毎朝3分！セキュリティRadio

■ 今日のハイライト 本日は、以下の重要なセキュリティニュースをピックアップしてお届けします。 ▼ 1. OpenAMにおける事前認証RCE (CVE-2026-33439) 【概要】 OpenIdentityPlatform OpenAMにて、事前認証段階でのリモートコード実行（RCE）の脆弱性が発見されました。 【詳細】 jato.clientSessionというHTTPパラメータの安全でないデシリアライゼーションが原因です。パッチを適用していない環境では、攻撃者にサーバーを完全に乗っ取られる危険性があります。 ▼ 2. Honoフレームワークにおける複数の脆弱性 【概要】 人気の軽量Webフレームワーク「Hono」にて、複数の脆弱性が報告されています。 【詳細】 (1) ミドルウェアバイパス (CVE-2026-39407) serveStaticにおいて、連続したスラッシュを用いたリクエストにより、認証ミドルウェアがバイパスされる問題。 (2) パストラバーサル (CVE-2026-39408) 静的サイト生成の際に、指定された出力ディレクトリ外にファイルが書き込まれてしまう問題。 ▼ 3. Apache Cassandraの複数脆弱性 【概要】 分散型データベース「Apache Cassandra」にて、権限昇格やDoSなど複数の脆弱性が発覚しました。 【詳細】 ・CVE-2026-27314：mTLS環境下での権限昇格。低権限ユーザーがスーパーユーザーのロールに自己の証明書を紐付けられる問題。 ・CVE-2026-32588：CQL経由の認証済みサービス拒否攻撃（DoS）の脆弱性。 ・CVE-2026-27315：cqlshの履歴ファイルによるパスワード等の情報漏洩。 ▼ 4. Electronにおけるクラッシュおよびスコープ逸脱 【概要】 デスクトップアプリ開発用フレームワーク「Electron」のアップデート情報です。 【詳細】 ・CVE-2026-34781：クリップボードから不正な画像を読み込んだ際にプロセスがクラッシュするDoS脆弱性。 ・CVE-2026-34765：別ウィンドウを開く際のターゲット名のスコープ不備によるナビゲーション問題。 【対策】 該当する製品・ライブラリを使用している場合は、直ちに最新の修正バージョンへのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #Hono #Cassandra #Electron Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 今日はフロントエンド開発で人気のVite、AIエージェントフレームワークPraisonAI、Strawberry GraphQLで発見された重要な脆弱性について解説します。 ▼ PraisonAIのパストラバーサルおよびファイル書き込み脆弱性 (CVE-2026-35615, CVE-2026-39308, CVE-2026-39306, CVE-2026-39305, CVE-2026-39307) AIツールPraisonAIにおいて、致命的なパス検証の欠陥やZip Slipと呼ばれる任意ファイル書き込み脆弱性が多数報告されました。システムの任意のファイルを読み書きされる危険があるため、利用者は早急な対策が必要です。 ▼ Viteにおける任意ファイル読み取りの脆弱性 Viteの開発サーバー機能において、指定されたファイルアクセス制限のバイパスやパストラバーサルにより、外部からソースコードや機密ファイルが読み取られる問題が報告されました。開発サーバーをネットワークに公開している環境で影響を受けます。 ▼ Strawberry GraphQLのDoSおよび認証バイパス (CVE-2026-35526, CVE-2026-35523) PythonのGraphQLライブラリであるStrawberryにおいて、無制限のWebSocketサブスクリプションによるメモリ枯渇（DoS）と、レガシープロトコルを用いた際の認証バイパスの脆弱性が修正されました。 ▼ Distributionの権限および情報漏洩問題 (CVE-2026-35172, CVE-2026-33540) コンテナレジストリのDistributionにおいて、削除済みデータへのアクセスがキャッシュから復活する問題や、クレデンシャルの漏洩リスクが報告されています。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #脆弱性 #Vite #PraisonAI #GraphQL Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、NPM（Node Package Manager）エコシステムで発見された、2件の深刻なセキュリティ脆弱性について解説します。今回取り上げるのは、AIアシスタントなどの外部ツール連携で注目を集めている「MCP（Model Context Protocol）」に関連するパッケージです。 開発者のローカル環境を脅かすOSコマンドインジェクションの脆弱性が報告されており、開発業務に関わる方は必聴の内容です。 ■ 脆弱性の詳細 ▼ 1件目：CVE-2026-5602 ・対象パッケージ：＜@nor2/heim-mcp＞ ・影響バージョン：0.1.3 以下 ・脆弱性の種類：OSコマンドインジェクション 【解説】 Nor2-ioが提供するハイムアプリケーションのクラウドデプロイ用MCPツールにおいて、コマンドインジェクションの脆弱性が特定されました。影響を受けるのは、src/tools.ts ファイル内の registerTools 関数です。 この関数は外部からの入力を受け取ってOSコマンドを組み立てますが、適切な無害化（サニタイズ）が行われていません。攻撃者がこのツールに細工したデータを渡すことで、開発者のローカル環境で任意のOSコマンドが実行されてしまう恐れがあります。 攻撃にはローカルアクセスが必要ですが、開発者のPCを踏み台にするマルウェア感染などの二次被害につながるため、速やかなアップデートが必要です。 ▼ 2件目：CVE-2026-5603 ・対象パッケージ：＜@elgentos/magento2-dev-mcp＞ ・影響バージョン：1.0.2 以下 ・脆弱性の種類：OSコマンドインジェクション 【解説】 elgentosが提供する、Magento 2開発用のMCPツールにおいても、同様のコマンドインジェクション脆弱性が発見されました。問題が存在するのは、src/index.ts の executeMagerun2Command 関数です。 この機能は、Magento 2の操作を行う magerun2 コマンドを実行するものですが、入力値の検証不備により、任意のシステムコマンドを注入することが可能です。 【警告】この脆弱性の最も危険な点は、すでにエクスプロイト（攻撃を実証するコード）が一般に公開されていることです。攻撃手法が確立しているため、悪用されるリスクが非常に高まっています。該当のパッケージを使用している開発者は、ただちに使用を停止し、安全な最新バージョンへアップデートを行ってください。 ■ まとめ MCPのような新しい技術を利用する開発支援ツールであっても、OSコマンドを扱う際の基本的なセキュリティ対策（入力のサニタイズやエスケープ処理）は必須です。