<?xml version="1.0" encoding="UTF-8"?>
<rss version="2.0" xmlns:atom="http://www.w3.org/2005/Atom">
<channel>
  <title>脆弱性対応ウォッチ</title>
  <link>https://cve.autoarticles.net/</link>
  <atom:link href="https://cve.autoarticles.net/feed.xml" rel="self" type="application/rss+xml"/>
  <description>AWS・GCP・Azure・Linux での対応状況を毎日整理。CISA KEV / NVD をもとに、実際に悪用が確認された重大(High)・クリティカル(Critical)脆弱性のパッチ・回避策・代替構成を日本語でまとめる非公式ウォッチサイト。</description>
  <language>ja</language>
  <lastBuildDate>Wed, 08 Jul 2026 21:00:00 GMT</lastBuildDate>
  <item>
    <title>CVE-2026-48282 Adobe ColdFusion パストラバーサル（任意コード実行）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-48282</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-48282</guid>
    <pubDate>Tue, 07 Jul 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 10.0</category>
    <description>Adobe ColdFusion（2025.9・2023.20 以前）に存在するパストラバーサルの脆弱性。認証不要・ユーザー操作不要でリモートから悪用可能で、現在のユーザー権限で任意コード実行に至る恐れがある。CISA KEV に登録され、実際に悪用が確認されている。</description>
  </item>
  <item>
    <title>CVE-2026-48558 SimpleHelp 認証バイパス（OIDC 署名未検証）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-48558</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-48558</guid>
    <pubDate>Mon, 29 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 10.0</category>
    <description>SimpleHelp（5.5.15 以前、および 6.0 プレリリース）の OIDC 認証フローで、IDトークンの暗号署名を検証せずに受理する認証バイパスの脆弱性。リモートの未認証攻撃者が認証済みセッションを取得できる。修正版は 5.5.16 以降 / 6.0 RC2 以降。</description>
  </item>
  <item>
    <title>CVE-2026-34910 Ubiquiti UniFi OS コマンドインジェクション</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-34910</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-34910</guid>
    <pubDate>Tue, 23 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 10.0</category>
    <description>Ubiquiti UniFi OS の不適切な入力検証によるコマンドインジェクションの脆弱性。ネットワークアクセスを持つ攻撃者がコマンド実行に至る恐れ。修正版は UniFi OS Server 5.0.8、多くの機器で 5.1.12（機器により 5.1.10/5.1.11）以降。</description>
  </item>
  <item>
    <title>CVE-2026-34909 Ubiquiti UniFi OS パストラバーサル</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-34909</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-34909</guid>
    <pubDate>Tue, 23 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 10.0</category>
    <description>Ubiquiti UniFi OS のパストラバーサルの脆弱性。ネットワークアクセスを持つ攻撃者が本来アクセスできないファイルにアクセス・操作できる恐れ。修正版は UniFi OS Server 5.0.8、Express 4.0.14、UDM 系 5.1.12 等。</description>
  </item>
  <item>
    <title>CVE-2026-10520 Ivanti Sentry OS コマンドインジェクション（root RCE）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-10520</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-10520</guid>
    <pubDate>Thu, 11 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 10.0</category>
    <description>Ivanti Sentry の OS コマンドインジェクションの脆弱性。リモートの未認証攻撃者が root 権限で任意コード実行（RCE）に至る。実際に悪用が確認されている。修正版は R10.5.2 / R10.6.2 / R10.7.1。</description>
  </item>
  <item>
    <title>CVE-2026-12569 PTC Windchill / FlexPLM 不適切な入力検証（未認証 RCE）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-12569</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-12569</guid>
    <pubDate>Thu, 25 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 9.8</category>
    <description>PTC Windchill PDMlink および FlexPLM の信頼できないデータのデシリアライズに起因する脆弱性。未認証のリモート攻撃者が悪意あるリクエストで任意コード実行に至る。複数バージョンが影響を受ける。</description>
  </item>
  <item>
    <title>CVE-2025-67038 Lantronix EDS5000 コマンドインジェクション（root）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2025-67038</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2025-67038</guid>
