2021年12月10日、Javaベースのログ出力ライブラリ「Apache Log4j」の2.x系バージョン(以降はLog4j2と記載)で確認された深刻な脆弱性を修正したバージョンが公開されました。セキュリティ関係組織では過去話題になったHeartbleedやShellshockと同レベルの脆弱性とも評価しています。ここでは関連する情報をまとめます。 1.何が起きたの? Javaベースのログ出力ライブラリLog4j2で深刻な脆弱性(CVE-2021-44228)を修正したバージョンが公開された。その後も修正が不完全であったことなどを理由に2件の脆弱性が修正された。 広く利用されているライブラリであるため影響を受ける対象が多く存在するとみられ、攻撃が容易であることから2014年のHeartbleed、Shellshock以来の危険性があるとみる向きもあり、The Apache Software
Japan Vulnerability Notes(JVN)は4月3日、日本電気(NEC)製の複数のWi-Fiルーターに関する脆弱性情報を公開した。 脆弱性の概要と想定される影響は、それぞれ以下のとおり。 ●脆弱性の概要 ・権限チェックの欠如(CVE-2026-4309) ・パストラバーサル(CVE-2026-4619) ・OSコマンドインジェクション(CVE-2026-4620/CVE-2026-4622) ・セキュリティ上問題のある隠し機能(CVE-2026-4621) ●想定される影響(一例) ・装置固有の情報を取得され、結果として設定を変更される(CVE-2026-4309) ・任意のファイルを上書きされる(CVE-2026-4619) ・任意のOSコマンドを実行される(CVE-2026-4620/CVE-2026-4622) ・telnetサービスを有効化される(CVE-2026
2024年7月1日、OpenSSHの開発チームは深刻な脆弱性 CVE-2024-6387 が確認されたとしてセキュリティ情報を発出し、脆弱性を修正したバージョンを公開しました。この脆弱性を発見したQualysによれば、既定設定で構成されたsshdが影響を受けるとされ、影響を受けるとみられるインターネット接続可能なホストが多数稼動している状況にあると報告しています。ここでは関連する情報をまとめます。 概要 深刻な脆弱性が確認されたのはOpenSSHサーバー(sshd)コンポーネント。脆弱性を悪用された場合、特権でリモートから認証なしの任意コード実行をされる恐れがある。 悪用にかかる報告などは公表時点でされていないが、glibcベースのLinuxにおいて攻撃が成功することが既に実証がされている。発見者のQualysはこの脆弱性の実証コードを公開しない方針としているが、インターネット上ではPoC
2024年3月29日、Linux向け圧縮ユーティリティとして広く利用されているXZ Utilsに深刻な脆弱性 CVE-2024-3094 が確認されたとして、研究者やベンダがセキュリティ情報を公開しました。この脆弱性は特定の条件下においてバックドアとして悪用される恐れがあるものとみられており、当該ソフトウエアのメンテナのアカウントにより実装されたソフトウエアサプライチェーン攻撃の可能性が指摘されています。ここでは関連する情報をまとめます。 脆弱性の概要 xzとは主要なLinuxディストリビューションに含まれる汎用的なデータ圧縮形式で、今回問題が確認されたのはその圧縮・解凍ユーティリティであるliblzma(API)を含むXZ Utils。CVE-2024-3094が採番されており、Red Hatによって評価されたCVSS基本値はフルスコアの10。影響を受けたライブラリをリンクしているssh
This is open-source software written by hobbyists, maintained by a single volunteer, badly tested, written in a memory-unsafe language and full of security bugs. It is foolish to use this software to process untrusted data. As such, we treat security issues like any other bug. Each security report we receive will be made public immediately and won't be prioritized. これは趣味人たちによって開発され、たった一人のボランティアによっ
はじめに「あれ、CPUクレジットがゼロになってる…?」 12月9日、AWSコンソールを開いた瞬間、血の気が引いた。t2.microインスタンスのCPUクレジットが完全に枯渇している。 うちのインスタンスは毎日夜中に再起動するのだが、再起動直後、クレジットが回復し始めた途端に一気に消費され、その後枯渇していた。 これは、私の個人開発サーバーが攻撃を受け、仮想通貨マイニングの踏み台にされていた記録です。 異変の発見最初の違和感個人開発で運用していたNext.jsアプリケーション。普段は静かに動いているはずのt2.microのCPUクレジットが何故か枯渇している。 詳しく調べてみると、 ps aux --sort=-%cpu | head -20 USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND ubuntu 2175 0.0 0.0