ローカル環境だから安全という思い込みを捨て、利用するパッケージのバージョン管理と脆弱性情報の収集を継続しましょう。 #セキュリティ #エンジニア #ITニュース #NPM #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日の歴史解説 今日は、2021年7月に発生し、世界中のIT業界を震撼させた「Kaseya VSAサプライチェーン攻撃」を振り返ります。 ▼ 何が起きたのか？（事件の概要） 米国Kaseya社が提供するITインフラ管理ツール「Kaseya VSA」の脆弱性が突かれ、同ツールを利用しているMSP（マネージドサービスプロバイダ）を経由して、約1,500社もの顧客企業のシステムがランサムウェアに感染しました。 攻撃を実行したのは、ロシアを拠点とするランサムウェア犯罪グループ「REvil」です。彼らは、Kaseya VSAのオンプレミス版サーバーに存在していたゼロデイ脆弱性（CVE-2021-30116など）を悪用しました。 ▼ 技術的背景 Kaseya VSAは、MSPが顧客のネットワーク上のPCやサーバーを遠隔から監視し、アップデートなどを自動化するためのツールであり、システムにおいて最高レベルの権限を持っています。 攻撃者は、認証バイパスの脆弱性などを連鎖的に悪用し、VSAサーバーの制御を奪取。そこから正規のソフトウェアアップデートを装い、顧客企業のすべての端末に対して自動的にランサムウェアを配信しました。信頼された管理ツールが、最悪のマルウェア配送システムへと豹変してしまったのです。 ▼ 被害と影響 直接攻撃を受けたMSPは約60社でしたが、その顧客に被害が波及したため、最終的な感染企業は1,500社以上に上りました。スウェーデンの大手スーパーマーケットチェーンでは、レジシステムが暗号化されて数百店舗が一時休業に追い込まれるなど、市民生活にも甚大な影響を与えました。 要求された身代金は、当時のレートで約77億円という途方もない金額でした。 ▼ 今の私たちが学べる教訓 この事件から、現場のエンジニアは以下のことを学ぶ必要があります。 (1) サプライチェーンの脆弱性の認識 自社の守りが固くても、導入しているツールや委託先のMSPが侵害されれば被害に遭います。ベンダーのセキュリティ評価が不可欠です。 (2) 管理ツールの権限とアクセス制御の見直し 強力な権限を持つ管理ツールは、インターネットから直接アクセスできないようにし、VPNや多要素認証（MFA）を必須にするなどの厳格な制限が必要です。 (3) 外部起因のインシデントを想定した対策 利用している基幹システムやツールが突然使えなくなった場合を想定したインシデント対応計画を策定し、ネットワークから切り離されたオフラインバックアップを確保することが、ランサムウェアへの最後の砦となります。 ■ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #サプライチェーン攻撃 #ランサムウェア #サイバー攻撃 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今週のハイライト 今週（2026年3月29日〜4月5日）は、合計436件ものセキュリティニュースや脆弱性が報告される非常に慌ただしい1週間となりました。 特に注目すべきは、開発者を直接狙う「サプライチェーン攻撃」が複数確認されたこと、そして普及が著しい「AI・LLM関連ツール」におけるサンドボックス回避やリモートコード実行の脆弱性が大量に報告されたことです。 ■ サプライチェーン攻撃・マルウェア混入の脅威 【Axiosに関連するサプライチェーン攻撃】 広く使われているHTTPクライアントライブラリ「Axios」の特定バージョンが侵害され、悪意のある依存関係が混入しました。（CVE-2026-34841など） これにより、macOS、Windows、Linuxで動作するリモートアクセス型のトロイの木馬（RAT）がデプロイされる危険性がありました。メンテナのアカウント侵害が原因と見られています。 【Telnyxパッケージへの悪意あるコード挿入】 PyPIに登録されているPythonパッケージ「telnyx」のバージョン4.87.1および4.87.2に、認証情報を盗み出すマルウェアが仕込まれました。正規のリリース手順を迂回して直接公開されたものです。 ■ AI・LLM関連ツールの重大な脆弱性 【Anthropic Claude SDKのサンドボックス回避】 PythonおよびTypeScript向けのClaude SDKにおいて、ローカルファイルシステムを扱うツールにサンドボックス回避の脆弱性が発見されました。（CVE-2026-34452、CVE-2026-34451） 【vLLMのSSRFおよびDoS】 高速LLM推論エンジン「vLLM」において、内部ネットワークに不正リクエストを送信されるSSRF（CVE-2026-34753）や、メモリ枯渇を引き起こすDoS（CVE-2026-34756）が報告されました。 【PraisonAIおよびOpenClawの脆弱性ラッシュ】 AIエージェントフレームワーク「PraisonAI」でOSコマンドインジェクションなどのリモートコード実行（CVE-2026-34955など）が見つかりました。また、「OpenClaw」では今週だけで数十件に及ぶ認可バイパスやSSRF、サンドボックス突破の脆弱性が報告されています。 ■ Webフレームワーク・ライブラリの根本的な不備 【Electron】 解放後使用（Use-after-free）や、コンテキスト分離のバイパスなど、非常に多くのセキュリティパッチがリリースされました。（CVE-2026-34764、CVE-2026-34780など） 【aiohttpおよびRack】 Pythonの非同期HTTPライブラリ「aiohttp」でのHTTPレスポンス分割（CVE-2026-34519）や、Rubyの「Rack」におけるマルチパート解析のDoS（CVE-2026-34829）など、基盤プロトコル処理の不具合が多数修正されています。 ■ CMS・業務システムの大量の脆弱性 【baserCMS】 パストラバーサルによるファイル書き込みや、インストーラーでのOSコマンドインジェクションなど、深刻なRCE脆弱性が報告されています。（CVE-2026-30940、CVE-2026-21861など） 【AVideoおよびCI4MS】 動画配信CMS「AVideo」での認証バイパスや情報漏洩（CVE-2026-35452など）、CMS「CI4MS」での大量のクロスサイトスクリプティングが発覚しました。 ■ ハッシュタグ #セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #AIセキュリティ #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日はオープンソース界隈を揺るがす深刻な脆弱性とインシデントのニュースをお届けします。特に影響が広範囲に及ぶ可能性のある事案をピックアップしました。 ▼ Axios関連パッケージにおけるサプライチェーン攻撃 ・影響を受けるツール: @lightdash/cli、@usebruno/cli など ・概要: 著名なHTTPクライアントライブラリ「axios」の特定バージョン（1.14.1 および 0.30.4）が侵害され、悪意のある推移的依存関係「plain-crypto-js」が混入しました。