「人間が設計したMCPの脆弱性によりRCEが可能になり、AIサプライチェーンが脅かされる 」: #TheHackerNews
「サイバーセキュリティ研究者らは、モデルコンテキストプロトコル( MCP )のアーキテクチャに、設計上の重大な脆弱性を発見した。この脆弱性は、リモートコード実行への道を開き、人工知能(AI)サプライチェーンに連鎖的な影響を与える可能性がある。
「この脆弱性により、脆弱なMCP実装を実行しているシステム上で任意のコマンド実行(RCE)が可能になり、攻撃者は機密性の高いユーザーデータ、内部データベース、APIキー、チャット履歴に直接アクセスできるようになります」と、OX Securityの研究者であるMoshe Siman Tov Bustan、Mustafa Naamnih、Nir Zadok、Roni Barは 先週公開された分析で 述べています。 」
https://thehackernews.com/2026/04/anthropic-mcp-design-vulnerability.html
「Microsoft Defenderのゼロデイ脆弱性3件が実際に悪用される。うち2件は未修正。 」: #TheHackerNews
「Huntressは 、攻撃者がMicrosoft Defenderの最近明らかになった3つのセキュリティ上の欠陥を悪用し、侵害されたシステムで特権昇格を取得していると 警告している。
この活動は 、 BlueHammer (GitHubへのサインインが必要)、 RedSun 、 UnDefend というコードネームの3つの脆弱性を悪用する ものであり 、これらはすべて、Microsoftの脆弱性開示プロセスの対応に反発して、Chaotic Eclipse(別名Nightmare-Eclipse)として知られる研究者によってゼロデイ脆弱性として公開されたものです。 」
https://thehackernews.com/2026/04/three-microsoft-defender-zero-days.html
「「オペレーション・パワーオフ」により、53のDDoSドメインが押収され、300万件の犯罪アカウントが暴露された。 」: #TheHackerNews
「国際的な法執行機関による作戦により、7万5000人以上のサイバー犯罪者が利用していた商用分散型サービス拒否(DDoS)攻撃に関連して、53のドメインが閉鎖され、4人が逮捕された。
「オペレーション・パワーオフ」 と名付けられた作戦は、 DDoS攻撃代行サービスへのアクセスを遮断し、それを支える技術インフラを破壊し、300万件以上の犯罪ユーザーアカウントを含むデータベースへのアクセス権を獲得した。当局は特定された犯罪ユーザーに対し警告メールや警告状を送付し、25件の捜索令状が発行されている。
この活動には、オーストラリア、オーストリア、ベルギー、ブラジル、ブルガリア、デンマーク、エストニア、フィンランド、ドイツ、日本、ラトビア、リトアニア、ルクセンブルク、オランダ、ポーランド、ポルトガル、スウェーデン、タイ、イギリス、アメリカ合衆国の計21か国。 」
https://thehackernews.com/2026/04/operation-poweroff-seizes-53-ddos.html
「NIST、脆弱性報告件数が263%急増したことを受け、CVEの拡充を制限 」: #TheHackerNews
「米国国立標準技術研究所(NIST)は、国家脆弱性データベース(NVD)に掲載されているサイバーセキュリティの脆弱性および暴露(CVE)の取り扱い方法を変更すると発表した。CVEの提出件数が急増しているため、特定の条件を満たすもののみをデータベースに追加していくとしている。
「これらの基準を満たさないCVEは引き続きNVDに掲載されますが、 NISTによる 情報拡充は自動的に行われません」と NISTは述べています 。「この変更は、2020年から2025年の間に263%増加したCVEの提出件数の急増によるものです。この傾向は当分収まる見込みはありません。」 」
https://thehackernews.com/2026/04/nist-limits-cve-enrichment-after-263.html
「Ciscoが4つの重要なIDサービスとWebexの脆弱性を修正し、コード実行を可能にした。 」: #TheHackerNews
「シスコは、Identity ServicesとWebex Servicesに影響を与える4つの重大なセキュリティ上の脆弱性に対処するためのパッチを発表しました。
脆弱性の詳細は以下のとおりです。
CVE-2026-20184 (CVSS スコア: 9.8) - Webex Services の Control Hub とのシングル サインオン (SSO) の統合における証明書検証の不備により、認証されていないリモート攻撃者がサービス内の任意のユーザーになりすまし、正規の Cisco Webex サービスへの不正アクセスを取得できる可能性があります。
CVE-2026-20147 (CVSS スコア: 9.9)
CVE-2026-20180 および CVE-2026-20186 (CVSS スコア: 9.9) 」
