生成AIを組み込んだアプリケーション開発が急速に進んでいます。チャットボット、社内ドキュメント検索、あるいは自律的にタスクをこなす「AIエージェント」。これらは私たちの業務効率を劇的に向上させてくれます。 しかし、「AIに自由を与えれば ...

2025年7月、AWSが提供するAmazon Q 開発者向け拡張機能 (VS Code用)が、悪意あるプロンプトインジェクション攻撃を受けて一時的に改ざんされる事件が発生しました。この拡張機能は生成AIを使ってコードの自動補完やドキュメント生成を支援するツールで ...

Phoenix Contactが提供するCHARX SEC-3xxxには、コードインジェクションの脆弱性（CVE-2025-41699）が存在し、Web管理画面へアクセス可能なユーザにシステム構成を変更されることにより、root権限でのコマンドインジェクションおよび不正なコード生成が引き起こされ、結果としてシステムの機密性、完全性、可用性が侵害される可能性がある。

バイナリデータを解析するためのパーサーを作成するJavaScriptライブラリ binary-parser では、Functionコンストラクタを使用して実行時にJavaScriptコードを動的生成する際に、パーサー定義に含まれるフィールド名やエンコーディング名として指定された値が、検証や無害化処理を経ずに生成されたコードに組み込まれ、その結果、攻撃者により任意のJavaScriptコードを実行さ ...

ストリーミングデータ処理フレームワーク「Apache Flink」に脆弱性が明らかとなった。アップデートが提供されている。 SQLのコード生成処理における文字列のエスケープ処理に不備があり、コードインジェクションが可能となる脆弱性「CVE-2026-35194」が判明し ...

Developers Summit 2026・Dev x PM Day 講演資料まとめ Developers Boost 2025 講演資料まとめ Developers X Summit 2025 講演資料まとめ Developers Summit 2025 FUKUOKA 講演関連資料まとめ Developers Summit 2025 KANSAI 講演関連資料まとめ Developers ...

SQLインジェクションは古くから知られている代表的なWebアプリケーションの脆弱性です。JavaScript関連の脆弱性に比べると対処が非常に簡単であるにも関わらず、 まだまだ多くのアプリケーションがSQLインジェクションに脆弱です。SQLインジェクションに脆弱な ...

「インジェクション」に関する情報が集まったページです。 Check Point傘下のLakeraは、AIエージェントを標的とした最新の攻撃トレンドをまとめたレポートを発表した。システムプロンプトの抽出や間接的プロンプトインジェクションなど、攻撃手法が急速に ...

前回はSQLインジェクションが急に増えた事情を概説した。今回は，SQLインジェクション攻撃の流れをたどってみよう（図1）。ここではユーザーが指定した商品をデータベースから探せるショッピング・サイトを想定している。 図1 Webサイトに悪質な ...

「SQLインジェクション」に関する情報が集まったページです。 FortinetはFortiClientEMSにSQLインジェクションの脆弱性が存在すると発表した。CVSSスコアは9.8と高く、未認証でリモートコード実行の恐れがある。影響を受けるユーザーは速やかな更新が求められる。

米Anthropicは5月27日（日本時間）、新しい「Claude Code」向けのプラグイン「security-guidance」を発表した。コードを編集するとリアルタイムで脆弱性をスキャンし、検出すると警告するプラグインで、すべてのプランに提供される。 このプラグインは、指定した ...