これにより、macOS、Windows、Linux上で動作するリモートアクセストロイの木馬（RAT）が展開される恐れがあります。該当期間中にインストール操作を行った場合は、直ちにシステムの調査が必要です。 ▼ Pythonフレームワーク「Kedro」におけるリモートコード実行 (CVE-2026-35171) ・概要: Pythonのデータパイプライン構築フレームワーク「Kedro」にて、極めて深刻なリモートコード実行（RCE）の脆弱性が発見されました。ログ設定の読み込み処理において、ユーザーが制御可能な環境変数を通じた入力検証が不足しており、悪意のある設定ファイルを読み込ませることで任意のPythonコードが実行可能になってしまいます。 ▼ Electronにおける多数の脆弱性修正 (代表: CVE-2026-34780 等) ・概要: デスクトップアプリ開発フレームワーク「Electron」で十数件の脆弱性が修正されました。中でも、WebCodecs APIを通じてVideoFrameオブジェクトを転送する際にコンテキスト分離がバイパスされてしまう脆弱性（CVE-2026-34780）など、アプリの根幹に関わるセキュリティリスクが報告されています。Electronアプリの開発者は迅速なアップデートが必要です。 ▼ Ruby向けライブラリ「Rack」の脆弱性 (CVE-2026-34835 等) ・概要: RubyのWebサーバーインターフェース「Rack」において、不正な文字を含むHostヘッダーを許容してしまい、アプリケーション側のアクセス制御をすり抜ける可能性のある脆弱性などが多数報告されました。 最新のパッチ情報を確認し、システムの安全を確保しましょう。 #セキュリティ #エンジニア #ITニュース #脆弱性 #プログラミング Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、AI開発界隈とPython界隈で大きな話題となっている、非常に深刻な脆弱性ニュースをピックアップしてお届けします。AIエージェントフレームワークや人気公式SDK、そして定番のWebライブラリに致命的な欠陥が複数報告されました。 ▼ PraisonAIにおける多数の深刻な脆弱性 AIエージェントを構築・管理する人気ツール「PraisonAI」において、システムを完全に掌握されかねない脆弱性が立て続けに報告されています。 (1) OSコマンドインジェクション（CVE-2026-34935, CVE-2026-34937）：入力値のサニタイズ不足により、攻撃者がホスト上で任意のOSコマンドを実行できる危険性があります。 (2) サンドボックスエスケープ（CVE-2026-34955, CVE-2026-34938）：分離された環境を抜け出し、制限を超えた操作が可能になる欠陥です。 (3) 認証バイパスとSSRF（CVE-2026-34953, CVE-2026-34954）：任意のトークンで認証をすり抜けたり、内部ネットワークへリクエストを強制させたりする問題が判明しています。 影響を受ける環境では、直ちに最新版へのアップデートが必要です。 ▼ Anthropic Claude SDKのサンドボックスエスケープ Claude APIを利用するための公式SDKでも、ローカルファイルを扱う機能に脆弱性が見つかりました。 (1) Python版（CVE-2026-34452）：パス検証のタイミングの隙（競合状態）を突かれ、検証をバイパスして外部ファイルにアクセスされる問題。 (2) TypeScript版（CVE-2026-34451）：ディレクトリ名の前方一致チェックの甘さを突かれ、似た名前の別ディレクトリへアクセスされてしまう問題。 AIにファイル操作を許可しているアプリケーションは要注意です。 ▼ 人気Pythonライブラリ「aiohttp」の複数脆弱性 非同期通信で広く使われる「aiohttp」でも複数のアドバイザリが出ています。 (1) メモリDoS（CVE-2026-34517等）：巨大なリクエストを送りつけることで、サーバーのメモリを枯渇させるサービス拒否攻撃が可能です。 (2) Windows環境での情報漏洩（CVE-2026-34515）：UNCパスを悪用し、NTLMv2などの認証情報が漏洩するリスクがあります。 WebサーバーやAPIバックエンドで利用している方は、早急にバージョンアップを実施してください。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #Python #AI #LLM #脆弱性情報 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 今日はシステム乗っ取りに直結するリモートコード実行（RCE）の話題を中心に、3件の重要なセキュリティニュースを深掘りしてお届けします。ご自身のプロジェクトや利用中のアプリが該当していないか、ぜひチェックしてください。 ▼ 1. baserCMSにおける複数の重大な脆弱性（RCEやSQLiなど） ・CVE-2026-21861, CVE-2026-30940, CVE-2026-30880 ほか 国内でも多くのウェブサイトで導入されている国産CMS「baserCMS」において、サーバーを完全に制御されてしまう恐れのある致命的な脆弱性が複数発見されました。 特に危険なのが、システムのコアアップデート機能に存在した「OSコマンドインジェクション」です。管理画面から送信された入力値が、安全かどうかの確認（サニタイズ）を行わないまま裏側のプログラムに渡されていたため、権限を持ったユーザーであれば任意のコマンドをサーバー上で実行できてしまう状態でした。 また、テーマファイルの管理機能を利用したパストラバーサルの脆弱性もあり、悪意のあるPHPファイルを意図しない場所に書き込み、それを実行させることで同じくサーバーの乗っ取りが可能となっていました。 すでに修正プログラムが提供されているため、運用中の担当者の方はバージョンアップ作業を最優先で行うことを推奨します。 ▼ 2. ノートアプリ「SiYuan」のクロスオリジンRCE ・CVE-2026-34449 プライバシーを重視したオフライン対応のノートアプリケーション「SiYuan」に、非常にトリッキーで危険な脆弱性が見つかりました。 SiYuanはローカル環境でAPIサーバーを立ち上げて動作する仕組みを持っていますが、外部からの通信を許可するCORS（Cross-Origin Resource Sharing）の設定が極めて甘く、あらゆるサイトからのアクセスを許容する状態でした。 この設定不備により、ユーザーがSiYuanを起動したままブラウザで「悪意のあるウェブサイト」を開くだけで、攻撃者が用意した不正なスクリプトがローカルのSiYuanに送り込まれてしまいます。結果として、アプリの権限を利用してOS上で任意のコマンドが実行されてしまう（RCE）という、まさにドライブバイダウンロードのような手口が成立します。すぐに最新の修正版へアップデートしてください。 ▼ 3. FastMCPにおけるSSRFおよびパストラバーサル ・CVE-2026-32871 AI分野で注目を集めるModel Context Protocol（MCP）のサーバーを構築するフレームワーク「FastMCP」で、サーバーサイド・リクエスト・フォージェリ（SSRF）などの脆弱性が報告されました。 OpenAPIの仕様を読み込んでAPIを構築する機能において、リクエストURLを組み立てる処理に欠陥がありました。これを悪用されると、攻撃者はMCPサーバーを踏み台にして、本来は外部からアクセスできない社内ネットワークや内部データベースに対して不正なリクエストを送信することができてしまいます。AIエージェントの普及に伴い、こうした連携部分の脆弱性は内部情報漏洩の大きなリスクとなります。該当システムを運用している場合は、フレームワークの更新と併せてネットワークの分離設定（セグメンテーション）を見直すことが重要です。 ■ 本日のまとめ 本日は入力値のチェック漏れや設定の不備が招く、クリティカルな脆弱性について解説しました。攻撃の手法は日々高度化していますが、最新パッチの適用やアクセス権限の最小化といった基本対策が最大の防御となります。 #セキュリティ #エンジニア #ITニュース #脆弱性 #脆弱性情報 #baserCMS #SiYuan #FastMCP #RCE #SSRF Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 今日は、インフラ管理ツールや開発エコシステムにおける非常に深刻なセキュリティニュースをピックアップしてお届けします。特にサーバー管理者やPythonエンジニアの方は必見の内容です。 ▼ PyPIパッケージ「telnyx」へのマルウェア混入（サプライチェーン攻撃） Pythonのパッケージ「telnyx」において、認証情報を盗むマルウェアが含まれたバージョン（4.87.1および4.87.2）が公開される事件が発生しました。 ・概要：脅威アクターが漏洩したPyPIの認証情報を使って不正なバージョンを直接公開しました。正規のGitHubリリースを経由していないため、パッケージリポジトリの認証管理の重要性が問われています。 ・対策：該当バージョンを使用している場合は直ちに削除し、システム内の認証情報をすべてローテーションしてください。 ▼ Nginx-UIにおけるリモートテイクオーバーなど多数の脆弱性 Nginxの管理画面ツール「Nginx-UI」において、システムを完全に掌握される恐れのある脆弱性が複数報告されました。 ・CVE-2026-33032：認証なしのMCPエンドポイントを突いたリモートテイクオーバーの脆弱性。IPホワイトリストの設定不備と組み合わさり、攻撃者にNginxを乗っ取られます。 ・CVE-2026-33030：他人のDNS APIトークンや秘密鍵が見えてしまうIDOR（認可制御の欠落）の脆弱性。 ・CVE-2026-33027：パストラバーサルにより、設定ディレクトリを再帰的に削除される脆弱性。 ・対策：Nginx-UIを直ちに最新版へアップデートし、外部からのアクセス制限を厳格化してください。 ▼ Fleet（MDMツール）における深刻なSQLインジェクションとDoS デバイス管理ツール「Fleet」のバージョン4系で致命的な脆弱性が報告されています。 ・CVE-2026-34385：Apple MDMプロファイル配信におけるセカンドオーダーSQLインジェクション。データベース内のAPIトークンや資格情報が漏洩・改ざんされる恐れがあります。 ・CVE-2026-34388：gRPCエンドポイントでのDoS脆弱性。不正なログタイプを送信されるだけで、Fleetサーバープロセス全体がクラッシュし、全デバイスの管理が停止します。 ・CVE-2026-34389：アカウント招待機能において、招待されたメールアドレスの検証が行われない脆弱性。 ・対策：エンタープライズ環境でFleetを利用している場合は、速やかなアップデートが必要です。 ▼ その他の重要トピック ・【Parse Server】CVE-2026-34373：GraphQL APIエンドポイントがCORSのオリジン制限を無視する脆弱性。 ・【OpenClaw】NPMパッケージのOpenClawにて、任意の悪意あるコード実行や認可バイパスなど多数の脆弱性が修正されました。 #セキュリティ #エンジニア #ITニュース #サイバーセキュリティ #脆弱性 #Nginx #Python #MDM Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、アプリケーション開発者やインフラエンジニアに多大な影響を与える、重要な脆弱性ニュースを5つピックアップしてお届けします。Node.jsのエコシステムや、クラウドインフラに関する重大なセキュリティアップデートが多数報告されています。 ▼ 【OpenClaw】大量11件のアドバイザリが報告 NPMパッケージの「OpenClaw」において、一挙に11件のアドバイザリが公表されました。 ・影響：ACP CLIの承認プロンプトにおけるANSIエスケープシーケンスのインジェクションや、Telegram・Teams・Feishuなどのチャット連携における認証バイパス、SSRF（サーバーサイドリクエストフォージェリ）などが含まれます。 ・対策：バージョン2026.3.24以下の利用者は、直ちに修正版である「2026.3.25」へアップデートしてください。 ▼ 【MikroORM】SQLインジェクションとプロトタイプ汚染 TypeScript向けの人気ORM「MikroORM」にて、2つの重大な脆弱性が報告されています。 ・CVE-2026-34220：特別に細工されたオブジェクトがそのまま生のSQLクエリとして解釈されてしまう、SQLインジェクションの脆弱性。 ・CVE-2026-34221：内部関数におけるプロトタイプ汚染の脆弱性。悪意のある入力を通じてJavaScriptオブジェクトの動作を改ざんされる恐れがあります。 ▼ 【Traefik】アクセス制御をすり抜ける脆弱性（CVE-2026-33186） リバースプロキシ「Traefik」において、依存している「gRPC-Go」の脆弱性に起因する問題が判明しました。 ・影響：先頭のスラッシュを省略した不正なHTTP/2の疑似ヘッダーを送信することで、未認証の攻撃者がTraefikのアクセス拒否（Deny）ルールをバイパスし、バックエンドへ到達できる危険性があります。 ▼ 【Parse Server】MFAバイパスと機密データ漏洩 BaaSプラットフォーム「Parse Server」で認証に関する致命的な問題が2件確認されました。 ・CVE-2026-34224：同時並行でログインリクエストを送信することで、1回しか使えないはずのMFAワンタイムトークンを使い回し、複数セッションを作成できる競合状態の脆弱性。 ・CVE-2026-34215：パスワード検証エンドポイントが、MFAのTOTPシークレットやOAuthトークンなどの機密情報をそのまま返却してしまう情報漏洩の脆弱性。 ▼ 【GitHub Actions】ワークフローでのコマンドインジェクション（CVE-2026-34243） 「njzjz/wenxian」リポジトリのGitHub Actionsにおいて、Issueのコメント本文をサニタイズせずにシェルコマンドに渡している問題が報告されました。悪意のあるコメントを投稿するだけで、ランナー上で任意のコードが実行されてしまう危険な状態です。 