TokyoBlackHatNews

タグ: セキュリティアドバイザリ

cyberpress.org

Palo Alto PAN-OSに深刻な脆弱性——root権限でのコマンド実行が可能に

Palo Alto Networksは、PAN-OSファイアウォールソフトウェアに新たに発見された3件の脆弱性に関するセキュリティアドバイザリを公開しました。このうち最も深刻なものは、認証済み管理者がroot権限で任意のコマンドを実行できるというもので、システムレベルの制限をすべて回避することが可能です。 3件の中で
cyberpress.org

Claude Codeサンドボックスの欠陥が認証情報とソースコードを露出

AnthropicのClaude Codeネットワークサンドボックスは、その内部のすべてのプロセスが送信制限を黙って回避し、ブロックされたホストに到達することを許可し、約130の公開バージョンで5ヶ月以上にわたって認証情報、ソースコード、環境変数の流出を潜在的に可能にしていました。 Aonan GuanはClaude
theregister.com

AWSからQuickの管理者へ:アクセス制御は機能していなかったが、どうせ使用していなかったので何が問題なのか?

ほとんどのユーザーはAWSに対して、運転免許局(DMV)に対するのと同じような我慢をしている。愛情を込めて言うが、UIがひどいことに異論を唱えるのは難しい。コンソールはタイムカプセルのようなUXで、他のタイムカプセルのように見えることすら許されていない。料金ページは個人的にあなたを嫌う誰かによって設計されて
securityweek.com

ハッカーがPraisonAI脆弱性を公開から数時間以内にターゲット化

アプリケーション保護企業Sysdigの警告によると、PraisonAIの最近の認証バイパス脆弱性をターゲットとした悪用の試みは、公開から4時間以内に開始されました。 PraisonAIは、組織が複雑なタスクを実行するための自律型AIエージェントをデプロイできるマルチエージェントフレームワークです。 CVE-2026-
cyberpress.org

Jenkinsが経路トラバーサルと格納型XSSを含む高リスク度プラグイン脆弱性をパッチ

Jenkinsは2026年4月29日に包括的なセキュリティアドバイザリを公開し、複数の広く使用されているプラグイン全体で7つの脆弱性をパッチしました。このうち3つは高リスク度と評価され、重大な攻撃ベクトルに対応しています。 本アドバイザリでパッチされた最も重大な欠陥は、Credentials Bindingプラグイン
gbhackers.com

Jenkinsプラグイン更新、パストラバーサルおよび保存型XSS脆弱性を修正

Jenkinsプロジェクトは、複数の広く使用されているプラグイン全体にわたる7つの脆弱性に対処する重大なセキュリティアドバイザリをリリースしました。 開示された脆弱性には、高深刻度のパストラバーサルおよび保存型クロスサイトスクリプティング(XSS)脆弱性が含まれており、脅威行為者が任意のコードを実行またはユーザーセッ
cyberpress.org

SonicWall SonicOSの脆弱性がアタッカーにアクセス制御の回避とファイアウォールのクラッシュを可能にする

SonicWallは2026年4月29日に緊急セキュリティアドバイザリ(SNWLID-2026-0004)をリリースし、Gen6、Gen7、Gen8ファイアウォール製品ラインの全体に電力を供給するSonicオペレーティングシステムに影響する3つの脆弱性を開示しました。 CVE-2026-0204、CVE-2026-0
securityweek.com

簡単に悪用可能な「Pack2TheRoot」Linux脆弱性によりルートアクセスが可能に

クロスディストロパッケージ管理抽象化レイヤーPackageKitの簡単に悪用可能で深刻度の高い脆弱性により、権限のないユーザーがルート権限でパッケージをインストールできます。 CVE-2026-41651として追跡されており、CVSS スコアは8.1です。この欠陥はトランザクションフラグの TOCTOU(タイム・オ
gbhackers.com

Cisco Webex脆弱性がユーザーなりすまし攻撃を可能にする

Ciscoは、Webexコミュニケーションプラットフォームにおける重大な脆弱性について、組織に警告する緊急セキュリティ勧告を発表しました。 CVE-2026-20184として追跡されているこの重大な欠陥により、認証されていないリモート攻撃者がセキュリティチェックを完全にバイパスし、サービス内の任意の正当なユーザーにな