#20260329 今週のセキュリティまとめ！サプライチェーンと自動化ツールの危

■ 今週のハイライト 2026年3月最終週は、300件以上ものセキュリティアドバイザリが公開される非常に慌ただしい1週間となりました。特に、開発インフラを狙ったサプライチェーン攻撃や、業務自動化プラットフォームにおける致命的なリモートコード実行（RCE）が多数報告されています。 ▼ 詳細解説 (1) 警戒すべきサプライチェーン攻撃今週最も注目すべきは、開発ツールそのものが狙われた事件です。・Trivyエコシステムの侵害 (CVE-2026-33634)：コンテナ脆弱性スキャナ「Trivy」のGitHub Actionsにおいて、漏洩した認証情報を悪用し、認証情報を窃取するマルウェアを含んだ悪意のあるバージョンが公開されました。・LiteLLMのマルウェア混入：LLMのプロキシツールとして人気のLiteLLMでも、マルウェア入りの悪意あるパッケージがPyPIに公開されました。CI/CDでこれらのツールを利用している場合は、認証情報のローテーションが強く推奨されます。 (2) 業務自動化・AIプラットフォームの深刻な脆弱性・n8nの複数脆弱性：ワークフロー自動化ツールn8nにて、AlaSQLサンドボックスを回避してリモートコード実行が可能になる問題 (CVE-2026-33660) や、他のユーザーのHTTP認証情報を窃取できる権限昇格問題 (CVE-2026-33663)、LDAPメールアドレスを偽装したアカウント乗っ取り (CVE-2026-33665) などが報告されました。・OpenClawの大量脆弱性：AIエージェントプラットフォームOpenClawにおいて、Gatewayでの権限昇格、Webhookのレート制限不備によるブルートフォース攻撃、パストラバーサルなど、数十件の脆弱性が一挙に修正されています。 (3) インフラストラクチャ・ミドルウェアの脅威・NATS Server：メッセージングシステムのNATSで、認証前の攻撃者が不正な長さのWebSocketフレームを送るだけでサーバーをクラッシュさせるDoS脆弱性 (CVE-2026-27889) や、mTLSの認証をバイパスできる重大な欠陥 (CVE-2026-33248) が報告されました。・Incus (CVE-2026-33945) と Docker/Moby (CVE-2026-34040)：コンテナ管理ツールにおいて、ホストシステムへのファイル書き込みや認可プラグインのバイパスが可能になる問題が修正されています。 (4) WebアプリケーションとCMSの脆弱性・AVideo：動画プラットフォームAVideoにおいて、OSコマンドインジェクション (CVE-2026-33648) やファイルアップロードを利用したRCE (CVE-2026-33717)、SQLインジェクションなど多数の致命的な欠陥が発覚しました。・Craft CMS (CVE-2026-33157)：認証済みユーザーがリモートコード実行を行える脆弱性が修正されています。・Vikunja：タスク管理ツールにおいて、他のプロジェクトの添付ファイルを削除できるIDORや、Webhookの認証情報の平文漏洩 (CVE-2026-33677) が報告されました。 (5) 主要フレームワーク・ライブラリ・Ruby on Rails：Active Storageにおけるパストラバーサル (CVE-2026-33195) や、Active SupportにおけるXSS (CVE-2026-33170) が修正されました。・Handlebars.js と Scriban：テンプレートエンジンにおいて、プロトタイプ汚染やスタックオーバーフローによるDoS脆弱性が多数報告されています。 ■ 対策のポイント自動化ツールやAIエージェントはシステム全体に強い権限を持つため、脆弱性が悪用された場合の被害が甚大です。該当製品を利用している場合は直ちにアップデートを実施してください。【ハッシュタグ】 #セキュリティ #エンジニア #ITニュース #週まとめ #サイバー攻撃 #脆弱性 #サプライチェーン攻撃 Data sources: GitHub Advisory Database (CC-BY 4.0)

4日前

このチャンネルの新着放送

#20260402 baserCMSやSiYuanでRCEの脅威！

2分

6時間前

#20260401 【警告】Nginx乗っ取りとPyPIマルウェア

2分

1日前

#20260331 【NPM・Go】大量の脆弱性発覚

3分

2日前

#20260330 【用語解説】XSSとは？3分で学ぶ基本

2分

3日前

#20260328 n8nでRCEの恐れ！OpenClaw等多数の脆弱性

2分

5日前

#20260327 n8nやBentoMLで深刻な脆弱性が発覚！

2分

6日前

#20260326 【緊急】Trivyサプライチェーン攻撃

2分

3月25日

#20260325 緊急！RailsとCMSの深刻な脆弱性

2分

3月24日

毎朝3分！セキュリティRadio

忙しいエンジニアへ。毎朝3分で「昨日の重要セキュリティニュース」をチェックしませんか？ noteもやっています🗒️ https://note.com/morning_secunews この番組は、GitHub Advisoriesなどのデータソースから、その日の重要な脆弱性情報やセキュリティトピックをAIが厳選・解説するポッドキャストです。通勤中や朝のコーヒータイムに聴くだけで、最新の脅威情報やサイバーセキュリティのトレンドを効率よくインプットできます。【主な配信内容】・重大な脆弱性（CVE）の解説・緊急の注意喚起・最新のサイバー攻撃トレンド技術のキャッチアップを止められないあなたへ、毎朝のルーティンとしてお届けします。