NTT Security
KeyTrap (CVE-2023-50387)を検証してみた - knqyf263's blog
DNSは趣味でやっているだけですし有識者のレビューを経ているわけでもないので誤りを含むかもしれませんが、DNS界隈には優しい人しかいないのできっと丁寧に指摘してくれるはずです。 追記:めちゃくちゃ丁寧にレビューしていただいたので修正いたしました。森下さんほどの方に細かく見ていただいて恐れ多いです...(学生時代に某幅広合宿で森下さんの発表を見てDNSセキュリティに興味を持った) 4万文字を超える大作、おつかれさまです。わかりやすく書けていると思いました。 ざっと読んで、コメントしてみました。ご参考まで。https://t.co/bVj5WeFHQr https://t.co/ku5NOx6ua8— Yasuhiro Morishita (@OrangeMorishita) 2024年2月19日 要約 背景 詳細 DNSSECとは? DNSSECの可用性 鍵タグの衝突 攻撃内容 SigJam
CVE Foundationが発足。脆弱性に固有の番号を付与するCVEプログラムの長期的な安定性、独立性を確保
ソフトウェアの脆弱性に対して固有の番号を付与する「CVE」(Common Vulnerabilities and Exposures)プログラムを実行するための新たな非営利団体「CVE Foundation」の発足が発表されました。 CVEはソフトウェア脆弱性に番号を付与する ソフトウェアに関する脆弱性の情報は、以前はソフトウェアベンダやセキュリティベンダがそれぞれ独自に名称や識別子を付けていました。この状況はユーザーやシステム開発者にとってセキュリティ対策を行う際の情報整理を困難にしていました。 そこで発足したのが、ソフトウェアの脆弱性について固有の番号を付与する「CVE」(Common Vulnerabilities and Exposures)プログラムです。 ソフトウェアが社会基盤として重要な位置を占めるようになった現在、CVEはグローバルなIT業界におけるソフトウェア脆弱性情報の
やったら動作が遅いなと思ったら、いつの間にか CPU 使用率が100%に。 これはもしや...と思ったら、まさにでした。 PM2にログが残っていたのが救い。 後は、Claude Code におまかせしました。 以下、備忘録: はじめに 2025年12月、運用していた複数のNext.jsアプリケーションがサイバー攻撃を受け、暗号通貨マイナーを仕込まれました。CVE-2025-55182が公開されてから2日後のことでした。 Note: この記事はインシデント調査レポートを基に、Claude Codeが執筆しました。 TL;DR CVE-2025-55182公開から2日後に攻撃を受けた Next.js 15.x / 16.x のServer Actions脆弱性でRCE(リモートコード実行)された 暗号通貨マイナー(Monero)と複数のバックドアを仕込まれた サーバー内部の認証情報が漏洩した可
Lessons from React2Shell
DEV Community Follow A space to discuss and keep up software development and manage your software career Future Follow News and discussion of science and technology such as AI, VR, cryptocurrency, quantum computing, and more. Open Forem Follow A general discussion space for the Forem community. If it doesn't have a home elsewhere, it belongs here
本記事の文章表現の一部には、生成AI(Google Gemini)を用いた校正・改善を行っています。ただし、掲載されている情報の正確性については筆者自身が責任をもって確認・執筆しています。AIの力を借りながらも情報の信頼性を最優先にしていますので安心してお読みいただければ幸いです。 1. 概要 CVE-2025-29927 は、Next.js (ReactベースのフルスタックWebフレームワーク) における 認可バイパスの脆弱性 です。特にNext.jsの ミドルウェア (middleware) で認可チェックを行っている場合に、攻撃者が細工したHTTPヘッダーを送信することで認可を迂回できる深刻な欠陥となっています。この脆弱性により、本来認可が必要な 保護リソース へ攻撃者が未認証のままアクセスできる可能性があります。脆弱性の深刻度はCritical (重大) と評価されており、CVSS
CVSSバージョン4.0の変更点と活用可能性
CVSS(Common Vulnerability Scoring System)は、脆弱性管理における基本的な仕組みとして広く利用されており、業界全体のデファクトスタンダードになっています。CVSSはFIRST(Forum of Incident Respones and Security Teams)内に設置されたCVSS-SIG(Special Interest Group)1によって策定され、2023年7月現在の最新バージョンは3.1となっています。2023年6月に次バージョンである4.0のパブリックプレビュー版2が公開されており、寄せられたコメントをレビュー・反映した後、2023年10月を目途にバージョン4.0の公開が予定されています。本稿ではパブリックプレビュー版に基づいて、現行のバージョン3.1との変更点を解説します。また、SSVC(Stakeholder-Specific
