The Hacker News

Ghost CMS CVE-2026-26980 Exploited to Hijack 700+ Sites for ClickFix Attacks

Ghost CMS flaw CVE-2026-26980 enabled attacks on 700+ sites, injecting ClickFix malware through fake CAPTCHA pages.
Moneylife

CBSE's Digital Exam Portal Had a Master Password That Could Unlock Any Examiner's Account ...

A 19-year-old cybersecurity enthusiast has raised serious questions about the safety of the Central Board of Secondary ...

JavaScript不要、「PWA」をインストールする新しいHTML要素が「Chrome ...

「Google Chrome」と「Microsoft Edge」で、Webアプリ(PWA)を簡単にインストールできるようにする新しいHTML要素がテストされているとのこと。米Googleの開発者向けブログ「Chrome for ...

Webサーバー「nginx」に再び致命的な脆弱性、修正版が公開

米F5は5月22日(現地時間)、Webサーバーシステム「nginx」(エンジンエックス)に致命的な脆弱性があることを明らかにした。「ngx_http_rewrite_module」にヒープバッファオーバーフローの脆弱性(CVE-2026-9256)があり、悪用されると外部からワーカープロセスのクラッシュ(DoS)が引き起こされるほか、「ASLR」が無効化された環境などでは、最悪の場合、任意のコード ...

動画ダウンローダー「yt-dlp」でBunが非推奨化される、BunのAIコーディング偏重にリスクありとの判断

動画ダウンロードツールの「yt-dlp」でYouTubeの動画をダウンロードする場合は、「Deno」や「QuickJS」などのJavaScriptランタイムを導入することが強く推奨されています。これまでは「Bun」もサポート対象だったのですが、2026年5月21日にBunを非推奨とすることが発表されました。
gihyo.jp

Gitや URL由来の 依存も 制御可能に

GitHubは2026年5月22日、npmのサプライチェーンセキュリティを強化する更新として、Staged publishingの一般提供開始と、新しいインストール元制御フラグを発表した。いずれもnpm CLI 11. 15. 0以降で利用できる。 Staged publishingは、パッケージのバージョンを直接レジストリへ公開するのではなく、事前にステージング領域へ送信し、メンテナーが明示的に ...