Episodes

  • #20260304 OpenClawの大量脆弱性とNocoDBの欠陥

    #20260304 OpenClawの大量脆弱性とNocoDBの欠陥
    Mar 3 2026
    ■ 今日のハイライト 今日は、特定のオープンソースプロジェクトで大量に報告された脆弱性のニュースを中心にお届けします。 ▼ OpenClawにおける多数の深刻な脆弱性 AIエージェントフレームワークのOpenClawにおいて、数十件に及ぶ脆弱性が一挙に公開されました。 (1) リモートコード実行(RCE) ゲートウェイを経由したノードの承認フローをバイパスし、任意のコードが実行される危険性があります。 (2) サンドボックス回避 Dockerネットワークの設定不備を突き、隔離された環境から抜け出す脆弱性が発見されました。 (3) パストラバーサルやSSRFなど アーカイブ展開時のディレクトリトラバーサル(Zip Slip)や、内部ネットワークへの攻撃を可能にする脆弱性が多数報告されています。対象バージョンを使用している場合は即座にアップデートが必要です。 ▼ NocoDBにおける複数のセキュリティ欠陥 ノーコードデータベースのNocoDBでも、複数の脆弱性が報告されています。 ・CVE-2026-28360:共有ビューのパスワードがデータベースに平文で保存されている問題 ・CVE-2026-28359 / CVE-2026-28357:リッチテキストや数式セルを通じた格納型XSS ・CVE-2026-28396:パスワードリセット時にリフレッシュトークンが無効化されない問題 アカウント乗っ取りやデータ改ざんにつながる致命的な問題が含まれています。 ▼ Rustパッケージのタイポスクワッティング攻撃 Rustのパッケージマネージャーであるcrates.ioにて、「tracing-check」という悪意のあるクレートが削除されました。これは人気パッケージの名前をわずかに変更して誤認させるタイポスクワッティング攻撃であり、認証情報の窃取を目的としたサプライチェーン攻撃の一種です。 詳しい脆弱性番号や影響するバージョンについては、各公式のセキュリティアドバイザリをご確認ください。 #セキュリティ #エンジニア #ITニュース #OpenClaw #NocoDB #Rust Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins
  • #20260303 認証をすり抜ける?NestJSの重大な脆弱性

