Secure Gatev1.0.0新着セキュリティニュース バックナンバー

新着セキュリティニュース バックナンバー

直近表示から外れた情報を確認できます。診断結果とは別情報として扱います。

総件数211477件
表示件数50件/ページ
ページ84

CVE-2026-11614

Threat Intelligence NVD CVE 危険度: medium 緊急度: medium

The Xpro Addons — 140+ Widgets for Elementor plugin for WordPress is vulnerable to Stored Cross-Site Scripting via the 'custom_attributes' parameter in all versions up to, and including, 1.7.2 due to insufficient input sanitization and output escaping. This makes it possible for authenticated attackers, with author-level access and above, to inject arbitrary web scripts in pages that will execute whenever a user accesses an injected page.

CVE-2026-12681

Threat Intelligence NVD CVE 危険度: medium 緊急度: medium

Improper Validation of Specified Index, Position, or Offset in Input vulnerability in Google go-attestation. parseEfiSignatureList() does not advance the buffer past vendor bytes before reading entries. For hashSHA256SigGUID lists, this allows attacker-controlled vendor header bytes to be appended to the trusted SHA256 hash list. A crafted TPM event log could inject arbitrary SHA256 hashes into the verifier's trusted measurement database, enabling a remote attestation verifier to accept a compromised boot state. This issue affects go-attestation: through 0.6.0.

CVE-2026-54639

Threat Intelligence NVD CVE 危険度: high 緊急度: high

Style Dictionary, a build system for creating cross-platform styles, has a prototype pollution vulnerability starting in version 4.3.0 and prior to version 5.4.4. Impact users have: direct usage of `convertTokenData(tokens, { output: 'object' });`; indirect usage, via using Expand API; and/or indirect usage via SD's transform lifecycle. Impact is high for this when style-dictionary is used as an integration in a NodeJS server application. Impact is moderate for when style-dictionary is used as an integration in a Web application. Impact is low for most common cases where the user of style-dictionary also maintains the tokens, and access is limited via read/write access to the repository/workflows where it is used. A patch has been published in version `5.4.4`. The only known workaround is to sanitize token data first. Whether using DTCG format or old Style Dictionary format, check the token data object recursively for any object keys that include `__proto__`.

CVE-2026-7574

Threat Intelligence NVD CVE 危険度: high 緊急度: high

Anthropic Claude Desktop Cowork VM image handling (confirmed across v1.1348.0 through v1.2278.0, including v1.1348.0, v1.1617.0, and v1.2278.0) validates only file presence and a version marker string before booting rootfs.img, but does not verify image content integrity at time-of-use. A local attacker with unprivileged code execution as the victim macOS user can modify the VM root filesystem image and have it trusted on subsequent Cowork VM boots, enabling persistent arbitrary code execution in the VM and access to host-mounted directories. The estimated CWE mapping is CWE-353 (Missing Support for Integrity Check).

CVE-2026-6458

Threat Intelligence NVD CVE 危険度: medium 緊急度: medium

Missing cryptographic step in Caliptra Core Firmware (aes_256_gcm_update module) results in an incorrect GCM authentication tag. When the streaming AES-256-GCM API is used with empty AAD, the hardware GHASH accumulator state is not saved after the first update call, causing the final tag to exclude the first batch of processed ciphertext. Ciphertext produced by that call may be modified without the tag reflecting the change. This issue affects Core Runtime Firmware: from 2.0.0 through 2.0.1, 2.1.0.

CVE-2026-5818

Threat Intelligence NVD CVE 危険度: medium 緊急度: medium

Incorrect check of function return value in Caliptra Core Runtime Firmware (ActivateFirmwareCmd::activate_fw modules) allows bypass of Caliptra Core's verification of the MCU FW during a hitless update. This issue affects Core Runtime Firmware: from 2.0.0 through 2.0.1, 2.1.0.

Weekly Report: Fortinetが「FortiGateデバイスの認証情報を使った攻撃キャンペーンの分析」を公開

Threat Intelligence JPCERT/CC RSS THREAT_INTEL 危険度: info 緊急度: medium

Fortinetは、「FortiGateデバイスの認証情報を使った攻撃キャンペーンの分析」を公開しました。Fortinetは、FortiBleedと呼ばれる認証情報窃取キャンペーンについて、過去のインシデントに関連する認証情報の再利用や、多要素認証が有効化されていないデバイスへのブルートフォース攻撃によるものと説明しています。ただし、複数のセキュリティ組織は、侵害済み機器から新たな認証情報が窃取されている可能性についても指摘しており、侵害調査や対応にあたっては、Fortinetが提供する情報に加え、関連情報も確認することが推奨されます。

