Authentication

• シャープ製ルーター製品の複数の Web API に認証チェックが施されていない脆弱性が発見された。
• 当該脆弱性により、端末情報や管理者パスワードなどの機密情報が認証なしで取得されるリスクがある。
• 受影响モデルのファームウェアアップデートを推奨するが、一部の製品ではサポートが終了している。

管理者認証機能が欠如しており、初期設定のまま使用すると重要な情報が漏洩する危険性が高いです。

• CTEKが提供するChargeportalには認証の欠如や不適切なセッション期限など複数の脆弱性が存在します。
• 悪用すると権限昇格、DoS攻撃、不正なユーザーアクセスが可能で充電ネットワークデータに深刻な影響を与えられます。
• 該当製品は2026年4月にサービス終了のため、開発者に問い合わせる必要があります。

充電インフラへの認証ブローと権限昇格リスクにより、公共安全やデータ破壊の脅威が高まっています。サービス終了に伴う移行期間中の脆弱性対策が不可欠です。

• eParking.fiプラットフォームの複数の認証およびセキュリティ脆弱性が特定されました。
• 権限昇格からインフラ操作への悪用、DoS攻撃、不正アクセスリスクが懸念されます。
• 充電ステーションの認証識別子が公開され、サービス妨害につながる可能性があります。

公共機関や一般ユーザー向けに広く浸透する充電インフラにおける重要な認証抜けと脆弱性です。

• Magic Link 認証における「パスワードレスログイン」の基本的な実装 pitfalls を解説。
• 自動リクエストやタブ切り替えによる不正な認証処理を防ぐための対策を提示。
• 高熵値と一回限り使用などのセキュリティ基準の重要性を強調。

パスワードなしログインの実装における隐蔽された脆弱性を特定し、認証フローの安全性を高めるために重要である。

• 米国設備メーカー Trane の製品群に複数の重大な脆弱性が発見され、2026年3月に公開されています。
• 権限チェック欠如やハードコード認証情報による root アクセス、機微な情報の漏えいリスクが含まれます。
• ICS システムでの認証回避や DoS攻撃の恐れがあり、関係者は速やかにアップデートを実施する必要があります。

Trane は重要なインフラ管理システム（HVAC）を提供しており、脆弱性が悪用される場合、物理的なサービス妨害だけでなく機微なデータ漏洩につながるため、セキュリティリスクと供給チェーン安定性の観点から極めて重要です。

• Apeman製「Apeman ID71」が複数の脆弱性を持つことを発表した。
• 認証情報の不十分な保護、CROSS-SITE scripting、および認証の欠如が存在する。
• 現在、開発者による対応情報はまだ確認されていない状態である。

ハードコードされた認証情報が遠隔で取得できたり、任意のスクリプトを実行されたりする重大なセキュリティリスクを抱えているため。