    #20260303 認証をすり抜ける?NestJSの重大な脆弱性
    Mar 2 2026
    ■ 今日のハイライト おはようございます。今回は、Node.jsのエコシステムにおいて非常に人気の高いWebフレームワーク「NestJS」と「Fastify」の組み合わせで発見された、深刻なミドルウェアバイパスの脆弱性について詳しく解説します。Webアプリケーションの開発に携わるエンジニアの皆様は必聴の内容です。 ▼ CVE-2026-2293:NestJSにおけるFastifyミドルウェアバイパスの脆弱性 【概要】 GitHub Advisory Databaseにて報告されたこの脆弱性は、NestJSアプリケーションにおいてFastifyプラットフォームアダプター(@nestjs/platform-fastify)を使用している環境で発生します。Fastifyの特定のパス正規化オプションを有効にしている場合、攻撃者が認証や認可などを担うミドルウェアを不正にスキップして、アプリケーション内部にアクセスできてしまうという非常に危険なものです。 【技術的な仕組み】 NestJSは、内部のHTTPサーバーとして標準のExpressの代わりに、より高速なFastifyを選択することができます。この際に使われるのが@nestjs/platform-fastifyです。 Fastifyには、URLの末尾のスラッシュを無視する(ignoreTrailingSlash)、連続するスラッシュを1つにまとめる(ignoreDuplicateSlashes)、セミコロンを区切り文字として使う(useSemicolonDelimiter)といった、便利なパス正規化機能が備わっています。 しかし、これらのオプションが有効になっている状態で、攻撃者が特殊なURLエンコーディング(URLの文字をパーセント記号と英数字に変換する手法)を施した悪意のあるリクエストを送信すると問題が発生します。システム側でURLの解釈にズレが生じ、セキュリティチェックを行うためのミドルウェアの実行条件からは外れるものの、最終的な処理を行うコントローラーにはリクエストが届いてしまうという事態に陥ります。 【影響とリスク】 この脆弱性の最大のリスクは、認証やアクセス制御のバイパスです。本来であればログインしていないと見られないユーザー情報や、管理者しか操作できないデータの削除APIなどが、誰でも実行可能な状態になってしまう恐れがあります。また、入力値のチェックを行うミドルウェアが回避されると、不正なデータがデータベースに送り込まれ、システム全体の破壊や情報漏えいにつながる危険性もあります。 【対策方法】 (1) 修正版パッケージへのアップデート 最も確実な対策は、@nestjs/platform-fastifyを含む関連パッケージを、脆弱性が修正された最新のパッチバージョンにアップデートすることです。アップデート後には、APIの挙動に問題がないか必ずテストを行ってください。 (2) パス正規化オプションの一時的な無効化 すぐにアップデートできない場合の応急処置として、Fastifyの設定で ignoreTrailingSlash や ignoreDuplicateSlashes などのオプションを無効化(falseに設定)することが考えられます。ただし、この対応により一部の正しいアクセスがエラーになってしまう可能性があるため、十分な影響調査が必要です。 (3) WAFによる不正アクセスの遮断 前段のWAF(ウェブアプリケーションファイアウォール)で、不自然なURLエンコーディングが含まれるリクエストをブロックするルールを追加することも有効な多層防御となります。 便利な機能の裏には、思わぬセキュリティの落とし穴が潜んでいることがあります。フレームワークの設定はデフォルトに頼らず、セキュリティのリスクを考慮した上で適切に行うよう心がけましょう。 #セキュリティ #エンジニア #ITニュース #脆弱性 #NestJS #Nodejs Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • #20260302 緊急!GradioやCMSに深刻な脆弱性

    #20260302 緊急!GradioやCMSに深刻な脆弱性
    Mar 1 2026
    ■ 今日のハイライト 本日は、機械学習アプリ開発でおなじみの「Gradio」や、人気CMSの「Statamic」、Node.js環境の「Multer」などで発見された複数の重要なセキュリティニュースをお届けします。 ▼ Gradioにおける複数の脆弱性 Pythonで簡単にWebインターフェースを作れるGradioに、複数の深刻な問題が報告されました。 ・【CVE-2026-28416】SSRFの脆弱性 外部スペースを読み込む機能において、悪意のあるURLを注入されることで、サーバーを踏み台にしたリクエスト送信(SSRF)を許す可能性があります。 ・【CVE-2026-28415】オープンリダイレクトの脆弱性 OAuth連携のフローにおいて、ユーザーを意図しない外部の悪意あるサイトへ誘導される恐れがあります。 ・【CVE-2026-28414】絶対パストラバーサル(Windows/Python3.13+) Windows上でPython3.13以上を利用している場合、システム上の任意のファイルを読み取られる危険性があります。 ・【CVE-2026-27167】モックOAuthによる認証情報の漏洩 ▼ Statamic CMSの重大な脆弱性群 LaravelベースのCMSであるStatamicでは、システムの完全な侵害につながる脆弱性が発見され、バージョン5.73.11および6.4.0で修正されています。 ・【CVE-2026-28425】リモートコード実行 (RCE) ・【CVE-2026-28426】保存型クロスサイトスクリプティング (XSS) ・【CVE-2026-28423】Glide経由のSSRF ・【CVE-2026-28424】メールアドレスの情報漏洩 ▼ Node.jsミドルウェア Multerの脆弱性 ファイルアップロード処理で広く使われるMulterに、サービス拒否(DoS)につながる脆弱性が報告されています。バージョン2.1.0へのアップデートが推奨されます。 ・【CVE-2026-3304】不完全なクリーンアップによるDoS ・【CVE-2026-2359】リソース枯渇によるDoS ▼ その他の重要トピック ・【CVE-2026-28406】Kanikoにおけるパストラバーサル 各ツールのユーザーは、影響範囲の確認と最新版へのアップデートを急いでください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #Gradio #Nodejs Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • #20260301 【週まとめ】自動化ツールやAIでRCEの嵐!