エンジニアの皆様は、使用しているライブラリやツールのバージョンを今一度ご確認ください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日の用語解説 本日は、Webセキュリティの超重要キーワード「クロスサイトスクリプティング (XSS)」について解説します。 ▼ クロスサイトスクリプティング (XSS) とは？ Webサイトの脆弱性を突いて、悪意のあるプログラム（スクリプト）をユーザーのブラウザ上で実行させる攻撃手法のことです。 本来、Webサイトはユーザーに便利な機能を提供するためにプログラムを動かしますが、開発側の安全確認が不十分だと、悪い人が作ったプログラムを勝手に動かされてしまう穴（脆弱性）が生まれます。 ▼ なぜXSSは危険なのか？（想定される被害） (1) アカウントの乗っ取り ユーザーがログインしている証明となる「クッキー（Cookie）」を盗み出し、パスワードを知らなくても本人になりすましてアクセスされてしまいます。 (2) 個人情報の漏えい 画面上に本物そっくりの偽の入力画面を表示させ、クレジットカード番号や個人情報を盗み取ります。 (3) 偽サイトへの誘導 アクセスしただけで、ウイルスが仕込まれた別の危険なサイトへ強制的に飛ばされてしまいます。 (4) 意図しない操作の実行 SNSで勝手にスパム投稿をされたり、掲示板に不正な書き込みをされたりします。 ▼ XSSの3つの種類 (1) 反射型XSS 罠が仕掛けられたURLをクリックさせることで、その一回だけ不正なプログラムを実行させる手口です。メールやメッセージアプリなどで送られてくる怪しいリンクに注意が必要です。 (2) 蓄積型XSS 誰でも書き込める掲示板などに、あらかじめ罠のプログラムを書き込んで保存（蓄積）させておく手口です。その掲示板を見たすべての人に被害が及ぶため、非常に危険です。 (3) DOM Based XSS サーバーを通さず、ユーザーのブラウザ上で動くプログラムの隙を突く少し複雑な手口です。 ▼ 開発者が行うべき対策 (1) エスケープ処理（無害化） ユーザーが入力した文字を表示するときに、プログラムとして動いてしまう特殊な記号（＜や＞など）を、ただの文字に変換して無力化します。 (2) HttpOnly属性の活用 万が一攻撃されてもクッキーを盗まれないように、プログラムからの読み取りを禁止する設定を行います。 (3) WAFの導入 Webサイトへの攻撃を入り口で監視してブロックするシステムを導入し、多層防御を行います。 ▼ ユーザーができる対策 (1) 不審なメールやメッセージのリンクを安易にクリックしない (2) ブラウザやOSのアップデートを常に行い、最新の状態を保つ XSSは古くからある脆弱性ですが、いまだに多くのWebサイトで見つかる深刻な問題です。ITエンジニアを目指す方は、必ず仕組みと対策を理解しておきましょう！ #セキュリティ #用語解説 #学習 #エンジニア #クロスサイトスクリプティング #XSS #プログラミング初心者 --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今週のハイライト 2026年3月最終週は、300件以上ものセキュリティアドバイザリが公開される非常に慌ただしい1週間となりました。特に、開発インフラを狙ったサプライチェーン攻撃や、業務自動化プラットフォームにおける致命的なリモートコード実行（RCE）が多数報告されています。 ▼ 詳細解説 (1) 警戒すべきサプライチェーン攻撃 今週最も注目すべきは、開発ツールそのものが狙われた事件です。 ・Trivyエコシステムの侵害 (CVE-2026-33634)：コンテナ脆弱性スキャナ「Trivy」のGitHub Actionsにおいて、漏洩した認証情報を悪用し、認証情報を窃取するマルウェアを含んだ悪意のあるバージョンが公開されました。 ・LiteLLMのマルウェア混入：LLMのプロキシツールとして人気のLiteLLMでも、マルウェア入りの悪意あるパッケージがPyPIに公開されました。CI/CDでこれらのツールを利用している場合は、認証情報のローテーションが強く推奨されます。 (2) 業務自動化・AIプラットフォームの深刻な脆弱性 ・n8nの複数脆弱性：ワークフロー自動化ツールn8nにて、AlaSQLサンドボックスを回避してリモートコード実行が可能になる問題 (CVE-2026-33660) や、他のユーザーのHTTP認証情報を窃取できる権限昇格問題 (CVE-2026-33663)、LDAPメールアドレスを偽装したアカウント乗っ取り (CVE-2026-33665) などが報告されました。 ・OpenClawの大量脆弱性：AIエージェントプラットフォームOpenClawにおいて、Gatewayでの権限昇格、Webhookのレート制限不備によるブルートフォース攻撃、パストラバーサルなど、数十件の脆弱性が一挙に修正されています。 (3) インフラストラクチャ・ミドルウェアの脅威 ・NATS Server：メッセージングシステムのNATSで、認証前の攻撃者が不正な長さのWebSocketフレームを送るだけでサーバーをクラッシュさせるDoS脆弱性 (CVE-2026-27889) や、mTLSの認証をバイパスできる重大な欠陥 (CVE-2026-33248) が報告されました。 ・Incus (CVE-2026-33945) と Docker/Moby (CVE-2026-34040)：コンテナ管理ツールにおいて、ホストシステムへのファイル書き込みや認可プラグインのバイパスが可能になる問題が修正されています。 (4) WebアプリケーションとCMSの脆弱性 ・AVideo：動画プラットフォームAVideoにおいて、OSコマンドインジェクション (CVE-2026-33648) やファイルアップロードを利用したRCE (CVE-2026-33717)、SQLインジェクションなど多数の致命的な欠陥が発覚しました。 ・Craft CMS (CVE-2026-33157)：認証済みユーザーがリモートコード実行を行える脆弱性が修正されています。 ・Vikunja：タスク管理ツールにおいて、他のプロジェクトの添付ファイルを削除できるIDORや、Webhookの認証情報の平文漏洩 (CVE-2026-33677) が報告されました。 (5) 主要フレームワーク・ライブラリ ・Ruby on Rails：Active Storageにおけるパストラバーサル (CVE-2026-33195) や、Active SupportにおけるXSS (CVE-2026-33170) が修正されました。 ・Handlebars.js と Scriban：テンプレートエンジンにおいて、プロトタイプ汚染やスタックオーバーフローによるDoS脆弱性が多数報告されています。 ■ 対策のポイント 自動化ツールやAIエージェントはシステム全体に強い権限を持つため、脆弱性が悪用された場合の被害が甚大です。該当製品を利用している場合は直ちにアップデートを実施してください。 【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、多数のシステムで利用されている自動化ツールやライブラリに関する深刻なセキュリティニュースをお届けします。