCVSS9.4ファイルアップロード脆弱性が、2026年4月にVulnCheck Canariesのハニーポットで初の実悪用を確認。2,000以上の露出インスタンスが中国を中心に残存する。 セキュリティ CVE RCE ShowDoc 脆弱性
技術 2026年4月12日(日) 更新 約5分 Adobe Acrobat Reader、悪用中のゼロデイにパッチ配布(CVE-2026-34621 / APSB26-43) 2025年12月から悪用が続いていたAdobe Acrobat ReaderのプロトタイプPollution RCEに、2026年4月11日にパッチが配布された。CVSS 8.6、Priority 1。72時間以内の適用が推奨される。 セキュリティ Adobe 脆弱性 RCE PDF ゼロデイ パッチ
技術 2026年4月10日(金) 約5分 Adobe ReaderのゼロデイがPDF経由で4ヶ月間悪用、未パッチのままRCEが成立 2025年11月から活発に悪用されているAdobe Reader/Acrobatのゼロデイ。サンドボックスバイパスとRCEを2バグの組み合わせで実現し、最新版を含む全バージョンが影響を受ける。パッチ未提供。 セキュリティ Adobe 脆弱性 ゼロデイ PDF RCE
技術 2026年4月3日(金) 約7分 React2Shell悪用キャンペーン UAT-10608が766台のNext.jsホストから認証情報を大量窃取 Cisco Talosが追跡する攻撃グループUAT-10608がCVE-2025-55182(React2Shell)を使って766台のNext.jsホストを侵害。DBクレデンシャル、SSHキー、AWS/Stripe/GitHubトークンを自動収集するNEXUS Listenerの実態を解説する。 セキュリティ Next.js React 脆弱性 サプライチェーン
技術 2026年3月29日(日) 約5分 Citrix NetScaler ADCのメモリ読み取り脆弱性CVE-2026-3055にアクティブな偵察活動が進行中 Citrix NetScaler ADC/GatewayのSAML IdP構成に影響するCVSS 9.3のメモリ読み取り脆弱性CVE-2026-3055に対し、認証フロー列挙を狙った偵察スキャンが観測されている。 セキュリティ Citrix NetScaler CVE SAML 脆弱性
技術 2026年3月21日(土) 約3分 MagentoのREST APIで未認証RCEを可能にするPolyShell脆弱性 Magentoの商品オプションAPIに未認証でポリグロットファイルをアップロードしてPHPコードを実行できる脆弱性。nginx 2.0.0〜2.2.x環境ではフルRCE、その他の構成ではXSSによるアカウント乗っ取りが成立する。 Magento セキュリティ RCE 脆弱性 Adobe Commerce
