2026年7月7日 サイバー脅威インテリジェンス

日次の脆弱性動向:KEV 追加、公開 exploit、重大開示、EPSS リスクの変化。

日次サマリー

  • Adobe ColdFusion が CISA KEV に新規掲載 — 実環境での悪用を確認。
  • Tenable Nessus:公開エクスプロイトまたは PoC が関連付けられました (SQL Injection)
  • 10 件の新規 Critical 公開 — 露出サービスのパッチ状況を確認してください。

本日の重点脅威

最優先の 3 件の変化 — アナリストによる短評。CVE ダンプではありません。

実際の悪用を確認

CVE-2026-48282 Adobe ColdFusion Path Traversal

  • 実環境での悪用(CISA KEV)
  • CISA KEV に掲載
  • リモートコード実行の露出リスク

Adobe ColdFusion RCE は CISA KEV に掲載 — 実環境での悪用が確認されています。掲載中は継続的な標的化が想定されます。

悪用活動を確認

CVE-2026-23744 MCPJam inspector is the local-first development platform for MCP servers.

  • 公開エクスプロイトまたは PoC あり
  • 悪用活動が関連付け
  • リモートコード実行の露出リスク

Mcpjam Inspector RCE に公開エクスプロイトまたは PoC が関連 — 日和見的スキャンと続く標的型活動を想定してください。

重大な露出リスク

CVE-2026-56843 Incorrect authorization in the XML-RPC API of WebPros Plesk before 18.0.78.4 allows a low-privile...

  • CVSS 9.9
  • 管理者/root への権限昇格の可能性

新たな重大公開(CVSS 9.9)— 深刻度が高く、エクスプロイト出現前の認知ウィンドウが短いです。

実際の悪用

CISA KEV — 実環境での悪用が確認

Langflow Authorization Bypass Through User-Controlled Key

JoomShaper SP Page Builder Unrestricted Upload of File with Dangerous Type

KEV 新規掲載を見る

エクスプロイト・PoC

Flowise before 3.1.3 validates Custom MCP stdio environment variables against a denylist using a case-sensitive comparison, so on Windows...

Hydra through 9.7, fixed in commit 9cc84c2, contains a stack buffer overflow in NTLM authentication across SMTP, POP3, IMAP, NNTP, HTTP,...

A SQL injection vulnerability in Nessus allows an attacker to craft a malicious scan result file that, when imported by a privileged user...

MCPJam inspector is the local-first development platform for MCP servers.

Improper Control of Generation of Code ('Code Injection') vulnerability in Codeer Limited Bricks Builder allows Code Injection.This issue...

新規エクスプロイト紐づけを見る

悪用動態

本ダイジェストではこのカテゴリに該当なし。

EPSS 上昇を見る

新規 Critical 公開

CVE-2026-14739 CVSS 9.8

DBI versions before 1.650 for Perl have a heap overflow when preparsing SQL statements with an extreme number of placeholders.

CVE-2026-14740 CVSS 9.1

DBI versions before 1.650 for Perl read one byte out-of-bounds in preparse when deleting an initial SQL comment.

CVE-2026-37270 CVSS 9.8

Trueview Security camera T18161- AF v4.9.60.0 contains an authentication bypass vulnerability caused by improper password validation and...

CVE-2026-37271 CVSS 9.8

Fire-Boltt Smartwatch FB BGS001 Firmware: MOY-JS14-2.0.4 is vulnerable to Improper Authentication, The device accepts GATT Write Request...

CVE-2026-46354 CVSS 9.1

Coder allows organizations to provision remote development environments via Terraform.

CVE-2026-56843 CVSS 9.9

Incorrect authorization in the XML-RPC API of WebPros Plesk before 18.0.78.4 allows a low-privileged authenticated customer to look up do...

CVE-2026-58473 CVSS 9.3

Cognee before 1.2.0 contains an improper access control vulnerability that allows unauthenticated attackers to overwrite the global LLM p...

CVE-2026-59705 CVSS 9.3

mem0's openmemory/api component contains an unauthenticated access vulnerability that allows unauthenticated attackers to read, write, an...

CVE-2026-59706 CVSS 9.2

mem0 contains unauthenticated config API endpoints that expose LLM API keys in plaintext and allow server-side request forgery via attack...

CVE-2026-59707 CVSS 9.2

LocalAI contains an unauthenticated server-side request forgery vulnerability in the POST /models/apply endpoint that allows attackers to...

Critical 公開を見る

cvelogic Threat Intelligence