WordPress Plugin Vulnerability Opens Door to SQL Injection Exploits
2025/03/24 gbhackers — 人気の WordPress プラグイン GamiPress に発見された、深刻な脆弱性が悪用されると、未認証の脅威アクターによる SQL インジェクション攻撃にいたる可能性がある。この脆弱性 CVE-2024-13496 (CVSS3.1:7.5) の悪用の可能性が懸念されている。
Continue reading “WordPress GamiPress プラグインの脆弱性 CVE-2024-13496 が FIX:SQLi の恐れ”DrayTek routers worldwide go into reboot loops over weekend
2025/03/24 BleepingComputer — 3月22日 (土) の夜に始まった障害により、 DrayTek ルーターへの接続に問題が発生したことを、世界中の数多くの ISP が顧客に警告している。このインシデントの影響を受けたユーザーは、多様なシリーズ・モデルのルーターが、断続的に接続を失い、ブート・ループに入るのを確認したと報告している。
Continue reading “DrayTek ルーターが勝手に再起動:世界中の数多くの ISP が顧客に警告”Finders Keypers: Open-source AWS KMS key usage finder
2025/03/24 HelpNetSecurity — Finders Keypers は、AWS KMS キーに関する、カレントの使用状況を分析するための OSS ツールである。AWS カスタマー管理の KMS キーと、AWS 管理の KMS キーをサポートする。
Continue reading “Finders Keypers:AWS KMS キーの使用状況を分析する OSS ツール”CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence
2025/03/24 HackRead — Oracle Cloud のインフラに、大規模なデータ侵害が発生し、同社のサイバー・セキュリティが混乱に巻き込まれていという議論がある。先週に HackRead は、サイバー・セキュリティ企業 CloudSEK の調査結果に基づく記事を公開し、ある脅威アクターが Oracle Cloud から 600 万件のレコードを盗んだことを明らかにした。”rose87168″ という名前で特定されたハッカーは、主要な SSO エンドポイントを侵害し、SSO と LDAP の認証情報/OAuth2 キー/顧客テナント情報などの、機密データを流出させたと主張している。
Continue reading “Oracle Cloud からの 600 万件のレコード窃取:CloudSEK が提示する証拠とは?”Urgent: Patch Your Next.js for Authorization Bypass (CVE-2025-29927)
2025/03/24 SecurityOnline — フルスタック Web アプリケーションの迅速かつ効率的な構築を支援する、人気の React フレームワーク Next.js の、深刻なセキュリティ脆弱性が対処された。世界の大企業などでも使用される Next.js は、最新の React 機能の拡張と、強力な Rust ベース JavaScript ツールの統合により、フルスタック Web アプリケーションを作成する一方で、ビルドの構築時間を大幅に短縮すると評価されている。
Continue reading “Next.js の深刻な認証バイパスの脆弱性 CVE-2025-29927 が FIX:旧バージョンのための回避策は?”Critical Vulnerability Discovered in Popular WordPress Security Plugin WP Ghost
2025/03/24 SecurityOnline — 人気の WordPress プラグイン WP Ghost に、深刻度の高いセキュリティ脆弱性が発見された。John Darrel により開発された WP Ghost は、広く使用される無料のセキュリティ/ファイアウォール・プラグインであり、そのアクティブ インストール数は 200,000 を超える。このプラグインにより追加されるセキュリティ・レイヤーには、ボットのブロックや、不正アクセスの防止などがあり、WordPress Web サイトのセキュリティ強化が推進される。
Continue reading “WordPress WP Ghost プラグインの脆弱性 CVE-2025-26909 が FIX:LFI から RCE へのチェーン”Critical Remote Code Execution Vulnerability in vLLM via Mooncake Integration
2025/03/24 SecurityOnline — LLM を用いる推論やサービスで人気のライブラリ vLLM は、先日に発見された深刻なセキュリティ脆弱性に対処した。GitHub で 43,000 を超えるスターを獲得している vLLM は、広範なユーザーを抱えているため、重要な問題に発展する可能性もある。その脆弱性 CVE-2025-29783 の CVSS スコアは 9.0 と評価されている。
Continue reading “vLLM の深刻な RCE 脆弱性 CVE-2025-29783 が FIX:Mooncake 統合で問題が拡大”Nuxt Users Beware: CVE-2025-27415 Opens the Door to Cache Poisoning Attacks
2025/03/24 SecurityOnline — 人気の Nuxt フレームワークで発見された脆弱性により、攻撃者に対して CDN キャッシュ・ポイズニングを許し、フルスタックの Vue.js アプリケーションへのアクセスが妨害される可能性が生じている。この Nuxt の脆弱性 CVE-2025-27415 (CVSS:7.5) は、バージョン 3.0.0〜3.16.0 未満に影響を及ぼす。
Continue reading “Nuxt の脆弱性 CVE-2025-27415 が FIX:CDN ポイズニングによる DoS 攻撃の可能性”
IoT OT Security News 