セキュリティ Marimo CVE-2026-39987 — 認証なしPTYシェル奪取のPre-Auth RCE、アドバイザリ公開から9時間41分で悪用観測
Pythonのリアクティブノートブック「Marimo」に、認証なしでホスト上のPTYシェルを奪取できる事前認証リモートコード実行(Pre-Auth RCE)の脆弱性CVE-2026-39987が公開されました。GitHub Security...
tkc_matsu
セキュリティ セキュリティ Adobe Acrobat Reader ゼロデイ、EXPMONが発見 — Haifei Li氏の検証環境で動作した高度なフィンガープリンティング型PDFエクスプロイト、2025年11月末から流通の痕跡
Adobe Acrobat Reader のゼロデイを悪用する高度なPDFエクスプロイトが流通していると、サンドボックス型エクスプロイト検出プラットフォーム EXPMON の創設者 Haifei Li 氏が2026年4月7日に自身のブログで...
セキュリティ FortiGate CVE-2025-59718 Rapid7 IR実録 — 約2週間の低姿勢潜伏からSSL VPN有効化、内部横展開までを逆算特定
Rapid7のインシデント対応チームが、FortiGateアプライアンスのCVE-2025-59718悪用を起点とした実インシデントの調査知見を2026年4月8日に公開しました。記事タイトルは「FortiGate CVE-2025-5971...
セキュリティ Docker Engine CVE-2026-34040 — 過大HTTPリクエストでAuthZプラグインを無効化、特権コンテナ経由でホスト掌握
Docker Engineの認可プラグイン(AuthZプラグイン)を、1MBを超える過大なHTTPリクエストボディで無効化できる脆弱性CVE-2026-34040が公開されました。Cyera Research Labsが2026年3月24日...
セキュリティ Flowise AIエージェントビルダーのCVSS 10.0 RCE脆弱性が悪用 ― CustomMCPノードの認証不要コード実行、12,000以上のインスタンスが露出
本稿では、オープンソースのAIエージェントビルダーFlowiseに存在する最大深刻度の脆弱性CVE-2025-59528について、技術的な背景と実務上の対処を解説します。GitHub Security Advisoryでは本件をCVSS 3...
セキュリティ OpenClawに相次ぐ認可バイパス脆弱性 ― CVE-2026-33579でペアリング権限からインスタンス全権掌握、多数の公開インスタンスが危険
本稿では、AIエージェントフレームワークOpenClawの権限昇格脆弱性CVE-2026-33579について、攻撃チェーンと実務上のリスクを解説する。本脆弱性はGitHub Security Advisory(GHSA)で2026年3月29...
セキュリティ Chrome ゼロデイ CVE-2026-5281が野生で悪用 ― WebGPU実装Dawnのuse-after-free、レンダラ侵害後に任意コード実行のおそれ、CISA KEV入り
本稿では、Googleが米国時間2026年3月31日(日本時間4月1日)にリリースしたChrome緊急セキュリティアップデートで修正されたゼロデイ脆弱性CVE-2026-5281について、技術的な背景と実務上の対処を解説する。本脆弱性は野生...
セキュリティ OpenAIが修正したChatGPTとCodexの脆弱性2件 ― DNSサイドチャネルによる会話・アップロードファイル等の漏洩と、ブランチ名経由のGitHubトークン窃取
本稿では、2026年3月30日にCheck PointおよびBeyondTrust Phantom Labsがそれぞれ公開したOpenAI製品の脆弱性2件について、攻撃チェーンと実務上の影響を解説する。いずれもOpenAIによる修正済みであ...
総合テック GitHub Copilot、4月24日からユーザーのコード操作データでAI学習を開始 ― オプトアウトしなければ自動適用
本稿では、GitHubが2026年3月25日に発表したCopilotデータ利用ポリシーの変更について、影響範囲と実務上の対処を解説する。何が変わるのかGitHubは4月24日以降、Copilot Free・Pro・Pro+ユーザーのインタラ...
セキュリティ Claude Chrome拡張に「ShadowPrompt」脆弱性 ── 任意のWebサイト訪問だけでAIアシスタントを乗っ取られる
Koi Securityの研究者Oren Yomtovは、AnthropicのClaude Google Chrome拡張機能に存在した脆弱性「ShadowPrompt」の詳細を2026年3月26日に公開しました。この脆弱性により、ユーザー...