SSRF脆弱性 – TokyoBlackHatNews

gbhackers.com 2026年5月27日 19:12

GitHub Enterprise Server 3.20.3が重大なセキュリティ上の欠陥に対処

GitHubはEnterprise Server（GHES）バージョン3.20.3をリリースし、攻撃者が内部サービスへのアクセス、権限昇格、機密データの抽出を可能にする複数の重大・高深刻度の脆弱性に対処しました。 2026年5月26日に公開されたこのアップデートでは、管理者がパッチを適用する前に暗号署名キーをローテー

meterpreter.org 2026年5月18日 16:09

オープンプロキシリスク：高度な重大度のNext.js SSRFの欠陥がクラウドメタデータエンドポイントを露出

開発フレームワークのNext.jsは、重大なセキュリティ脆弱性（CVE-2026-44578として指定）を修復しました。この脆弱性は、組み込みNode.jsサーバーランタイムを使用する自己ホスト型インフラストラクチャに展開されたアプリケーションに影響します。この欠陥は、Server-Side Request Forg

cyberpress.org 2026年4月28日 17:51

ClickUp ハードコードされたAPI キーが Fortune 500 企業の959メールアドレスを公開

広く使用されている生産性とプロジェクト管理プラットフォームの ClickUp は、ハードコードされたAPI キーが大規模企業と政府機関に関連する機密データを公開した後、深刻なセキュリティ上の懸念に直面しています。 @weezerOSINT として知られるセキュリティ研究者は、ClickUp が Split.io SD

cyberpress.org 2026年4月23日 18:28

LMDeploy の新しい脆弱性、公開通告からわずか12時間後に悪用される

LMDeployの新しいサーバー側リクエスト偽造（SSRF）脆弱性（CVE-2026-33626として追跡）は、公開GitHubアドバイザリが公開されてからわずか12時間31分後に、実際の攻撃で悪用されました。 LMDeployは上海AI実験室のInternLMプロジェクトによって開発されたツールキットで、OpenA

gbhackers.com 2026年4月23日 18:16

攻撃者がアドバイザリ発表から12時間以内にLMDeploy脆弱性を実際に悪用

LMDeployのビジョン言語モジュール内の重大なサーバーサイドリクエストフォージェリ（SSRF）脆弱性が、公開後わずか12時間31分でアクティブな攻撃に悪用され、概念実証コードの必要がありませんでした。 2026年4月21日、GitHubはセキュリティアドバイザリGHSA-6w67-hwm5-92mqを公表し、後に

sysdig.com 2026年4月23日 02:19

CVE-2026-33626: 攻撃者が12時間でLMDeployLLM推論エンジンを悪用した方法

Sysdigの脅威研究チーム2026年4月21日、GitHubはGHSA-6w67-hwm5-92mqを公開し、その後CVE-2026-33626が割り当てられました。これはLMDeployのサーバー側リクエストフォージェリ（SSRF）脆弱性です。LMDeployは、上海AI研究所InternLMが開発したビジョン言語

cyberpress.org 2026年4月13日 16:18

新しいStorm-2755キャンペーンがセッションハイジャックで給料をリダイレクト

米国の大学に焦点を当てたStorm-2657などの以前の給与詐欺クラスターとは異なり、このキャンペーンは明確にカナダを対象としています。業界を問わず、従業員がフィッシングフローに誘い込まれる可能性のある組織を対象としています。この作戦は、SEO汚染と悪意のある広告から始まります。攻撃者が管理するドメインbluegr

cyberpress.org 2026年2月17日 17:35

LangChain コミュニティの脆弱性がSSRFバイパスを許可し、内部インフラストラクチャへのアクセスが可能に

LangChainの開発チームは、@langchain/communityパッケ...