タグ: バグバウンティ

cyberpress.org

WordPressプラグインの深刻な脆弱性、100万サイトで任意ファイル削除が可能に

約100万件のアクティブインストールを誇る有料WordPressプラグイン「Avada Builder」に、認証不要で任意のファイルを削除できる深刻な脆弱性が発見されました。 CVSSスコア9.1(Critical)のCVE-2026-8713として追跡されているこの脆弱性は、未認証の攻撃者がサーバー上の任意のファイ

darkreading.com

FIFAの脆弱性でワールドカップ配信が乗っ取り可能に

FIFAのMicrosoft Entra環境に存在した深刻なアクセス制御の脆弱性により、あるホワイトハットハッカーがワールドカップのテレビ配信システムや試合管理システムなど、FIFAのグローバルインフラ全体を直接制御できる状態にあったことが明らかになりました。人類がこれほどの惨事を辛うじて回避したのは、1962年にソ連

theregister.com

「ナイスキャッチ!」と称えたGoogleが、未修正の脆弱性へのバグバウンティ支払いを拒否

独占 Googleが提供するKubernetesオペレーターに、攻撃者がGoogle Cloud Platform(GCP)のアイデンティティおよびアクセス保護をバイパスし、組織のクラウド環境を完全に掌握できるセキュリティホールが存在します。あるいは、バグバウンティプログラムにおけるコミュニケーショ

techradar.com

基本的なセキュリティ上の欠陥により、研究者がFIFAの内部システムにアクセス――ワールドカップ中継の制御権を掌握できる状態に

研究者「BobDaHacker」がFIFA APIの欠陥を発見――誰でもライブTV中継や解説者フィードを乗っ取れる状態だったバグの原因は認可チェックの欠如。FIFAは迅速に修正したが、発見者へのクレジットなし専門家が警告:CWE‑602の典型例であり、認証と認可を混同する危険性を改めて示す結果にFIFAの内部システ

cyberpress.org

AIを駆使してGoogle脆弱性を発見したセキュリティ研究者、バグバウンティで50万ドルを獲得

「Brutecat」として知られるセキュリティ研究者が、Googleに対して実施されたなかでも最も精巧かつ高額な脆弱性調査キャンペーンの詳細を公開しました。AIを活用したファジングとAPIリコナッサンス(偵察)を組み合わせることで、3か月も経たないうちに合計50万ドルというバグバウンティ報奨金を手にした事例です。 こ