Weekly Report: リコーおよびコニカミノルタジャパン製プリンタドライバーに権限昇格の脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

株式会社リコーおよびコニカミノルタジャパン株式会社が提供する複数のプリンタドライバーには、権限昇格の脆弱性があります。この問題は、最新版のプリンタドライバーを使用することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のOracle製品に脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

複数のOracle製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Google Chromeに複数の脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のMozilla製品に脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のAtlassian製品に脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のCisco製品に脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Ciscoが提供する複数の製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Drupal coreに複数の脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: ZyxelのGS1900シリーズスイッチにスタックベースのバッファオーバーフローの脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Zyxelが提供するGS1900シリーズスイッチには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Node.jsに複数の脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Node.jsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Microsoft Edgeに複数の脆弱性

Threat Intelligence JPCERT/CC RSS CVE 危険度: medium 緊急度: medium

Microsoft Edgeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Fortinetが「FortiGateデバイスの認証情報を使った攻撃キャンペーンの分析」を公開

Incident Knowledge JPCERT/CC AUTH

Fortinetは、「FortiGateデバイスの認証情報を使った攻撃キャンペーンの分析」を公開しました。Fortinetは、FortiBleedと呼ばれる認証情報窃取キャンペーンについて、過去のインシデントに関連する認証情報の再利用や、多要素認証が有効化されていないデバイスへのブルートフォース攻撃によるものと説明しています。ただし、複数のセキュリティ組織は、侵害済み機器から新たな認証情報が窃取されている可能性についても指摘しており、侵害調査や対応にあたっては、Fortinetが提供する情報に加え、関連情報も確認することが推奨されます。

影響: Fortinetは、「FortiGateデバイスの認証情報を使った攻撃キャンペーンの分析」を公開しました。Fortinetは、FortiBleedと呼ばれる認証情報窃取キャンペーンについて、過去のインシデントに関連する認証情報の再利用や、多要素認証が有効化されていないデバイスへのブルートフォース攻撃によるものと説明しています。ただし、複数のセキュリティ組織は、侵害済み機器から新たな認証情報が窃取されている可能性についても指摘しており、侵害調査や対応にあたっては、Fortinetが提供する情報に加え、関連情報も確認することが推奨されます。

Weekly Report: リコーおよびコニカミノルタジャパン製プリンタドライバーに権限昇格の脆弱性

Incident Knowledge JPCERT/CC CVE

株式会社リコーおよびコニカミノルタジャパン株式会社が提供する複数のプリンタドライバーには、権限昇格の脆弱性があります。この問題は、最新版のプリンタドライバーを使用することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: 株式会社リコーおよびコニカミノルタジャパン株式会社が提供する複数のプリンタドライバーには、権限昇格の脆弱性があります。この問題は、最新版のプリンタドライバーを使用することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のOracle製品に脆弱性

Incident Knowledge JPCERT/CC CVE

複数のOracle製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。

影響: 複数のOracle製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のAtlassian製品に脆弱性

Incident Knowledge JPCERT/CC CVE

複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: 複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Drupal coreに複数の脆弱性

Incident Knowledge JPCERT/CC CVE

Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: ZyxelのGS1900シリーズスイッチにスタックベースのバッファオーバーフローの脆弱性

Incident Knowledge JPCERT/CC CVE

Zyxelが提供するGS1900シリーズスイッチには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: Zyxelが提供するGS1900シリーズスイッチには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品にパッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: Node.jsに複数の脆弱性

Incident Knowledge JPCERT/CC CVE

Node.jsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: Node.jsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: crypton-x509-validationに不適切な証明書検証の脆弱性

Incident Knowledge JPCERT/CC CVE

crypton-x509-validationには、不適切な証明書検証の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、CERT/CCが提供する情報を参照してください。

影響: crypton-x509-validationには、不適切な証明書検証の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、CERT/CCが提供する情報を参照してください。

Weekly Report: 複数のMozilla製品に脆弱性

Incident Knowledge JPCERT/CC CVE

複数のMozilla製品には、脆弱性があります。Firefox、Firefox for iOSが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

影響: 複数のMozilla製品には、脆弱性があります。Firefox、Firefox for iOSが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

Weekly Report: 複数のCisco製品に脆弱性

Incident Knowledge JPCERT/CC CVE

複数のCisco製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、一部製品の脆弱性はCiscoが対応したためユーザーの対応は不要とのことです。詳細は、開発者が提供する情報を参照してください。

影響: 複数のCisco製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、一部製品の脆弱性はCiscoが対応したためユーザーの対応は不要とのことです。詳細は、開発者が提供する情報を参照してください。