タグ: SQLインジェクション

gbhackers.com

数千台のMCPサーバーにファイルアクセスやインジェクション攻撃を許す脆弱性が発覚

大規模言語モデル(LLM)を外部システムに接続する目的で広く利用されているModel Context Protocol(MCP)サーバーのうち、数千台に深刻なセキュリティ上の欠陥が見つかりました。任意のファイルアクセス、コマンドインジェクション、サーバーサイドリクエストフォージェリ(SSRF)、SQLインジェクション

cyberpress.org

4,982件のセキュリティ問題、2,259台の公開MCPサーバーがAIエージェント攻撃に晒される

9,695台のModel Context Protocol(MCP)サーバーを対象とした新たな分析により、人気度・活動量・認証バッジがセキュリティ上の欠陥に対する信頼できる防御にはならないことが判明しました。この分析では、2,259台の影響を受けるサーバーにわたって4,982件のセキュリティ問題が確認されています。

helpnetsecurity.com

Nika:オープンソースのコード解析ツール

Webアプリケーションにおける深刻なセキュリティバグの多くは、複数のファイルにまたがって潜在しています。リクエストデータはコントローラーを通じて流入し、データオブジェクトやサービス層を経由しながら、データベースクエリやファイル操作といったセキュリティ上重要な処理に到達したとき初めて危険な状態となります

cyberpress.org

CactiフレームワークにCritical脆弱性——認証不要のSQLインジェクション攻撃にさらされるリスク

ネットワーク監視フレームワークのCactiに、深刻度の高い複数のセキュリティ脆弱性が相次いで公表されました。バージョン1.2.30以前を対象に、認証不要のSQLインジェクションやローカルファイルインクルージョン(LFI)など、CriticalおよびHighレベルの欠陥が確認されています。 最も深刻な脆弱性はCVE-2

cyberpress.org

LangGraphの深刻な脆弱性チェーン、サーバー完全乗っ取りを可能に

LangChainの開発者が手がけるオープンソースAIエージェントフレームワーク「LangGraph」において、重大な脆弱性チェーンが新たに開示されました。攻撃者はこれらの欠陥を悪用することで、セルフホスト環境に対して完全なリモートコード実行(RCE)を達成できるとされています。 Checkpointによると、Lan

techradar.com

NSAが警告:エネルギー、化学、食品、農業など各分野を支える重要コンポーネントがサイバー犯罪者の標的に

ATGシステムへの攻撃に対する各機関の警告脆弱な認証情報とSQLインジェクションを悪用する攻撃者対策として強固なパスワードの設定とインターネット接続の遮断を推奨重要インフラを運営する組織は、Automatic Tank Gauge(ATG)システムの強化に早急に取り組み、現在進行中の攻撃から防御する必要があ

cyberscoop.com

AIが変える攻撃と防御のレース——セキュリティ業界が直面する新たな現実

Troy Westがワルシャワで夕食をとっていると、スマートフォンが鳴り響きました。しかし彼は、その割り込みを歓迎しました。 自律型攻撃的セキュリティ企業XBOWのサイバーセキュリティ担当アソシエイトディレクターであるWestは、同社プラットフォームの試用版が、mRNAワクチン関連の取り組みで知られる製薬大手Mode

cyberpress.org

自動タンク計測システムへのサイバー攻撃が米国で多発

CISA、FBI、NSAを含む米国連邦機関の連合が、自動タンク計測(ATG)システムを標的とした現在進行中のサイバー攻撃に関する緊急の合同勧告を発表しました。 ATGシステムは重要な運用技術(OT)資産であり、燃料残量・温度・漏洩検知といった貯蔵タンクのパラメータを自動かつリモートで監視する役割を担っています。 脅威

gbhackers.com

CISAが米国のタンクゲージシステムを標的にしたサイバー攻撃について警告

サイバーセキュリティ・インフラセキュリティ庁(CISA)は、FBI、NSA、エネルギー省、EPA(環境保護庁)、TSA(運輸保安庁)、運輸省、農務省(USDA)と共同で、米国各地の自動タンクゲージ(ATG)システムを狙ったサイバー攻撃が続いているとして共同警告を発しました。 ATGシステムは、エネルギー、化学、食品・