システムの乗っ取りや暗号署名の偽造など、早急な対応が必要な情報が目白押しです。 ▼ エヌエイトエヌ(n8n)の深刻な脆弱性（RCE・インジェクション） ワークフロー自動化ツールであるn8nに複数の脆弱性が報告されました。 (1) プロトタイプ汚染によるRCE (CVE-2026-33696) XMLおよびGSuiteAdminノードの設定パラメータを悪用することで、リモートから任意のコードを実行される恐れがあります。 (2) LDAPインジェクション (CVE-2026-33751) LDAP検索の入力サニタイズ処理に不備があり、不正な検索を実行される可能性があります。 (3) SQLインジェクション (CVE-2026-33713) データテーブルノードの設定不備により、データベースを直接操作される危険性があります。 ▼ オープンクロウ(OpenClaw)に対する多数の脆弱性報告 システム操作に利用されるOpenClawにおいて、20件以上の脆弱性が一挙に公開されました。 特に危険なのは、低権限のユーザーが管理者の権限を不正に承認できてしまう権限昇格の脆弱性です。これによりシステム全体が乗っ取られる恐れがあります。また、様々なエンドポイントで認証をバイパスして内部APIを叩ける不具合も多数報告されています。 ▼ ノードフォージ(node-forge)の暗号実装に関する欠陥 JavaScriptの暗号化ライブラリであるnode-forgeにおいて、署名検証や証明書チェーンの欠陥が見つかりました。 (1) RSA署名偽造 (CVE-2026-33894) (2) Ed25519署名偽造 (CVE-2026-33895) (3) 証明書チェーンのバイパス (CVE-2026-33896) 特に証明書チェーンの欠陥は、不正な証明書が認証局（CA）として機能してしまうという深刻なものです。また、ゼロを入力すると無限ループに陥るDoS脆弱性(CVE-2026-33891)も報告されています。 ▼ LibreNMSにおけるリモートコード実行 ネットワーク監視ツールのLibreNMSにおいて、認証済みの管理者がシステムのバイナリパス設定を改ざんし、任意のコードを実行できる脆弱性が報告されました。 各ツールの管理者および開発者は、至急最新バージョンへのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #RCE Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、自動化ワークフローツールの n8n、機械学習モデルのデプロイを支える BentoML、そして OpenTelemetry Javaagent に関する重大なセキュリティニュースをお届けします。 ▼ エヌエイトエヌにおける複数の深刻な脆弱性 ＜CVE-2026-33660 / CVE-2026-33665 他＞ ワークフロー自動化ツールの n8n において、複数の致命的な脆弱性が修正されました。 (1) AlaSQL を用いたリモートコード実行（RCE）：制限を回避してホスト上のファイルを読み取ったりコードを実行したりできる問題。 (2) LDAP認証時のアカウント乗っ取り：メール属性を悪用して他ユーザー（管理者など）になりすますことができる問題。 ▼ BentoML におけるコマンドインジェクション ＜CVE-2026-33744＞ AI・機械学習のパッケージングツールである BentoML の設定ファイル（bentofile.yaml）における脆弱性です。パッケージ名を指定する設定値のサニタイズ不足により、Dockerfileの RUN コマンドに任意のOSコマンドを紛れ込ませることが可能でした。 ▼ OpenTelemetry Javaagent における RCE ＜CVE-2026-33701＞ Java アプリケーションの監視エージェントにおいて、安全でないデシリアライゼーションの脆弱性が発覚しました。RMI や JMX ポートにアクセス可能な攻撃者が、JVM上でリモートから任意のコードを実行（RCE）できるおそれがあります。 ▼ その他の重要トピック 本日はこれ以外にも、動画プラットフォームの AVideo や タスク管理ツールの Vikunja で数十件にのぼる脆弱性が一斉に公開されています。該当製品をご利用の方は、必ず公式のセキュリティアドバイザリをご確認の上、最新版へのアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #n8n #BentoML #OpenTelemetry Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、インフラ基盤や開発プロセスに甚大な影響を及ぼす重大なセキュリティニュースをお届けします。コンテナセキュリティの定番ツールでのサプライチェーン攻撃、AI開発用ライブラリへのマルウェア混入、そして広く使われているメッセージング基盤の深刻な脆弱性について解説します。 ▼ Trivyエコシステムに対するサプライチェーン攻撃（CVE-2026-33634） コンテナの脆弱性スキャナーとして広く普及している「Trivy」のGitHub Actionsエコシステムが侵害される事件が発生しました。 ・概要：悪意のあるアクターが漏洩した認証情報を使用し、悪意のあるTrivyのリリースを公開。さらに、GitHub Actionsのタグを強制プッシュし、認証情報を窃取するマルウェアに置き換えました。 ・影響：CI/CDパイプラインで該当のアクションを実行した環境から、クラウドアカウントのシークレット等が流出した可能性があります。該当時期の利用者は認証情報の即時ローテーションが必要です。 ▼ LiteLLMパッケージへの認証情報窃取マルウェア混入 ・概要：Pythonの生成AI用API統合ライブラリ「litellm」のPyPI公式レジストリに、マルウェアを含むバージョンがアップロードされました。依存関係の脆弱性を突かれてAPIトークンが露出したことが原因です。 ・影響：インストールおよび実行時にマルウェアが起動し、環境内の機密ファイルや認証情報を外部のサーバーへ送信してしまいます。 ▼ NATS Server における複数の深刻な脆弱性 高性能なパブサブ分散通信技術「NATS Server」において、多数の脆弱性が一斉に公開されました。 ・CVE-2026-33248：mTLSにおけるクライアント証明書のSubject DNのマッチング不備による認証バイパス。 ・CVE-2026-33246：leafnode接続を利用したIDヘッダーのスプーフィング（なりすまし）。 ・CVE-2026-33222：JetStreamの管理APIを通じた認可チェックのバイパス。 ・その他、MQTTクライアントのハイジャックやプレーンテキストパスワードの漏洩など、影響範囲は多岐にわたります。 ▼ Scriban における多数のDoS脆弱性 .NET向けのテンプレートエンジン「Scriban」において、CPU資源の枯渇や無制限のメモリ割り当て、スタックオーバーフローを誘発しプロセスをクラッシュさせる複数の脆弱性が発見されました。信頼できないユーザーからのテンプレート入力を許可しているアプリケーションは至急アップデートが必要です。 #セキュリティ #エンジニア #ITニュース #Trivy #脆弱性情報 #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日はRuby on Railsや各種CMSにおける重要アップデートなど、多数のセキュリティニュースをお届けします。 ▼ Ruby on Railsにおける多数の脆弱性 Ruby on Railsの各コンポーネント（Active Storage、Active Supportなど）で9件の脆弱性が一斉に公表されました。 ・CVE-2026-33202：Active StorageにおけるGlobインジェクション。意図しないファイル削除のリスクがあります。 ・CVE-2026-33195：Active Storageにおけるパストラバーサル。ファイルの不正な読み書きの恐れがあります。 ・CVE-2026-33176：Active SupportにおけるDoS（サービス拒否）脆弱性。指数表記の文字列処理によりCPUとメモリを枯渇させます。 該当バージョンを使用中の場合は、速やかなアップデートが推奨されます。 ▼ Connect CMSにおける複合的な脆弱性 オープンソースのCMS「Connect CMS」において、RCE（リモートコード実行）を含む複数の深刻な脆弱性が報告されました。 ・CVE-2026-32276：Code Studyプラグインにおける、認証済みユーザーによる任意のコード実行。 ・CVE-2026-32279：外部ページ移行機能におけるSSRF（サーバーサイドリクエストフォージェリ）。 ・CVE-2026-32300：マイページプロフィール更新機能での認可不備。 パッチ適用済みのバージョン（1.41.1 または 2.41.1）への更新が必要です。 ▼ MantisBTにおけるMySQL環境特有の認証バイパス ・CVE-2026-30849：MantisBTのSOAP APIにおいて、MySQLの暗黙の型変換を利用した認証バイパスの脆弱性が発見されました。MySQLおよび互換データベースを使用しているインスタンスが対象です。 ▼ その他の重要トピック ・Indico（CVE-2026-33046）：LaTeXインジェクションを通じたRCE。 ・New API（CVE-2026-30886）：VideoProxyにおけるIDOR（認可制御の欠如による他ユーザーデータへのアクセス）。 ・h3（NPM）：オープンリダイレクトやチャンク化されたCookieの無制限処理によるDoS脆弱性。 #セキュリティ #エンジニア #ITニュース Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日の歴史解説 今日は「Stuxnet (2010)」を振り返ります。 2010年に発見されたこのマルウェアは、これまでのサイバー攻撃の常識を根底から覆す歴史的な事件でした。 ▼ 何が起きた？ Stuxnet（スタックスネット）は、国家が関与したとされる世界初の「サイバー兵器」です。 最大の目的は、イランのナタンズ核施設にあるウラン濃縮用の「遠心分離機」を物理的に破壊することでした。 インターネットから完全に切り離された「エアギャップ環境」にあった核施設ですが、攻撃者は「USBメモリ」を利用して施設内のパソコンにマルウェアを感染させることに成功しました。 侵入したStuxnetは、誰にも知られていないWindowsの弱点（ゼロデイ脆弱性）を4つも悪用し、さらに有名なハードウェアメーカーから盗み出した「本物のデジタル証明書」を使ってセキュリティの網をすり抜けました。 そして、特定の条件に合致するシーメンス製の産業用制御システムだけをピンポイントで乗っ取りました。監視モニターには「すべて正常」という嘘の数値を表示させながら、裏では遠心分離機を暴走させて破壊するという極めて巧妙かつ悪質な隠蔽工作を行い、結果として約1,000台の遠心分離機が破壊されました。 サイバー空間の攻撃が、現実世界の物理的な機械を破壊できることを証明してしまった、まさに歴史の転換点となる事件です。 ▼ 今の私たちに活かせる教訓 このインシデントは私たちの日常業務にも直結する重要な教訓が含まれています。 (1) 「閉鎖網だから安全」は幻想 インターネットに繋がっていなくても、保守用の持ち込みPCやUSBメモリを経由して脅威は侵入します。隔離されているという過信を捨て、デバイス制御や運用ルールの徹底が必要です。 (2) 内部侵入を前提とした対策（ゼロトラスト） 一度ネットワーク内部に入り込まれた後、どれだけ早く異変に気づけるかが勝負です。内部から内部への通信監視や、重要システムへのアクセス制御を厳格に行うゼロトラストの考え方が不可欠です。 (3) 「正常なログ」を盲信しない Stuxnetは監視システムを騙しました。一つの監視ツールの結果だけを鵜呑みにせず、ネットワークの振る舞いやシステムの細かな変化など、複数の視点から多層的に状態を把握（オブザーバビリティの向上）する仕組みが重要です。 社会インフラや工場（OT環境）のセキュリティが声高に叫ばれるようになった原点とも言える事件です。過去の教訓から、現在のセキュリティ対策の「盲点」を見直してみましょう。 ▼ ハッシュタグ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア #Stuxnet #サイバー兵器 #ゼロトラスト #ITエンジニア #情報セキュリティ --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日の歴史解説 今日は、2017年に世界中をパニックに陥れた歴史的セキュリティインシデント「WannaCry（ワナクライ）」について振り返ります。 ▼ 何が起きた？ 2017年5月12日、WannaCryと呼ばれるランサムウェアが突如として世界中で猛威を振るい始めました。このマルウェアはPC内のデータを暗号化し、復号のためにビットコインでの身代金支払いを要求します。 しかし、最も恐ろしかったのはその「自己増殖能力」でした。ワーム型のマルウェアであったため、一度ネットワーク内に侵入すると、あっという間に他の端末へ感染を広げたのです。わずか数日の間に、150カ国以上で30万台前後のコンピュータが感染しました。 被害はIT企業だけでなく、社会インフラを直撃しました。イギリスの国民保健サービスでは医療システムがダウンし、救急患者の受け入れが停止。他にも、フランスの自動車メーカーやドイツの鉄道網がストップするなど、サイバー空間の脅威が現実の物理社会の機能を停止させた衝撃的な事件となりました。 ▼ 感染拡大のからくり（技術的背景） WannaCryは、Windowsのファイル共有プロトコルである「SMBv1」に存在した脆弱性（CVE-2017-0144 / MS17-010）を悪用しました。 さらに、アメリカ国家安全保障局が開発したとされる強力なエクスプロイトツール「EternalBlue」がハッカー集団によって流出し、これがWannaCryに組み込まれたことで、軍事兵器級の感染力を持つことになったのです。 非常に悔やまれるのは、開発元であるMicrosoft社が、事件発生の2ヶ月も前にこの脆弱性を修正するパッチを公開していたという事実です。「再起動の手間」「古いOSの放置」「互換性テストの遅れ」といった理由でパッチ適用を怠っていた組織が、この致命的な攻撃の標的となりました。 ▼ 今の私たちが実践すべき教訓 この歴史的事件から、現場のエンジニアが今の業務に活かせる実践的な教訓は数多くあります。 (1) 迅速なパッチ適用の徹底 公開された脆弱性は、攻撃者にとって「開いたままの窓」です。メーカーから提供されるセキュリティパッチを迅速に適用する「パッチマネジメント」の仕組みが、組織を守る上で最重要となります。 (2) レガシーシステムの隔離とネットワーク分割 サポート切れのOSや、稼働を止められない制御機器など、どうしてもパッチが当てられないシステムが存在する場合は、他のシステムと同一ネットワークに混在させないことが重要です。万が一の侵入に備え、ネットワークを分割し、被害の延焼を防ぐ設計が求められます。 (3) 外部公開ポートの管理と遮断 WannaCryはインターネットに公開されていたSMBポート（ポート445）を入口としました。社内向けの通信プロトコルを不必要に外部公開していないか、自分たちのアタックサーフェス（攻撃対象領域）を常に監視し、不要な経路は確実に塞ぐ必要があります。 (4) オフラインバックアップの確保 ランサムウェアは、ネットワークに接続されたバックアップデータまで暗号化しようとします。物理的にネットワークから切り離されたオフライン環境や、変更不可能なストレージにバックアップを保管しておくことが、最後の命綱となります。 過去の事件から学び、日々のアタリマエの運用を徹底していくことが最高の防御です。ぜひ自社のパッチ適用状況やネットワーク設定を見直すきっかけにしてみてください！ #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

今週1週間（2026年3月15日〜3月22日）のセキュリティニュースを総まとめしてお届けします！ 今週は特定のコンテンツ管理システムで数十件規模の脆弱性が一挙に公開されたほか、認証基盤やAI関連ツールでの重大なリスクが多数報告されました。 ■ 今週のハイライト ・動画プラットフォーム「AVideo」とノートアプリ「SiYuan」でRCEやSQLiなど大量の脆弱性報告 ・OryエコシステムやMinIOなど、バックエンド認証・認可基盤における致命的な欠陥 ・LangflowやMLflowなど、AI・機械学習ツールでの任意のファイル書き込みとRCEリスク ・Next.jsやSpring Boot、etcdなどの主要フレームワーク・インフラのアップデート ■ テーマ別解説 ▼ 動画プラットフォームとCMSの深刻な脆弱性 オープンソースの動画プラットフォーム「AVideo」では、非常に多くの脆弱性が公開されました。 (1) CVE-2026-33478：CloneSiteプラグインのマルチチェーン攻撃による完全なリモートコード実行（RCE）。 (2) CVE-2026-33502：内部ネットワークへのアクセスを許す認証不要のSSRF。 また、プライバシー重視のノートアプリ「SiYuan」においても、マーケットプレイス機能を通じたXSSからRCEに繋がる問題（CVE-2026-33067）や、WebSocketの認証バイパスによるDoS（CVE-2026-33203）など、多数の脆弱性が報告されています。 ▼ 認証・認可基盤のセキュリティ欠陥 ID管理基盤を提供する「Ory」のエコシステム（Keto、Hydra、Kratos）において、ページネーショントークンの暗号化不備を利用したSQLインジェクションが報告されました（CVE-2026-33505など）。 また、Parse Serverでは外部認証プロバイダのバリデーションバイパス（CVE-2026-33409）、MinIOではOIDC認証時のJWTアルゴリズムの混乱脆弱性（CVE-2026-33322）など、認証周りの致命的な欠陥が目立ちました。 ▼ AI・データ処理ツールの実行環境リスク AIアプリケーション構築ツールの「Langflow」では、V2 APIにおける任意のファイル書き込みからRCEに繋がる脆弱性（CVE-2026-33309）が修正されました。また「MLflow」では、モデル展開時に細工されたtarアーカイブによってファイルが上書きされる問題（CVE-2025-15031）が発覚しています。システムモニタリングツールの「Glances」でもコマンドインジェクションや資格情報の漏洩など多数のリスクが報告されました。 ▼ 主要フレームワークのアップデート ・Next.js（CVE-2026-29057）：リライト機能におけるHTTPリクエストスマグリング。 ・Spring Boot（CVE-2026-22733）：Actuatorエンドポイントの特定のパスにおける認証バイパス。 ・etcd（CVE-2026-33413）：ネストされたトランザクションを利用したRBAC認可バイパス。 今週は影響範囲の広いバックエンド基盤から、近年導入が進むAIツールまで、多岐にわたるアップデートがリリースされています。自社の利用技術スタックを確認し、速やかなパッチ適用をお願いします。 #セキュリティ #エンジニア #ITニュース #週まとめ #脆弱性 #サイバーセキュリティ #バックエンド #AIツール Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

■ 今日のハイライト 本日は、エンタープライズ環境で広く使われているOSSの重大なセキュリティアップデートを3つピックアップして解説します。 ▼ Spring Framework と Spring Bootの複数脆弱性 ・CVE-2026-22733 / CVE-2026-22731: Actuatorにおける認証バイパス。特定の設定下で認証なしで管理用エンドポイントにアクセスされる恐れがあります。 ・CVE-2026-22735: SSEのストリーム破損による不具合。 ・CVE-2026-22737: スクリプトビューテンプレートを用いた不適切なパス制限により、ファイル内容が漏洩する危険性があります。 ▼ Kubernetes ingress-nginxでの任意コード実行 (CVE-2026-4342) インプレスコントローラにおいて、アノテーションを悪用したNginx設定のインジェクションが可能になる脆弱性です。最悪の場合、任意のコード実行やシークレット情報の漏洩につながるため、マルチテナント環境では特に警戒が必要です。 ▼ MinIOのJWTアルゴリズムの混乱 (CVE-2026-33322) S3互換ストレージのMinIOにおける、OIDC認証時の重大なバイパス脆弱性です。クライアントシークレットを知る攻撃者がトークンを偽造し、管理者権限を含む任意のS3クレデンシャルを奪取できる可能性があります。 ▼ その他の重要トピック ・【Parse Server】CVE-2026-33409: 認証バイパス ・【Vikunja】CVE-2026-29794: レートリミットバイパス ・【AVideo】多数の脆弱性 (SQLインジェクション、SSRF、IDORなど) ・【Juju】CVE-2026-32694 など権限昇格・シークレット漏洩 ・【Langflow】CVE-2026-33309: 任意ファイル書き込み(RCE) #セキュリティ #エンジニア #ITニュース #脆弱性 #Spring #Kubernetes Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793