    #20260301 【週まとめ】自動化ツールやAIでRCEの嵐!
    Mar 1 2026
    今週1週間(2026年2月22日〜3月1日)の重要なセキュリティニュースをまとめて解説します。ワークフロー自動化ツールやAIツールでのリモートコード実行(RCE)、有名画像処理ライブラリの大量のメモリ破損、そしてWebサーバーのルーティングバイパスなど、非常にクリティカルな脆弱性が多数報告された1週間でした。 通勤時間や作業の合間に、ぜひ今週のトレンドをキャッチアップしてください。 ■ 1. ワークフロー自動化ツール「n8n」における多数の致命的な脆弱性 今週最も衝撃的だったのは、OSSのワークフロー自動化プラットフォーム「n8n」で報告された大量の脆弱性です。 ・SandboxエスケープによるRCE(CVE-2026-27495, CVE-2026-27494, CVE-2026-27577) ・SQLインジェクションやマージノードを悪用したRCE(CVE-2026-27497, CVE-2026-27498, CVE-2026-27578) ・Webhookの署名検証不備による偽装 ワークフローの作成権限を持つユーザーが、バックエンドのサーバーを完全に掌握できる状態になっていました。各種APIクレデンシャルが集まるシステムなだけに、早急なアップデートが必要です。 ■ 2. ImageMagickにおける大量のメモリ破損脆弱性 画像処理のデファクトスタンダードである「ImageMagick」で、多数のバッファオーバーフローやメモリリークが修正されました。 ・SVGやPSDなどのデコーダーにおけるInteger OverflowやOut of Bounds Read(CVE-2026-25987, CVE-2026-25984 等) ・セキュリティポリシーのバイパス(CVE-2026-25966, CVE-2026-25965) ユーザーからの画像アップロードを受け付けているサービスは、DoS攻撃や情報漏洩のリスクが高まるため要注意です。 ■ 3. Webサーバー・フレームワークにおけるルーティングバイパスとSSRF ・Caddyのアクセス制御バイパス:ホストリストが100件を超えたり、URLにパーセントエンコードが含まれたりすると、大文字小文字の区別や正規化が狂い、意図せずアクセス制御をすり抜けられる問題(CVE-2026-27588, CVE-2026-27587)。 ・GoFiberのトラバーサルとDoS:Windows環境での任意ファイル読み取り(CVE-2026-25891)やCookieによるメモリ枯渇(CVE-2026-25899)。 ・AstroのSSRF:エラーページレンダリング時のHostヘッダーインジェクションによるSSRF(CVE-2026-25545)。 ■ 4. AI・LLM関連ツールにおけるRCEとSSRF ・LangflowのCSV AgentにおけるRCE:危険なコード実行フラグがデフォルトで有効になっており、プロンプトインジェクションでOSコマンドが実行可能(CVE-2026-27966)。 ・LangGraphとLangChain:キャッシュ機構を通じたRCE(CVE-2026-27794)や、リダイレクト追跡を悪用したSSRF(CVE-2026-27795)。 ■ 5. インフラ・データベース管理ツールの脆弱性 ・Vitess:バックアップデータの改ざんによる本番環境へのRCE(CVE-2026-27965)。 ・Apache Airflow:DAG作成権限を持つユーザーによるWebサーバーコンテキストでのRCE(CVE-2024-56373)。 自社のシステムに該当するツールがないか、ぜひ確認してみてください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #週まとめ #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    4 mins
  • 【歴史解説】世界を揺るがしたLog4Shell事件