VPN経由で行われるはずだった通信を直接インターネットに送信させ、暗号化やIPアドレスの隠匿などVPNを経由するメリットを失わせる攻撃手法が発見されました。どういう攻撃なのかについてセキュリティ企業のLeviathan Security Groupが解説しています。 CVE-2024-3661: TunnelVision - How Attackers Can Decloak Routing-Based VPNs For a Total VPN Leak — Leviathan Security Group - Penetration Testing, Security Assessment, Risk Advisory https://www.leviathansecurity.com/blog/tunnelvision TunnelVision - CVE-2024-3661 - De
React Server Componentsの脆弱性 CVE-2025-55182(React2Shell)についてまとめてみた。 - piyolog
2025年12月3日、JavaScriptライブラリ Reactを開発するThe React Teamは、React Server Componentsに深刻な脆弱性が確認されたとして脆弱性情報を公開し、修正版への更新を案内しました。ここでは関連する情報をまとめます。 どんな脆弱性が確認されたの? React Server Function のFlightプロトコルにおいて、信頼できないデータのデシリアライズに関する脆弱性 が確認された。この脆弱性は認証不要でリモートから悪用が可能であり、リモートコード実行(RCE) に至る恐れがある。深刻度は 緊急(CVSS 基本値 10.0) と評価されており、開発元は利用者に対して速やかな対応を呼びかけている。 React はエンタープライズ環境を含む幅広いシステムで採用されており、日本国内でも React を用いたシステムを公開しているホストが多数
VS Codeで任意コード実行が可能だった脆弱性から学ぶ、Electron開発の注意点(CVE-2021-43908) - GMO Flatt Security Blog
初めに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 近年、クロスプラットフォームなデスクトップアプリケーションを作成する上で、Electronを採用することが選択肢の1つになってきています。 Electronの開発では、ライブラリとしてのElectronの実装と、その上にユーザーが構築するデスクトップアプリケーションの2つのコードが存在します。デスクトップアプリケーションの実装においても、メインプロセスとレンダラープロセス、サブフレームなど、考慮すべき概念が多数存在します。 そこで本稿では、Electronのアーキテクチャを意識しながら、実際に発見された脆弱性の傾向について考察することで、 Electron開発者が開発時に気を付けるべき点とその緩和策について、セキュリティの観点から記述していきます。 その上で、一例として、2022年のBlack H
1. 始めに こんにちは、morioka12 です。 本稿では、バグハントの入門として、主に Web アプリケーションの OSS に焦点をおき、脆弱性の発見・報告・CVE ID の取得について紹介します。 [更新 2025/12/31] お知らせ Zenn Book にて、『30日でCVE取得! OSSバグハント入門』をリリースしました。 zenn.dev 1. 始めに [更新 2025/12/31] お知らせ 免責事項 想定読者 筆者のバックグラウンド 2. CVE とは 3. 探す対象の選び方 OSS Topic (Type) 特定の条件で絞る バグバウンティの OSS 4. 脆弱性の検証方法 アプローチ方法 5. 脆弱性の報告先 6. 報告書の書き方 CVSS CWE 7. 脆弱性発見から CVE ID の取得までの流れ 注意点 8. バグハント前のスキル準備 過去の CVE ID
危険なCookieのキャッシュとRailsの脆弱性CVE-2024-26144 | セキュリティブログ | 脆弱性診断(セキュリティ診断)のGMOサイバーセキュリティ byイエラエ
高度診断部アプリケーションセキュリティ課の山崎です。 弊社エンジニアの名古屋と山崎がRuby on RailsのActive Storageの脆弱性CVE-2024-26144を報告しました。 本脆弱性はRailsの5.2.0から7.1.0のバージョンに影響するもので、お使いのRailsのバージョンが最新でない場合にはアップデートを推奨します。 本記事では本脆弱性の注意点と、関連してCookieのキャッシュに関する調査内容を紹介します。 TL;DR ・ Set-Cookieヘッダがキャッシュされると別人ログイン問題が発生する ・ RailsのActive StorageでSet-Cookieヘッダがキャッシュ可能な設定であった(CVE-2024-26144) ・ Nginx(+ Passenger), Apache(+ mod_cache)等のキャッシュ機構と合わせて利用すると実際に事故が
