Remote Code Execution

• CISA、米国連邦当局に対し、Citrix NetScaler の重大な脆弱性 CVE-2026-3055 を金曜日に修正するよう命じた。
• この欠陥は認証なしの攻撃者が敏感なメモリーを読み取れる可能性があり、9.3 点と最高レベルの深刻度が示された。
• 先日の Citrix Bleed と同様のパターンが確認され、司法省や大手病院など重要な組織が標的となっている。

Citrix NetScaler は企業の主要なアクセス管理ツールであり、未修正状態での悪用により大規模な情報漏洩と初期アクセスが可能であるため。

• F5 BIG-IP APM の脆弱性（CVE-2025-53521）が認証不要で遠隔コード実行につながる危険な性質に変更されました。
• 同脆弱性を悪用した攻撃の実感が確認されており、JPCERT/CCは国内利用者の影響調査を推奨しています。
• 対象バージョンの修正適用や、特定コマンドによる侵害検出の手続きが公表されています。

この脆弱性情報の性質変更（認証不要遠隔実行）と攻撃実証の確認は、管理基盤である BIG-IP APM の安全性に直接脅威を及ぼすため、即時的な対策と調査が不可欠です。

• EspoCRM ≤9.3.3 で公式エンジン経由でファイルパス書き込み回避された認証済み遠隔コード実行 (RCE) の脆弱性 CVE-2026-33656 が暴露。
• rotyOnly フィールドを含むソースIDが直接コンカテネイトされサンチマイゼーションなしで、WebShell アップロードと.htaccess 汚染を通じた RCE に繋がった。
• 6 リクエスト、管理者権限必要としコサインディスクロージャーにより patch 済みの 9.3.4 で修正された事例である。

公式エンジンで ACL バージョン制御が破綻し、外部システムからのファイル書き込みと RCE を可能にした、高度なサプライチェーン攻撃の具体例である。

• Oracle は Identity Manager と Web Services Manager に影響する重大な脆弱性を修正する緊急パッチを公開した。
• この CVE-2026-21992 は未認証の攻撃者がリモートコード執行情動を行える CVSS 9.8 の深刻な脆弱性である。
• Oracle は野における悪用が確認されていると明確に断言せず、過去と同様の対応を繰り返してきたと指摘される。

未認証でのリモートコード執行情動が可能であり、企業向け ID 管理システムの根本的な信頼性を脅かす重大なリスクであるため。

• Dolibarr 23.0.0 に存在する評価エンジンにおけるゼロデイ脆弱性が特定され、認証された管理者が任意の PHP コードを実行可能となる。
• デフォルト管理アカウントと組み合わせて利用可能であり、暗号推測なしで実行可能な脆弱性が判明した。
• ホワイトリストモードとブラックリストモードの制御フローにおいて、セキュリティチェックが誤って適用されない不整合が原因である。

ERP/CRM プラットフォームのデフォルト設定で RCE が実行可能な重大な脆弱性であり、サプライチェーン攻撃のリスクが極めて高い。