#20260305 OpenClaw大量修正とCraftCMS等のRCE解説

Impossible d'ajouter des articles

Désolé, nous ne sommes pas en mesure d'ajouter l'article car votre panier est déjà plein.

Veuillez réessayer plus tard

Échec de l’élimination de la liste d'envies.

Veuillez réessayer plus tard

Impossible de suivre le podcast

Impossible de ne plus suivre le podcast

#20260305 OpenClaw大量修正とCraftCMS等のRCE解説

Écouter gratuitement

Voir les détails

À propos de ce contenu audio

■ 今日のハイライト今日は非常にインパクトの大きいセキュリティニュースをお届けします。NPMパッケージの大規模な修正ラッシュから、著名CMSのリモートコード実行、そしてクラウド環境でのクレデンシャル漏洩まで、幅広く解説します。 ▼ 1. OpenClawの歴史的な大量パッチリリースオープンソースのAIエージェントフレームワークなどに関連するNPMパッケージ「OpenClaw」において、100件近い脆弱性が一挙に公開・修正されました。・影響範囲：サンドボックスのバイパス、各種プラグイン（Discord、Telegram等）での認証回避、シェルラッパーの引数解釈の不備によるコマンドインジェクションなど。・特筆すべき点として、エンコードされたパス（..%2fなど）によるAPIのアクセス制御回避や、Windowsのタスクスケジューラ生成時のエスケープ漏れなど、あらゆるレイヤーで致命的なバグが発見されています。利用している方は必ず最新版へのアップデートを行ってください。 ▼ 2. Craft CMSとGhostにおける深刻なリモートコード実行 Webサイト構築基盤として人気の高い2つのCMSで、任意のコードが実行されてしまう深刻な脆弱性が報告されました。・Craft CMS（CVE-2026-28695 / CVE-2026-28784）：Twigテンプレートエンジンを悪用したサーバーサイドテンプレートインジェクション（SSTI）の脆弱性です。特にCVE-2026-28695は過去のパッチを回避する新たな手法で、特定の関数とガジェットチェーンを組み合わせることでRCEが可能になります。・Ghost：悪意のあるテーマをインストールすることで、サーバー上で任意のコードが実行される問題が修正されました。 ▼ 3. Rancher Backup OperatorからのS3トークン漏洩・CVE-2025-62879：Kubernetes環境で利用されるバックアップツールにおいて、S3バケットへのアクセスキーとシークレットキーが、ポッドの標準ログにそのまま出力されてしまう脆弱性です。ログを外部システムに転送している場合は、すでに認証情報が広範囲に漏洩している可能性があるため、直ちにキーのローテーションが必要です。 ▼ 4. 機械学習系ライブラリBentoMLの脆弱性・CVE-2026-27905：機械学習モデルのパッケージングツールであるBentoMLにおいて、Tarファイルの展開時にシンボリックリンクのリンク先を適切に検証していないパストラバーサルの脆弱性が発見されました。これにより、システム上の任意の場所にファイルを上書きされる危険性があります。【重要な対策】今回紹介した脆弱性は、システムを完全に掌握されたり、機密情報がごっそり抜けたりする深刻なものばかりです。該当するシステムをご利用の場合は、公式のアドバイザリを確認し、速やかにアップデートを実施してください。 #セキュリティ #エンジニア #ITニュース #脆弱性 #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793

Aucun commentaire pour le moment