React Server Componentsにおける脆弱性について(CVE-2025-55182) | 情報セキュリティ | IPA 独立行政法人 情報処理推進機構
注釈:追記すべき情報がある場合には、その都度このページを更新する予定です。 概要 React Server Componentsは、JavaScriptライブラリ「React」のサーバ機能に関するコンポーネントです。 このReact Server Componentsにおいて、信頼できないデータをデシリアライズする脆弱性(CVE-2025-55182)が確認されています。 本脆弱性を悪用された場合、遠隔の攻撃者によって任意のコードを実行されるおそれがあります。 なお、「Next.js」など他製品において、同様の影響を受けます。 --- 2025年 12 月 10 日更新 --- 本脆弱性を悪用したと思われる攻撃が国内で発生しているとの情報があります。 今後、この脆弱性を突いた攻撃が拡大するおそれがあるため、早急に対策を実施してください。 --- 2025年 12 月 12 日更新 ---
本文の内容は、2022年4月20日にMiguel Hernándezが投稿したブログAre vulnerability scores misleading you? Understanding CVSS severity and using them effectively(https://sysdig.com/blog/vulnerability-score-cvss-meaning/)を元に日本語に翻訳・再構成した内容となっております。 脆弱性はどこにでもあります。セキュリティ専門家にとって、これらの脆弱性を大規模に調査し、緩和し、是正することは大変な作業です。どの組織も、すべての脆弱性を見つけて修正する能力を持っているわけではないことを心に留めておいてください。重要なのは、脆弱性とは何かを理解し、CVSSスコアの意味を解釈し、制約された時間制限や納期内でリソースの優先順位付けと有効利
SSVCを参考にした脆弱性管理について本気出して考えてみている(進行中) - ペネトレーションしのべくん
はじめに ここ最近脆弱性管理についてずっと考えていたのですが、SSVCを知ってからというもの、かなりシンプルに考えられるようになりました。試み自体はまだ途上なのですが、以下のようなことを目的として、SSVCの概要や、現時点での経過や私の考えを文字に起こしてみます。 アイデアを整理したい 脆弱性管理・運用に悩んでいる人と傷を舐め合いたい あわよくば有識者の目に止まってご意見を賜りたい(辛辣なのはイヤ) SSVCとは? Stakeholder-Specific Vulnerability Categolizationの略。CERT/CCが考案した脆弱性管理手法です。CVSSが「脆弱性の評価手法」であることに対して、SSVCは「脆弱性対応方針の判断手法」であると言えます。 たぶん今一番分かりやすい解説ページ。PWCだいしゅき! www.pwc.com 実際の資料は、CERT/CCのGitHubリ
共通脆弱(ぜいじゃく)性識別子(CVE)プログラムは個別製品中の脆弱性を対象として、アメリカ政府の支援を受けた非営利団体・MITREが脆弱性ごとに識別子を付与する制度です。このCVEプログラムが、アメリカの国土安全保障省が資金提供契約を更新しなかったことで、現地時間の2025年4月16日をもって予算が失効することが明らかとなりました。 MITRE-backed cyber vulnerability program to lose funding Wednesday - Nextgov/FCW https://www.nextgov.com/cybersecurity/2025/04/mitre-backed-cyber-vulnerability-program-lose-funding-wednesday/404585/ CVE program faces swift end afte
Frayを開発した理由 — そしてなぜオープンソースにしたのか
要約 私たちはFrayを開発しました。5,500以上の厳選された攻撃ペイロード、25のWAFベンダーの自動フィンガープリント、Claude CodeおよびChatGPTとのネイティブ統合を備えたオープンソースオフェンシブセキュリティツールキットです。無料で、依存関係はゼロ、10秒で実行できます。 オープンソースにした理由は単純です。攻撃者はすでにこれらのペイロードを持っています。持っていないのは防御側です。これは公平な競争環境を作ります。 # PyPIからインストールして今すぐ試す $ pip install fray $ fray detect https://example.com WAF Detected: Cloudflare Confidence: 100% $ fray test https://example.com -c xss --max 10 Loaded 989 pa
CVE-2024-4367 - Arbitrary JavaScript execution in PDF.js - Codean Labs
