当方は忙しくない時は平日朝に、セキュリティ/AI関連の記事を巡回チェックしていますが、目についた注意喚起系の記事・情報を可能な範囲でまとめて配信します。人力&片手間でやっているので、類似記事などの重複や情報精度等々のクレームはご容赦ください。
■国内情報
Apache Tomcat の RewriteValve での処理の不備に起因するパストラバーサルの脆弱性(Scan Tech Report) | ScanNetSecurity
サポート終了の NETGEAR 製品にマニュアルにはない「TelnetEnable」機能 | ScanNetSecurity
【セキュリティ ニュース】「SandboxJS」にあらたなサンドボックス回避脆弱性 - 再度修正を実施(1ページ目 / 全1ページ):Security NEXT
ASCII.jp:エレコムの法人向け無線APに脆弱性 買い換えを推奨
エレコムのWi-Fiルーターなど15製品に複数の脆弱性、ファームウェアの更新・初期パスワード変更で対策を - INTERNET Watch
JVN#94012927: エレコム無線LAN関連製品における複数の脆弱性
Notepad++、2005年6月からアップデートが侵害 - 最新版への手動更新を推奨 | TECH+(テックプラス)
Fortinet製品にCVSS 9.8の脆弱性 約328万件のインターネット上の資産に影響:セキュリティニュースアラート - ITmedia エンタープライズ
libheif に境界外読み取りの脆弱性 | ScanNetSecurity
【セキュリティ ニュース】「vLLM」に深刻なRCE脆弱性 - 動画を扱う環境に影響(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「Raspberry Pi」向け無線LAN管理ツールに脆弱性 - 修正版が公開(1ページ目 / 全1ページ):Security NEXT
JVN#89992160: Roland Cloud ManagerのインストーラにおけるDLL読み込みに関する脆弱性
JVN#64883963: 三菱小容量UPS用シャットダウンソフトウェア FREQSHIP-mini for Windowsにおけるインストール時の不適切なファイルアクセス権設定の脆弱性
■海外情報
CISA Adds Four Known Exploited Vulnerabilities to Catalog | CISA (CISAが4つの既知の脆弱性をカタログに追加)
CVE-2019-19006 Sangoma FreePBX の不適切な認証の脆弱性
CVE-2021-39935 GitLab Community および Enterprise エディションのサーバーサイドリクエストフォージェリ (SSRF) 脆弱性
CVE-2025-40551 SolarWinds Webヘルプデスクにおける信頼できないデータのデシリアライゼーションの脆弱性
CVE-2025-64328 Sangoma FreePBX OS コマンドインジェクション脆弱性
Ivanti’s EPMM is under active attack, thanks to two critical zero-days | CyberScoop (IvantiのEPMMは、2つの重大なゼロデイ攻撃により、活発な攻撃を受けている)
Russia's APT28 Rapidly Weaponizes Newly Patched Office Vulnerability - SecurityWeek (ロシアのAPT28、新たに修正されたOfficeの脆弱性を急速に武器化)
Docker Fixes Critical Ask Gordon AI Flaw Allowing Code Execution via Image Metadata (Docker、イメージメタデータ経由でコード実行を可能にする重大なAsk Gordon AIの欠陥を修正)
Hackers Exploit Metro4Shell RCE Flaw in React Native CLI npm Package (ハッカーがReact Native CLI npmパッケージのMetro4Shell RCE脆弱性を悪用)
Critical React Native Metro dev server bug under attack • The Register (研究者が悲鳴をあげる中、React Native Metro開発サーバーの重大なバグが攻撃を受けている)
Russian hackers are exploiting recently patched Microsoft Office vulnerability (CVE-2026-21509) - Help Net Security (ロシアのハッカーが最近修正されたMicrosoft Officeの脆弱性(CVE-2026-21509)を悪用している)
CISA orders federal agencies to patch exploited SolarWinds bug by Friday | The Record from Recorded Future News (CISA、連邦政府機関に金曜日までにSolarWindsの脆弱性を悪用したパッチの修正を命じる)
JFrog Researchers Surface Vulnerabilities in AI Automation Platform from n8n - Security Boulevard (JFrogの研究者がn8nのAI自動化プラットフォームの脆弱性を明らかに)
Hackers exploit critical React Native Metro bug to breach dev systems (ハッカーがReact Native Metroの重大なバグを悪用して開発システムに侵入)
DockerDash Exposes AI Supply Chain Weakness In Docker's Ask Gordon - Infosecurity Magazine (DockerDashがDockerのAsk GordonでAIサプライチェーンの弱点を暴露)
Notepad++ Update Hijacking Linked to Hosting Provider Compromise - Infosecurity Magazine (Notepad++ アップデートのハイジャックはホスティングプロバイダーの侵害に関連している)
U.S. CISA adds SolarWinds Web Help Desk, Sangoma FreePBX, and GitLab flaws to its Known Exploited Vulnerabilities catalog (米国CISAがSolarWinds Web Help Desk、Sangoma FreePBX、GitLabの脆弱性を既知の脆弱性カタログに追加)
ASUS Kills "File Shredder" Feature to Fix Critical Flaw (ASUS、重大な欠陥を修正するため「ファイルシュレッダー」機能を廃止)
WiFi Hijack: Hikvision Patches Command Injection in DS-3WAP Access Points (WiFiハイジャック:HikvisionがDS-3WAPアクセスポイントのコマンドインジェクションを修正)
Broadcast Hijack: Critical KiloView Flaw (CVSS 9.8) Grants Full Control (ブロードキャストハイジャック:KiloViewの重大な脆弱性(CVSS 9.8)により完全な制御が可能に)
Identity at Risk: Apache Syncope Patches Critical Login XSS & XXE Flaws (アイデンティティが危険にさらされる:Apache Syncopeが重大なログインXSSとXXEの脆弱性を修正)
※平日朝に記事をチェックしている関係上、前日まで(月曜日は週末)の注意喚起情報が拾われる事が多いかと思います。速報性を求められる方は元ソースなどを参考に、この手の情報収集(RSS利用)をされる事をお勧めします。
※国内記事➡海外記事とチェックしているため、速報性を重視し、国内の注意喚起情報がまとまった時点で記事を暫定公開します。(海外記事チェックが終わりましたら、海外まとめのTBD部分を更新します)
■イエローページ(主な情報ソース)
・CISA
・FBI
本日もご来訪ありがとうございました。
Thank you for your visit. Let me know your thoughts in the comments.
更新履歴
- 2026年2月5日
