00:00
-00:00
#20260401 【警告】Nginx乗っ取りとPyPIマルウェア
12
■ 今日のハイライト
今日は、インフラ管理ツールや開発エコシステムにおける非常に深刻なセキュリティニュースをピックアップしてお届けします。特にサーバー管理者やPythonエンジニアの方は必見の内容です。
▼ PyPIパッケージ「telnyx」へのマルウェア混入(サプライチェーン攻撃)
Pythonのパッケージ「telnyx」において、認証情報を盗むマルウェアが含まれたバージョン(4.87.1および4.87.2)が公開される事件が発生しました。
・概要:脅威アクターが漏洩したPyPIの認証情報を使って不正なバージョンを直接公開しました。正規のGitHubリリースを経由していないため、パッケージリポジトリの認証管理の重要性が問われています。
・対策:該当バージョンを使用している場合は直ちに削除し、システム内の認証情報をすべてローテーションしてください。
▼ Nginx-UIにおけるリモートテイクオーバーなど多数の脆弱性
Nginxの管理画面ツール「Nginx-UI」において、システムを完全に掌握される恐れのある脆弱性が複数報告されました。
・CVE-2026-33032:認証なしのMCPエンドポイントを突いたリモートテイクオーバーの脆弱性。IPホワイトリストの設定不備と組み合わさり、攻撃者にNginxを乗っ取られます。
・CVE-2026-33030:他人のDNS APIトークンや秘密鍵が見えてしまうIDOR(認可制御の欠落)の脆弱性。
・CVE-2026-33027:パストラバーサルにより、設定ディレクトリを再帰的に削除される脆弱性。
・対策:Nginx-UIを直ちに最新版へアップデートし、外部からのアクセス制限を厳格化してください。
▼ Fleet(MDMツール)における深刻なSQLインジェクションとDoS
デバイス管理ツール「Fleet」のバージョン4系で致命的な脆弱性が報告されています。
・CVE-2026-34385:Apple MDMプロファイル配信におけるセカンドオーダーSQLインジェクション。データベース内のAPIトークンや資格情報が漏洩・改ざんされる恐れがあります。
・CVE-2026-34388:gRPCエンドポイントでのDoS脆弱性。不正なログタイプを送信されるだけで、Fleetサーバープロセス全体がクラッシュし、全デバイスの管理が停止します。
・CVE-2026-34389:アカウント招待機能において、招待されたメールアドレスの検証が行われない脆弱性。
・対策:エンタープライズ環境でFleetを利用している場合は、速やかなアップデートが必要です。
▼ その他の重要トピック
・【Parse Server】CVE-2026-34373:GraphQL APIエンドポイントがCORSのオリジン制限を無視する脆弱性。
・【OpenClaw】NPMパッケージのOpenClawにて、任意の悪意あるコード実行や認可バイパスなど多数の脆弱性が修正されました。
#セキュリティ #エンジニア #ITニュース #サイバーセキュリティ #脆弱性 #Nginx #Python #MDM
Data sources: GitHub Advisory Database (CC-BY 4.0)
1日前
このチャンネルの新着放送
stand.fmの無料アプリでもっと便利に
放送が更新されたらプッシュでお知らせされるので最新の放送を聞き逃さない。
バックグラウンド再生で他のアプリを使用しながら、放送やライブが聴ける。
放送やライブ、コミュニティでコメントが送れて配信者とコミュニケーションができる。
アプリだけでかんたんに音声を収録して投稿できて音声の編集もできる。
stand.fmメディア
JASRAC許諾番号
9024598002Y31016
9024598004Y31016
NexTone許諾番号
000006134
© 2026 stand.fm, Inc.