This post details CVE-2024-4367, a vulnerability in PDF.js found by Codean Labs. PDF.js is a JavaScript-based PDF viewer maintained by Mozilla. This bug allows an attacker to execute arbitrary JavaScript code as soon as a malicious PDF file is opened. This affects all Firefox users (<126) because PDF.js is used by Firefox to show PDF files, but also seriously impacts many web- and Electron-based a
GCVE initiativeは2026年1月7日(現地時間)、新たな公開脆弱(ぜいじゃく)性助言データベース「db.gcve.eu」の公開を発表した。 この基盤は誰でも無償で利用でき、世界中で公開されている脆弱性情報を統合的に参照できる場を提供する。米国の脆弱性情報データベース(CVE)に強く依存する体制の緩和や、セキュリティ対応に携わる組織や研究者が情報を見失わずに全体像を把握しやすくする狙いがある。 CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデル db.gcve.euは25以上の公開情報源から脆弱性助言を収集し、識別子や内容を整理した形で提示する。GCVEに基づく番号付与主体が発行する情報も自然に取り込まれており、検索や分析に適した構造化データとして扱える点が特徴だ。分散して存在していた情報を俯瞰でき、状況理解の負担軽減につながる。 基盤技術には、オープンソースの「vu
React2Shellによって実行されるマルウェアZnDoorについて | セキュリティナレッジ | NTTセキュリティ・ジャパン株式会社
本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 本記事はSOCアナリスト 野村和也が執筆したものです はじめにSOCでは2025年12月から、日本国内においてReact2Shell(CVE-2025-55182)を悪用したインシデントを多数観測しています。それらの多くはコインマイナーなどが実行されていますが、中には未知のマルウェアが実行されるケースも存在します。 私たちは今回発見した未知のマルウェアをZnDoorと名付け、調査を行いました。ZnDoorは少なくとも2023年12月には使用されていた可能性があり、ネットワーク機器の脆弱性悪用事例と関連があると推察されます。 本稿では、実際に日本国内の企業で観測されたReact2Shell悪用事例と、マルウェアZnDoorの解析結果を共有します。 攻撃フロー本攻撃の起点
脆弱性管理でCVSS基本値だけに振り回されないためのメモ【CVSS v2.0編】 – Feat. Known Exploited Vulnerabilities Catalog
■Known Exploited Vulnerabilities Catalogとは 「Known Exploited Vulnerabilities Catalog」(以下、KEVC)は、米国土安全保障省のCISA(Cybersecurity & Infrastructure Security Agency)が2021年11月3日から公開している情報で名前の通り悪用されたことが知られている脆弱性のカタログです。このカタログに掲載されている脆弱性は2022年2月4日時点で352件で、これらは既に悪用が確認されており、かつ、アメリカの連邦政府に大きな影響を及ぼすため、対応が急がれると判断できるものです。 このカタログに掲載されている項目は以下の通りです。 CVE番号 (CVE) ベンダー/プロジェクト名 (Vendor/Product) 製品脆弱性名 (Vulnerability Name)
Cisco IOS XE の脆弱性 CVE-2023-20198 / CVE-2023-20273 についてまとめてみた - piyolog
2023年10月16日、Ciscoは同社のネットワーク製品のOSとして搭載されているCisco IOS XEに未修正(当時)の脆弱性 CVE-2023-20198 および CVE-2023-20273 を悪用する活動が確認されたとしてセキュリティ情報を公開しました。 CVE-2023-20198は権限昇格の脆弱性で、リモートから管理者に相当するアカウントを作成される恐れがあります。またその後の調査でさらに別の脆弱性 CVE-2023-20273 が悪用されていることも判明しました。同社は CVE-2023-20198 を最大の深刻度であるCriticalと評価しており、脆弱性への対応を強く呼び掛けています。ここでは関連する情報をまとめます。 脆弱性 CVE-2023-20198 / CVE-2023-20273 の概要 Cisco社の複数のネットワーク製品に搭載されているCisco IOS
What? A 10.0 critical severity vulnerablility affecting server-side use of React.js, tracked as CVE-2025-55182 in React.js and CVE-2025-66478 specifically for the Next.js framework. This vulnerability was responsibly disclosed by myself, Lachlan Davidson on 29 November 2025 PT to the Meta team. Initial disclosure and patch release was performed by React and Vercel on 3 December 2025 PT. Update: Pr
