Vulnerability– category –
-
【DevSecOps】Trivy 関連サプライチェーン攻撃 | Axios 侵害と RAT 隠蔽の脅威
はじめに 2026 年 3 月に発生したコンテナスキャナ Trivy の侵害は、単一のツールへの攻撃に留まらず、広範なエコシステムを揺るがす二次、三次被害へと発展しています。 今回、世界で週に 8,300 万回以上ダウンロードされる主要な HTTP クライアントライ... -
【Cisco】IMC および SSM 脆弱性(CVSS 9.8)の影響確認と対応戦略
はじめに エンタープライズネットワークやデータセンターの基盤を支える Cisco(シスコ)製品において、CVSS スコア 9.8 を記録する極めて深刻な脆弱性が複数公開されました。 標的となっているのは、サーバーのハードウェアレベルでの統合管理を担う Cisc... -
【Citrix】NetScaler 脆弱性(CVE-2026-3055)の脅威と実践的対策
はじめに エンタープライズ環境で広く利用されている Citrix NetScaler ADC および NetScaler Gateway において、CVSS スコア 9.3 を記録する極めて深刻な脆弱性(CVE-2026-3055)が公開されました。 すでに攻撃者による探索活動(Reconnaissance)が観測... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | Telnyx 侵害と WAV 隠蔽の脅威
はじめに 2026 年 3 月に発覚した Trivy 開発環境の侵害に端を発する大規模なサプライチェーン攻撃は、NPM エコシステムや Python パッケージへと連鎖的に被害を拡大させています。 今回、脅威アクターである TeamPCP は、新たに Python の Telnyx パッケ... -
【BIG-IP】APM 脆弱性(CVE-2025-53521)の脅威と実運用での対策・侵害確認
はじめに エンタープライズネットワークの境界防御やリモートアクセス基盤として広く導入されている F5 の BIG-IP APM(Access Policy Manager)において、極めて深刻なリモートコード実行(RCE)の脆弱性(CVE-2025-53521)が確認されました。 本脆弱性は... -
【LangChain】複数脆弱性の脅威と CI/CD 環境における実践的対策
はじめに 大規模言語モデル(LLM)を活用したアプリケーション開発において、LangChain や LangGraph は事実上の標準フレームワークとして広く利用されています。 しかし、これらのコンポーネントに深刻な脆弱性が発見され、システムの基盤となるファイル... -
【DevSecOps】Trivy 侵害から学ぶ大規模サプライチェーン攻撃の全容と CI/CD 防衛策
はじめに 2026 年 3 月、オープンソースのコンテナセキュリティスキャナである Trivy の開発環境が侵害され、悪意のあるコードが混入されたバージョンが配布されるという重大なサプライチェーン攻撃(CVE-2026-33634)が発生しました。 最近、npm パッケー... -
【Node.js】深刻な DoS 脆弱性(2026年3月)の影響と安全なアップデート手順
はじめに 2026 年 3 月 24 日、Node.js プロジェクトは複数のセキュリティ脆弱性を修正するための重要なアップデートを公開しました。 今回のリリースには、プロセスをクラッシュさせてシステムを停止に追い込む 2 件の深刻な DoS(サービス拒否)脆弱性が... -
【Langflow】深刻な RCE 脆弱性(CVE-2026-33017)の脅威とパッチ適用手順
はじめに AI エージェントや RAG(検索拡張生成)パイプラインの構築に広く利用されているオープンソースフレームワークの Langflow において、深刻なリモートコード実行(RCE)の脆弱性(CVE-2026-33017)が公開されました。 この脆弱性は認証を必要とせ... -
【DevSecOps】Trivy 関連サプライチェーン攻撃 | litellm バックドアの脅威と対策
はじめに 本記事は、脆弱性スキャナー「Trivy」の公式ツール侵害から連鎖的に発生しているサプライチェーン攻撃に関する第 4 弾の解説記事です。これまでの事件の推移については、以下の関連記事をご参照ください。 GitHub Actions、npm、Docker Hub、Kube...
12