    【歴史解説】世界を揺るがしたLog4Shell事件
    Feb 28 2026
    ■ 今日の歴史解説 今日は、2021年の年末に世界中のITエンジニアを震撼させた脆弱性「Log4Shell(ログフォーシェル)」の事件を振り返ります。 ▼ 事件の概要 2021年12月、Java言語で開発されたアプリケーションにおいて、ログを出力するための標準的なライブラリ「Apache Log4j」に、極めて重大な脆弱性(CVE-2021-44228)が発見されました。 この脆弱性の深刻度を示すCVSSスコアは、10段階中で最高水準の「10.0(緊急)」。認証をすり抜けて、攻撃者が遠隔からサーバーを乗っ取ることができる「リモートコード実行(RCE)」の脆弱性でした。 Apple、Amazon、Twitterなどの巨大IT企業も影響を受け、世界中のサーバー管理者が週末を返上して対応に追われました。 ▼ なぜ起きたのか(技術的背景) 原因は、Log4jに組み込まれていた「JNDIルックアップ」という機能にありました。これは、ログに出力されるテキストの中に特定の文字列が含まれていた場合、外部のサーバーに問い合わせて情報を取得し、ログに展開する機能です。 攻撃者は、Webサイトの入力フォームや通信ヘッダーの中に、悪意のあるサーバーへ誘導する特殊な命令文を仕込みました。 システムがそれを「単なるログの記録」として保存しようとすると、Log4jが自動的にその命令文を読み解き、攻撃者の用意したプログラムをダウンロードして実行してしまうという仕組みでした。入力欄に文字列を打ち込むだけで攻撃が成立する、非常に恐ろしい仕様の穴でした。 ▼ 企業への影響と混乱 この事件が厄介だったのは「間接的な依存関係」です。 自分たちで直接Log4jをインストールした覚えがなくても、自社で使っている別のソフトウェアやライブラリが、その裏側で密かにLog4jを使っているケースが多発しました。 そのため、「自社のシステムに脆弱性が潜んでいるかどうかの調査」自体が極めて困難を極めたのです。 ▼ 今のエンジニアが学ぶべき教訓 この歴史的インシデントから、私たちが今の業務に活かせる教訓は以下の3つです。 (1) ソフトウェア部品表(SBOM)の導入 自分たちが開発・運用しているシステムが、どのような外部ライブラリの組み合わせでできているのかを一覧化し、常に把握しておくことが重要です。いざという時の初動スピードが全く変わります。 (2) 外部入力値の無条件な信頼をしない ユーザーが入力したテキストや通信データをそのままログに出力する行為にはリスクが伴います。入力されたデータを評価・実行しないような安全な設定や無害化が必要です。 (3) アウトバウンド通信の制限(多層防御) サーバーが外部のインターネットへ勝手に通信できないようにネットワーク側で制限をかけておけば、今回のように外部から不正なプログラムをダウンロードさせられる被害を防ぐことができました。アプリケーション内部だけでなく、インフラ層も含めた防御が重要です。 #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • 【歴史解説】愛の告白が世界を破壊?ILOVEYOU事件