https://thehackernews.com/2026/04/cisco-patches-four-critical-identity.html
「nginx-uiの脆弱性(CVE-2026-33032)が悪用され、Nginxサーバーの完全な乗っ取りが可能になる。 」: #TheHackerNews
「オープンソースのウェブベースNginx管理ツールであるnginx-uiに影響を与える、最近明らかになった重大なセキュリティ上の欠陥が、実際に悪用されている。
問題となっている脆弱性はCVE-2026-33032(CVSSスコア:9.8)で、認証バイパスの脆弱性であり、攻撃者がNginxサービスを乗っ取ることを可能にするものです。Pluto Security社はこの脆弱性を MCPwn と名付けています。 」
https://thehackernews.com/2026/04/critical-nginx-ui-vulnerability-cve.html
「n8nのWebhookが2025年10月以降、フィッシングメールを介してマルウェアを配信するために悪用されている。 」: #TheHackerNews
「攻撃者が、人気の高い人工知能(AI)ワークフロー自動化プラットフォームであるn8n を悪用し 、高度なフィッシングキャンペーンを助長したり、自動メールを送信することで悪意のあるペイロードや指紋認証デバイスを配布したりしていることが確認されている。
「これらの攻撃者は、信頼できるインフラストラクチャを活用することで、従来のセキュリティフィルターを回避し、生産性向上ツールを永続的なリモートアクセスを実現するための手段として利用している」と、シスコ・タロスの研究者であるショーン・ギャラガー氏とオミッド・ミルザエイ氏 は、本日公開された分析の中で 述べている。 」
https://thehackernews.com/2026/04/n8n-webhooks-abused-since-october-2025.html
「PHP Composerの新たな脆弱性により、任意のコマンド実行が可能に ― パッチがリリース 」: #TheHackerNews
「PHPのパッケージマネージャーであるComposerに、 2つの重大なセキュリティ脆弱性が発見された。 これらの脆弱性が悪用されると、任意のコマンドが実行される可能性がある。
これらの脆弱性は、Perforce VCS(バージョン管理ソフトウェア)ドライバに影響を与えるコマンドインジェクションの欠陥として説明されています。2つの欠陥の詳細は以下のとおりです。
CVE-2026-40176 (CVSS スコア: 7.8)
CVE-2026-40261 (CVSS スコア: 8.8)
いずれの場合も、Perforce VCSがインストールされていなくても、Composerはこれらの注入されたコマンドを実行すると、メンテナーは勧告の中で指摘している。 」
https://thehackernews.com/2026/04/new-php-composer-flaws-enable-arbitrary.html
「108個の悪質なChrome拡張機能がGoogleとTelegramのデータを盗み、2万人のユーザーに影響 」: #TheHackerNews
「サイバーセキュリティ研究者らは、108個のGoogle Chrome拡張機能のグループが同一のコマンド&コントロール(C2)インフラストラクチャと通信し、ユーザーデータを収集するとともに、アクセスしたすべてのウェブページに広告や任意のJavaScriptコードを挿入することでブラウザレベルの悪用を可能にするという新たな攻撃キャンペーンを発見した。
Socketによると、これらの拡張機能はYana Project、GameGen、SideGames、Rodeo Games、InterAltという5つの異なるパブリッシャー名義で公開されており、Chromeウェブストアで合計約2万件のインストール数を記録している。 」
https://thehackernews.com/2026/04/108-malicious-chrome-extensions-steal.html
「ShowDocのRCE脆弱性CVE-2025-0520が、パッチ未適用サーバーで積極的に悪用されている。 」: #TheHackerNews
「中国で人気の文書管理・コラボレーションサービスであるShowDoc に影響を与える重大なセキュリティ脆弱性が 、実際に悪用されていることが明らかになった。
問題となっている脆弱性は CVE-2025-0520 (別名CNVD-2020-26585)で、CVSSスコアは10点満点中9.4点です。
これは、ファイル拡張子の検証が不適切であることに起因する、ファイルアップロードの制限がないことに関する事例であり、攻撃者が任意のPHPファイルをアップロードしてリモートコード実行を可能にするものです。 」
https://thehackernews.com/2026/04/showdoc-rce-flaw-cve-2025-0520-actively.html
ottoto
