Microsoft Patch Tuesday 2026年5月——Netlogon CVSS 9.8・Outlookゼロクリックを含む120件超のCVEを解析
2026年5月13日のPatch Tuesdayは120件超のCVEを修正。CVSS 9.8のNetlogon RCE(ワーマブル)・ゼロクリックOutlook RCE・Dynamics 365 CVSS 9.9など企業環境への影響が大きい重大CVEを優先順位付きで解説。
← タグ一覧
#vulnerability (10 件)
OpenAI Daybreak——Codex SecurityとGPT-5.5-CyberでAIが脆弱性を検出・パッチ提案する新時代
OpenAI DaybreakはCodex Securityで脅威モデル生成・攻撃パス検証・パッチ提案を自動化するAIサイバーセキュリティ基盤。GPT-5.5-Cyber搭載、数百企業が参加。2026/5/12発表。
Palo Alto PAN-OS CVE-2026-0300——未認証RCEが野放しで悪用中、パッチは5月13日まで待て
PAN-OSのUser-ID認証ポータルに未認証バッファオーバーフロー(CVE-2026-0300、CVSS 9.3)が発見、国家関与とみられる攻撃者が積極的に悪用中。パッチは5月13日予定。今すぐ取れる緩和策を解説。
Django 6.0.5・5.2.14セキュリティリリース——ASGIアップロードメモリ制限バイパスの仕組みと対策
2026年5月5日、DjangoがASGIアップロードのContent-Length未検証によるFILE_UPLOAD_MAX_MEMORY_SIZEバイパスを修正。Django 6.0.x・5.2.xユーザーは即時アップグレードを推奨。原因と多層防御策を解説。
MOVEit AutomationにCVSS 9.8の認証バイパス——CVE-2026-4670で未認証の管理者奪取が可能、即時パッチ必須
2026年5月4日、Progress SoftwareがMOVEit AutomationのCVSS 9.8認証バイパス(CVE-2026-4670)と特権昇格(CVE-2026-5174)を修正。影響バージョンと対処法を解説する。
CVE-2026-26268:Cursor AIのGit Hookサンドボックス脱出——リポジトリをクローンするだけで開発者PCがRCE
2026年4月28日開示のCVE-2026-26268(CVSS 8.1)はCursorのAIエージェントがgit checkoutを実行する際に悪意あるベアリポジトリのpre-commit hookを無確認実行してしまう任意コード実行の脆弱性。APIキー・パスワード・社内コードが窃取される。
HackerOne h1 Validation——AI主導で脆弱性報告が76%急増する中、「発見から修正まで」を高速化する新サービスの実態
2026年4月21日、HackerOneはh1 Validationを発表。AIモデルが脆弱性発見を加速し報告件数が76%急増、高深刻度の割合が32%に上昇する中、発見から修正までのギャップを埋めるAI+人間のハイブリッド検証サービスの仕組みと開発チームへの影響を解説。
GitHub CVE-2026-3854:git push 1回でサーバー完全制圧——セルフホストの88%が影響圏
git pushのオプション値をサービスヘッダーに未サニタイズで渡していたコマンドインジェクション(CVSS 8.7)がGitHub.comとEnterprise Server全バージョンに影響。プッシュアクセスさえあれば全リポジトリ・全シークレットを奪える。Enterprise Server向けパッチが4月29日公開済み。
LiteLLM CVE-2026-42208:開示36時間後に悪用が始まったCVSS 9.3 SQLインジェクション
22,000以上のGitHubスターを持つLLMゲートウェイLiteLLMで、認証前に悪用可能なSQLインジェクション(CVSS 9.3)が発見・悪用された。OpenAI・Anthropic・AWS BedrockのAPIキーが窃取対象。対応バージョン1.83.7-stableへの即時アップグレードが必要。
AnthropicのMythosモデルがゼロデイ脆弱性を自律的に発見・悪用——AIセキュリティの新局面
Anthropic Mythos PreviewがあらゆるメジャーOS・ブラウザのゼロデイを83%超の成功率で再現・悪用。限定公開の背景と実務への影響を解説。