『#20260315 【週まとめ】AI・インフラの重大リスク』のカバーアート

#20260315 【週まとめ】AI・インフラの重大リスク

#20260315 【週まとめ】AI・インフラの重大リスク

無料で聴く

ポッドキャストの詳細を見る

概要

 ■ 今週のセキュリティハイライト(2026年3月8日〜3月15日) 今週は300件以上の脆弱性が報告された激動の1週間となりました。AI関連プロダクトから基盤インフラ、CMS、サプライチェーン攻撃まで、幅広い分野で深刻な問題が明らかになっています。 ■ (1) AI・LLM関連の脆弱性が急増 自律型AIエージェントやLLM推論エンジンにおいて、多くの致命的な問題が報告されました。 ・OpenClaw:サンドボックス回避、認証バイパス、RCEなど多数の脆弱性 ・SGLang:Pythonのpickleデシリアライズによる未認証RCE(CVE-2026-3060, CVE-2026-3059, CVE-2026-3989) ・vLLM:SSRF保護のバイパス(CVE-2026-25960) ・MCP(Model Context Protocol)関連:Atlassian MCPでの任意のファイル書き込み(CVE-2026-27825)やSSRF(CVE-2026-27826)、Azure MCPでのSSRF(CVE-2026-26118) ■ (2) クラウド・インフラストラクチャにおける重大な欠陥 ・HashiCorp Consul:Kubernetes認証時の任意のファイル読み取り(CVE-2026-2808) ・Envoy:レートリミット処理でのクラッシュ(CVE-2026-26330)、RBACバイパス(CVE-2026-26308) ・Traefik:HTTPRouteにおけるルールインジェクション(CVE-2026-29777) ・Argo Workflows:Pod仕様の不正パッチによるセキュリティ設定のバイパス(CVE-2026-31892) ■ (3) 主要CMSやWebフレームワークでのコード実行・情報漏洩 ・Parse Server:大量のNoSQL/SQLインジェクションや認証バイパスが報告(CVE-2026-31901, CVE-2026-31840など数十件) ・Craft CMS:Twigテンプレートでのリモートコード実行(CVE-2026-31857)、Craft CommerceでのXSSやSQLi ・TinaCMS:開発サーバーでのパストラバーサルとファイル漏洩(CVE-2026-28793) ・Sylius:APIのDQLインジェクション(CVE-2026-31825) ■ (4) サプライチェーンとランタイムのリスク ・xygeni-action(GitHub Actions):C2バックドアを含むシェルコードがタグ改ざんによって混入(CVE-2026-31976) ・.NETランタイム:DoSおよび特権昇格の脆弱性(CVE-2026-26127, CVE-2026-26130, CVE-2026-26131) ・ImageMagick:多数のヒープバッファオーバーフローなどメモリ破壊系の脆弱性 対象の技術スタックをご利用のエンジニアは、早急なアップデートと設定の見直しをお願いいたします。 #セキュリティ #エンジニア #ITニュース #脆弱性 #週まとめ #サイバーセキュリティ Data sources: GitHub Advisory Database (CC-BY 4.0) --- stand.fmでは、この放送にいいね・コメント・レター送信ができます。 https://stand.fm/channels/5ec48451f654bbcab4d3f793
まだレビューはありません