    【歴史解説】愛の告白が世界を破壊?ILOVEYOU事件
    Feb 28 2026
    ■ 今日の歴史解説 今日は、2000年に世界中をパニックに陥れた「ILOVEYOU ウイルス」を振り返ります。技術的には単純な仕組みでありながら、なぜこれほど被害が拡大したのか?そこには現代にも通じる重要な教訓があります。 ▼ 何が起きた? ・2000年5月、フィリピン発のメールワームが発生 ・件名「ILOVEYOU」、添付ファイルを開くと感染 ・Outlookのアドレス帳にある全員へ自動拡散 ・被害総額は数十億ドル、CIAや国防総省もメール遮断 ▼ 技術的なポイント (1) VBScript (ブイビースクリプト) の悪用 Windows標準のスクリプト機能を使い、ファイル破壊やメール送信を実行しました。 (2) 拡張子の偽装トリック 「.txt.vbs」という二重拡張子を使用。当時のWindows設定では末尾の「.vbs」が隠れ、ただのテキストファイルに見える罠が仕掛けられていました。 (3) ソーシャルエンジニアリング 「愛の告白」という件名で人の心を揺さぶり、クリックさせる心理的な攻撃手法が使われました。 ▼ エンジニアへの教訓 ・「拡張子を表示しない」デフォルト設定の危険性 ・不要なスクリプト実行環境は無効化する(最小特権) ・「人はミスをする」前提でのシステム設計(EDR等の導入) 歴史を知ることは、未来の防御につながります。今日の業務でも、不審なファイルやデフォルト設定には気をつけましょう! #セキュリティ #歴史に学ぶ #インシデント #教訓 #エンジニア --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    3 mins
  • #20260228 VitessのRCEとn8nの認証回避

    #20260228 VitessのRCEとn8nの認証回避
    Feb 28 2026
    ■ 今日のハイライト 2026年2月28日、土曜日のセキュリティニュースです。 データベース、自動化ツール、Webフレームワークと幅広い分野で脆弱性が報告されています。 ▼ Vitess:バックアップ改ざんによるRCE ・識別子:CVE-2026-27965 ・概要:バックアップストレージへのアクセス権を持つユーザーが、マニフェストを操作してリストア時に任意コード実行が可能になる脆弱性。 ▼ n8n:Webhook偽造と認証バイパス ・Zendesk/GitHub Triggerでの署名検証不備 ・Chat Triggerでの認証回避 ・SSO強制設定のバイパス ※複数のCVEが報告されており、最新版への更新が推奨されます。 ▼ Webフレームワークの脆弱性 (1) Koa (CVE-2026-27959) ・Hostヘッダーインジェクションの脆弱性。 (2) Svelte (CVE-2026-27901, 27902) ・SSR時におけるXSS脆弱性。 ▼ その他のトピック ・Kubernetes Sealed Secretsのスコープ拡大問題 ・Fleet(MDM)におけるGoogleカレンダー認証情報の露出 #セキュリティ #エンジニア #ITニュース #脆弱性 Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins
  • #20260227 Parse Server乗っ取り危機とAIライブラリの脆弱性

    #20260227 Parse Server乗っ取り危機とAIライブラリの脆弱性
    Feb 26 2026
    ■ 今日のハイライト 本日は、認証基盤やAI開発ライブラリに関する緊急性の高いセキュリティニュースをお届けします。 ▼ CVE-2026-27804:Parse Serverのアカウント乗っ取り Google認証を利用しているParse Server環境において、JWTのアルゴリズム混同攻撃により、認証なしで任意のユーザーになりすまし可能な脆弱性が発覚しました。 ・影響:Google認証を有効にしている全環境 ・対策:パッチ適用済みバージョンへの更新 ▼ CVE-2026-27795 / 27794:LangChainエコシステムの脆弱性 AI開発で人気のLangChainおよびLangGraphに脆弱性です。 (1) LangChain Community:リダイレクト処理を悪用したSSRFにより、内部ネットワークへのアクセスが可能。 (2) LangGraph:キャッシュ処理におけるデシリアライズ不備により、リモートコード実行(RCE)のリスク。 ▼ n8nにおける複数のRCE脆弱性 ワークフロー自動化ツールn8nにて、サンドボックス回避によるコード実行の脆弱性が複数報告されています(CVE-2026-27577等)。権限を持つユーザーが悪意のあるワークフローを作成することでサーバーの制御を奪われる可能性があります。 #セキュリティ #エンジニア #ITニュース #ParseServer #LangChain #n8n Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
    Show More Show Less
    2 mins