    <pubDate>Tue, 23 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 9.8</category>
    <description>Lantronix EDS5000（ファームウェア 2.1.0.0R3、EDS5008/5016/5032）の username パラメータがサニタイズなしでコマンドに連結され、root 権限でのコマンドインジェクションを許す脆弱性。デバイスサーバ（シリアル-Ethernet 変換機）であり、修正ファームウェアは Lantronix 公式で要確認。</description>
  </item>
  <item>
    <title>CVE-2026-20253 Splunk Enterprise 認証欠如（任意ファイル作成／切り詰め）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-20253</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-20253</guid>
    <pubDate>Thu, 18 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 9.8</category>
    <description>Splunk Enterprise の PostgreSQL サイドカーサービスエンドポイントの認証欠如により、未認証ユーザーが任意ファイルの作成・切り詰めを行える脆弱性。修正版は 10.2.4 以降 / 10.0.7 以降（9.4 系以前は非該当）。</description>
  </item>
  <item>
    <title>CVE-2026-35273 Oracle PeopleSoft PeopleTools 認証欠如（システム乗っ取り）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-35273</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-35273</guid>
    <pubDate>Fri, 12 Jun 2026 00:00:00 GMT</pubDate>
    <category>Critical / CVSS 9.8</category>
    <description>Oracle PeopleSoft Enterprise PeopleTools（8.61・8.62）の Updates Environment Management コンポーネントにおける重要機能の認証欠如。未認証攻撃者が HTTP 経由でシステムを完全に乗っ取れる。ランサムウェアキャンペーンでの悪用が確認されている。</description>
  </item>
  <item>
    <title>CVE-2026-45659 Microsoft SharePoint Server デシリアライズ（認証済み RCE）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-45659</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-45659</guid>
    <pubDate>Wed, 01 Jul 2026 00:00:00 GMT</pubDate>
    <category>High / CVSS 8.8</category>
    <description>Microsoft SharePoint Server（オンプレ）の信頼できないデータのデシリアライズの脆弱性。認証済み攻撃者がネットワーク経由でコード実行に至る。修正版は SharePoint Enterprise 2016 が 16.0.5552.1002 以降、2019 が 16.0.10417.20128 以降、Subscription Edition が 16.0.19725.20280 以降。</description>
  </item>
  <item>
    <title>CVE-2026-11645 Google Chrome / Chromium V8 境界外読み書き（ゼロデイ）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-11645</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-11645</guid>
    <pubDate>Tue, 09 Jun 2026 00:00:00 GMT</pubDate>
    <category>High / CVSS 8.8</category>
    <description>Google Chrome の V8 エンジンにおける境界外読み書きの脆弱性。細工した HTML ページによりサンドボックス内で任意コード実行に至る。実際に悪用が確認されたゼロデイ。修正版は Chrome 149.0.7827.103（Linux 版は 149.0.7827.102）。</description>
  </item>
  <item>
    <title>CVE-2026-20230 Cisco Unified Communications Manager SSRF</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-20230</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-20230</guid>
    <pubDate>Thu, 25 Jun 2026 00:00:00 GMT</pubDate>
    <category>High / CVSS 8.6</category>
    <description>Cisco Unified Communications Manager（14〜15SU4a、SME 含む）の HTTP リクエスト処理における SSRF の脆弱性。未認証のリモート攻撃者が基盤 OS へファイルを書き込める恐れ。WebDialer はデフォルト無効で、有効化している場合に悪用可能。修正は 14SU6 以降が示唆される。</description>
  </item>
  <item>
    <title>CVE-2026-55255 Langflow 認可バイパス（IDOR による他ユーザー Flow 実行）</title>
    <link>https://cve.autoarticles.net/cve/CVE-2026-55255</link>
    <guid isPermaLink="true">https://cve.autoarticles.net/cve/CVE-2026-55255</guid>
    <pubDate>Tue, 07 Jul 2026 00:00:00 GMT</pubDate>
    <category>High / CVSS 8.4</category>
    <description>Langflow（1.9.1 未満）の /api/v1/responses エンドポイントにおける IDOR。認証済み攻撃者が flow ID を指定して他ユーザーの Flow を実行できる。修正版は 1.9.1（後の改訂で 1.9.2）。</description>
  </item>
</channel>
</rss>