タグ: Webセキュリティ

helpnetsecurity.com

Microsoftのオープンソースライブラリ「AntiSSRF」——SSRFリスクをブロック

AntiSSRFは、Webアプリケーションにおけるサーバーサイドリクエストフォージェリ(SSRF)のリスクを低減するため、URLとネットワーク接続を検証するMicrosoftのオープンソースコードライブラリです。.NETおよびNode.jsアプリケーションに対応しており、MITライセンスのもとで配布さ

meterpreter.org

暗号技術のパラダイムシフト:GoogleがDevice Bound Session Credentialsを正式リリース

Googleはかねてより、ハードウェアに紐づけられた高度な認証セキュリティフレームワークのテストを進めてきました。そしてこのたび、同アーキテクチャが「Device Bound Session Credentials(DBSC)」として正式にリリースされました。ただし、本機能を有効化するには、各ウェブサービスの管理者が

techradar.com

ITプロの82%が過去1年間にWebベースのセキュリティインシデントを経験 – BYOD、SaaSツール、リモートワークポリシーがすべて…

NordLayerのWebベース脅威レポート2026では、自信と現実のギャップが明らかになった:73%の企業が準備できていると感じているにもかかわらず、82%がブラウザベースの攻撃を受けていたマルウェアは昨年、180万件の認証情報と688億件のクッキーを収集しており、SaaSへの依存度が高まる中、盗まれたロ

bleepingcomputer.com

Ghost CMS SQL インジェクション脆弱性が大規模ClickFixキャンペーンで悪用される

大規模なキャンペーンがGhost CMSの重大なSQLインジェクション脆弱性(CVE-2026-26980)を悪用して、ClickFix攻撃フローをトリガーする悪意のあるJavaScriptコードを注入しています。 このキャンペーンは中国のサイバーセキュリティ企業Qianxinの脅威インテリジェンス研究グループX

securityweek.com

開示直後にハッカーの標的になったDrupal脆弱性

Drupalは、今週パッチが適用された重大な脆弱性CVE-2026-9082を悪用する試みがすでに見られていることを警告しています。 この脆弱性は、データベースクエリがサニタイズされてSQLインジェクションを防ぐように設計されたAPIに影響します。 「このAPIの脆弱性により、攻撃者は特別に細工されたリクエストを送信

bleepingcomputer.com

Drupalの重大なアップデート – 悪用リスクが高いバグを修正

Drupalは本日中に予定されている「コアセキュリティリリース」を発表し、脅威アクターがアップデート公開後数時間以内にエクスプロイトを開発する可能性があると警告しています。 管理者は5月20日の17:00~21:00 UTC間にコアアップデートの時間を確保することが推奨されています。バージョン8または9を実行してい

securityweek.com

Drupalが高度に重大な脆弱性にパッチを適用 – 迅速な悪用のリスク

Drupalはユーザーに警告しており、脅威アクターが開示直後に悪用する可能性のある「高度に重大な」脆弱性に対するパッチを準備していると述べています。 今週投稿された通知で、数百万のウェブサイトを支えるオープンソースコンテンツ管理システム(CMS)の開発者は、5月20日にUTC 17:00〜21:00の間にすべてのサポ

helpnetsecurity.com

iProov、動画会議に本人確認機能を導入し、詐欺リスクを軽減

iProovは、ユーザー体験に支障をきたさずに動画通話の参加者の身元を検証できる新しいソリューション「iProov Verified Meetings」を開始しました。 動画会議は信頼性の高いスケーラブルな通信チャネルになっていますが、攻撃者はAIが生成したディープフェイクおよびインジェクション攻撃を

meterpreter.org

包囲下:Burst Statisticsプラグインの重大な認証回避フロー、115,000以上のWordPressサイトをリスクにさらす

WordPressウェブサイトは、人気のある拡張機能の重大な欠陥により、再び包囲に陥りました。今回、攻撃者はBurst Statistics(約200,000のウェブリソースに展開されているアナリティクスプラグイン)を標的にしました。この脆弱性により、事前の認証なしに管理者権限を取得することが可能になります。つまり、