Building a trusted, stable, and durable global community to support the CVE Program
Building a trusted, stable, and durable global community to support the CVE Program Working to ensure a stable future for the CVE Program Support the transition of the CVE Program from a single funding stream to a diversified and stable funding model. We help make vulnerability identification more trustworthy Through engagement, international community collaboration, and transparency, we help make
【セキュリティ ニュース】ウェブサーバ「NGINX」のTLSプロキシ利用時に応答改ざんのおそれ(1ページ目 / 全1ページ):Security NEXT
ウェブサーバ「NGINX」において中間者攻撃により応答が改ざんされるおそれがある脆弱性が判明した。商用版、オープンソース版のいずれも影響を受ける。 TLSで保護された上流サーバへプロキシを設定した場合に、中間者攻撃(MITM攻撃)で応答へ平文データを注入されるおそれがある脆弱性「CVE-2026-1642」が確認された。 信頼されたデータと信頼されていない外部データを適切に区別せず受け入れてしまうことに起因。改ざんされたデータがそのままクライアントへ送信されるおそれがある。 共通脆弱性評価システム「CVSSv4.0」のベーススコアは「8.2」、重要度は4段階中、上から2番目にあたる「高(High)」とレーティングされている。「CVSSv3.1」ではベーススコアが「5.9」、重要度は「中(Medium)」とされる。 F5では、同脆弱性へ対処した「NGINX Open Source 1.29.
MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け | Codebook|Security News
Codebook|Security News > Articles > Threat Report > デイリーサイバーアラート > MITREがCVEプログラム停止の恐れについて警告、16日に米政府との契約が切れること受け The Record – April 16th, 2025 MITRE Corporationによると、米政府による資金提供の先行きが不透明であることから、CVEプログラムの中断や「劣化」が生じる可能性が考えられるという。同団体の国土安全保障センターでVPを務めるYosry Barsoum氏が、CVE理事会に宛てた書簡の中で明かした。 2025年4月15日付け(現地時間)のこの書簡はCVE理事会のメンバーに対し、MITREと米政府との間で交わされたCVEの管理に関する契約が4月16日で終了となる旨を伝えるもの。Barsoum氏は、「2025年4月16日(水)に、MIT
脆弱性から学ぶRubyの仕組み(CVE-2022-28739編) 最近業務でRubyを使うようになったのだが、これまで業務で使ったことのない言語だったので日々言語仕様などを勉強している。 加えて、業務上の別件でセキュリティ周りも勉強しておきたく、良い機会なので「脆弱性の側面からRubyの仕組みについて学ぶ」という暴挙に出てみようと思う。 Ruby 言わずとしれたプログラミング言語の一種。日本発の言語。 「Rubyってなんぞ。石か?」という方はWikipedia参照。 脆弱性 コンピュータ上のバグや仕様の不具合から生じる、セキュリティ上の欠陥の総称。 予期せぬ挙動のうち、セキュリティ的によろしくない挙動を起こすものとも言える? いろんな書籍やWebサイトでいろんな説明がされているため、抽象的なニュアンスはなんとなくわかるような気がするが、どのように言語化すればより正確な説明になるのか未だにわ
Composer 脆弱性 CVE-2026-40261 PerforceドライバRCE、2.9.6/2.2.27で修正
PHP Composerの脆弱性CVE-2026-40261(CVSS 8.8)はPerforce未インストールでも任意コード実行が成立。composer install/requireでRCEリスク。修正版2.9.6/2.2.27へ今すぐcomposer self-updateで更新。全PHP開発者・CI環境が影響対象。 🚨 CVE-2026-40261 / CVE-2026-40176 — Composer Perforce Command Injection CVSS: 8.8 High(CVE-2026-40261, AV:N)/7.8 High(CVE-2026-40176, AV:L) 影響: Composer 2.0〜2.2.26(LTS)・2.3〜2.9.5(mainline) 修正版: 2.2.27(LTS)・2.9.6以降(mainline、2.9.7でregress
