TokyoBlackHatNews

タグ: 認証不備

bleepingcomputer.com

ServiceNow、顧客データ流出を伴うセキュリティインシデントを公表

ServiceNowは、攻撃者が脆弱なAPIエンドポイントを通じて認証不要のアクセス欠陥を悪用し、顧客インスタンスのデータを照会できた状態だったことを受け、セキュリティインシデントを警告しています。 同社は「異常なアクティビティ」を検知した後、サポートブレティンおよび個別のサポートケースを通じて、影響を受けた顧客に対
cyberpress.org

PraisonAIの脆弱性が公開後数時間以内に悪用される

PraisonAIの高度な重要度を持つ認証回避の脆弱性は、公開後数時間以内に積極的な悪用の試みが確認されたセキュリティ研究者の注目を集めています。これは脅威アクターが新しく公開された欠陥にいかに迅速に対応するかを鮮明に思い出させます。 CVE-2026-44338として追跡されており、GitHubアドバイザリGHSA
theregister.com

GoDaddyの顧客がレジストラが27年前のドメインをセキュリティチェックなしで譲渡したと主張

GoDaddyは、有効な27年前のドメインの完全な管理権を別の顧客に譲渡したが、認証プロセスを通す必要もなく、支援資料のアップロードも要求しなかったという主張を現在調査中です。 このセンセーショナルな告発は、ペンシルベニア州のIT企業Flagstream TechnologiesのパートナーであるLee Landi
cyberpress.org

公開されたC2パネルがAuraborosアクセス権限取得ツールのオーディオストリーミング機能とキーロギング機能を明かす

サイバーセキュリティ研究者は、Auraboros C2と呼ばれるこれまで文書化されていないコマンド・アンド・コントロールフレームワークを発見しました。 興味深いことに、パネルの管理ダッシュボード、被害者リスト、およびコマンドAPIは完全に認証なしで公開されています。プレーンHTTPで提供され、広く開放されたクロスオリ
cyberpress.org

公開されたNotionページがエディターのプロフィール写真とメールアドレスを暴露

広く使用されている生産性とコラボレーションプラットフォームのNotionで、深刻なデータ漏洩の問題が発見され、数千人のユーザーと組織が危険にさらされる可能性があります。 セキュリティ研究者は、公開されたNotionページが、認証を必要とせずに、エディターの氏名、メールアドレス、プロフィール写真などの機密個人情報を無意