7 min
Mini Shai-Hulud 2nd Waveの概要と対策
2026年5月11日から発生した`@tanstack`エコシステムを中心とする「Mini Shai-Hulud」サプライチェーン攻撃の第二波について、侵害手法、被害内容、そして具体的な対策の概要を解説します。
#Security#npm#GitHub Actions
2 posts
#Security
4 min
VercelでSubdomain Takeover出来るのか
少なくとも現在はVercelでSubdomain Takeoverを行うことは難しい。
#Security
News bits
10 件OpenAI、Secure MCP Tunnel
プライベートな MCP サーバーを公開せずに、ChatGPT や Codex などから利用するためのアウトバウンド専用トンネル機構を案内した。tunnel-client が OpenAI 側のキューを長輪講し、ローカルに転送して応答を返す。
Claude Code、Security Guidance プラグイン
Claude Code のプラグインとして、コード編集時にコマンドインジェクションや XSS などの危険パターンを検出して警告する Security Guidance が追加された。
OpenAI Daybreak、AI主導の脆弱性発見・修正プラットフォーム
AIによる推論を活用し、コードベース全体から脆弱性を特定して修正案の検証までを行うセキュリティプラットフォームが発表された。
deepsec、コーディングエージェント活用セキュリティスキャナ
コーディングエージェントを活用し、コードベースの脆弱性を調査するオープンソースのセキュリティスキャナであるdeepsecが公開された。
pnpm 11
Node.js 22 以上が必須で本体は pure ESM になった。供給網向けの既定が強まり、ストアは SQLite インデックス、publish 系は npm CLI 非依存のネイティブ実装に切り替わった。
Langflow、CVE-2026-33017で公開フロー構築APIに未認証RCE
CVE-2026-33017、POST /api/v1/build_public_tmp の任意data経由でexecに至る未認証RCE、CVSS 9.3、影響は1.8.1以下、修正は1.9.0以上。
Deno Sandbox発表
信頼できないコードを安全に実行するための軽量Linux microVM API。ネットワーク制御やシークレット保護機能を備え、Deno Deploy上で動作する。
Node.jsがasync_hooks起因のDoS脆弱性などに対応したセキュリティリリースを公開
Node.jsが3件のHigh深刻度脆弱性(Buffer確保、ファイルシステム権限バイパス、HTTP/2クラッシュ)と、async_hooksに起因するDoS脆弱性(CVE-2025-59466)などを含むセキュリティリリースを公開した。影響を受けるリリースラインは20.x, 22.x, 24.x, 25.x。
React2Shellセキュリティ脆弱性
React Server Componentsの重大な脆弱性「React2Shell」(CVE-2025-55182)が公開された。CVSSスコアは10.0(Critical)。Next.jsではCVE-2025-66478として識別される。特定の条件下で、細工されたリクエストによりリモートコード実行が可能になる。
Pollyfill.io の売却
ブラウザーの互換性を解決するためのサービス Pollyfill.io が、中国の Funnull 社に売却されました。現代のサービスで Pollyfill.io が必要になることはほぼないと思いますが、今でも少なくないサービスで利用されています。