2024年1月24日、Jenkins セキュリティチームは、CI/CDツール Jenkinsのセキュリティ情報を公開しました。修正された脆弱性の内 任意のファイル読み取りの脆弱性 CVE-2024-23897 は深刻度をCriticalと評価されており、既に実証コードも公開されています。ここでは関連する情報をまとめます。 脆弱性の概要 Jenkins Security Advisory 2024-01-24 Jenkinsにはスクリプトまたはシェル環境からJenkinsへアクセスするコマンドラインインターフェースの機能 (Jenkins CLI)が組み込まれており、脆弱性 CVE-2024-23897はこのCLIを介して任意のファイル読み取りが行えるというもの。さらに特定の条件下においてリモートコード実行が可能となる恐れがある。Jenkins セキュリティチームはこの脆弱性を深刻度をCri
情シスからセキュリティエンジニアになるには? みんなCVE取得してる?【セキュリティエンジニアだけど何か質問ある?】 - #FlattSecurityMagazine
Twitterで募集した「セキュリティエンジニアに答えてほしい質問」に、Flatt Securityのセキュリティエンジニアが答える企画。 今回は、セキュリティエンジニアへのキャリアパスに関する質問や、Flatt Securityでの働き方に関する質問にFlatt Securityのセキュリティエンジニアたちがお答えします! セキュリティエンジニアという職業や仕事内容について答えた前編はこちら▼ flatt.tech Q.セキュリティエンジニアになろうと思ったタイミングはいつですか? 回答者:shopper 回答者:Yuki_Osaki Q.エントリーレベルのセキュリティエンジニアになるには、どんな勉強・精進をする必要があると思われますか? 回答者:pizzacat83 Q.情シスからセキュリティエンジニアになるには? 回答者:akiym 回答者:moosan63 Q.Flatt Secu
Vulnerability-Lookup
Vulnerability-Lookup - Fast vulnerability lookup correlation from different sources.
| 概要 | インストール | 利用方法 | 補助機能 | 動作環境 | よくある質問と答え(FAQ) | MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) 概要 MyJVN 脆弱性対策情報フィルタリング収集ツール (mjcheck4) は、JVN iPedia に登録されている脆弱性対策情報を MyJVN API を利用して、製品名等でフィルタリングして収集するためのツールです。 mjcheck4 を利用することで、組織で利用しているソフトウェアの脆弱性対策情報を効率よく収集することができます。 【mjcheck4の主な機能】 JVN iPediaの登録済製品を指定して脆弱性対策情報を収集 深刻度など数種類のフィルタリングを使用して情報の絞り込み 注意警戒情報サービスの情報を収集 SBOM(※)が記述されたファイルのインポート・エクスポート ※Software B
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた - piyolog
NEC「Aterm」シリーズに複数の脆弱性 アップデートまたは買い換えを推奨
OpenSSHの脆弱性 CVE-2024-6387についてまとめてみた - piyolog
XZ Utilsの脆弱性 CVE-2024-3094 についてまとめてみた - piyolog
【libxml2】libxml2プロジェクトは放棄されました - Qiita
個人開発のEC2が乗っ取られてMoneroを掘られていた話【CVE-2025-55182】|ねころこ
Next.jsの脆弱性を数日放置したら暗号通貨マイナーを仕込まれた話 - Qiita
Next.jsの脆弱性CVE-2025-29927まとめ
VPNを経由するはずだった通信を直接インターネットに送信させる攻撃手法「TunnelVision」が発見される
バグハント入門 (OSS編) - blog of morioka12
「Node.js」に最大深刻度Highの脆弱性 ~v25.x、v24.x、v22.x、v20.x系統に影響【12月19日追記】/対策済みのバージョンのリリースは18日に延期
脆弱性に附番されるCVE番号を管理する「cve.mitre.org」がリニューアルへ/新サイト「cve.org」への移行が進む【やじうまの杜】
脆弱性スコアに惑わされてる?CVSSの深刻度を理解し、効果的に活用する
脆弱性管理を担うCVEプログラムの運営資金が2025年4月16日で失効することが明らかに
CVEと何が違う? 無償で利用できる新時代の脆弱性共有モデルが登場
React2Shell (CVE-2025-55182)
脆弱性から学ぶRubyの仕組み(CVE-2022-28739編)
Jenkinsの脆弱性 CVE-2024-23897 についてまとめてみた - piyolog
MyJVN - MyJVN 脆弱性対策情報フィルタリング収集ツール
shop.kinokokumiai.or.jp
shop.sheeta.com
uchi-noko.hatenablog.com
x.com
www.daiichipan.co.jp
yokotashurin.com