Google Cloud Platform Vulnerability Exposes Sensitive Data to Attackers
2025/04/02 gbhackers — Google Cloud Platform (GCP) に存在する、”ImageRunner” という名の権限昇格の脆弱性が、Tenable Research により発見された。この脆弱性を悪用する攻撃者は、Google Cloud Run の権限を用いて、プライベート・コンテナ・イメージに保存される機密データにアクセスできる状況にあったが、現在は修正されている。
Continue reading “Google Cloud Platform の脆弱性 ImageRunner:ID 管理と機密データの流出”VyOS and Debian Systems Vulnerable to Man-in-the-Middle Attacks (CVE-2025-30095)
2024/04/02 SecurityOnline — 人気の OSS ネットワーク OS である VyOS に、深刻な脆弱性 CVE-2025-30095 が発見された。この欠陥は、Dropbear ベースのコンソール・サーバでのプライベート SSH キーの再利用に起因し、アクティブな中間者 (MITM) 攻撃を可能にするものだ。なお、この脆弱性を報告したのは、Viasat の Morgan Jones である。
Continue reading “VyOS/Debian の深刻な脆弱性 CVE-2025-30095 が FIX:SSH キーの想定外の再利用”MongoDB Patches: DoS & Bypass Risks Addressed
2025/04/02 SecurityOnline — 人気のオープンソース NoSQL データベースである MongoDB が公表したのは、新たに公開された3つの脆弱性に対処するパッチのリリースである。これらの脆弱性の悪用に成功した攻撃者は、MongoDB デプロイメントに対して、サービス拒否攻撃や認証バイパス攻撃を仕掛ける可能性を手にする。
Continue reading “MongoDB の脆弱性 CVE-2025-3083/3084/3085 が FIX:サービス拒否や認証バイパスの恐れ”CVE-2025-30223 (CVSS 9.3): Critical XSS Vulnerability Discovered in Beego Framework
2025/04/02 SecurityOnline — Web アプリや API の構築で人気を博す、Go フレームワークである Beego Framework に、クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性 CVE-2025-30223 (CVSS:9.3) を悪用する攻撃者は、悪意の JavaScript コードを Web ページに挿入し、ユーザー・データやセッションを侵害する可能性を手にする。
Continue reading “Beego Framework の脆弱性 CVE-2025-30223 (CVSS:9.3) が FIX:Go 環境に深刻な XSS”CVE-2025-30065 (CVSS 10): Critical Vulnerability Discovered in Apache Parquet Java
2025/04/02 SecurityOnline — 広く使用されている OSS のカラム指向データファイル形式である Apache Parquet に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性は、Apache Parquet Java ライブラリを使用するシステムに対して、深刻なリスクをもたらす。
Continue reading “Apache Parquet Java の脆弱性 CVE-2025-30065 (CVSS 10) が FIX:任意のコード実行の恐れ”Critical Vulnerabilities Threaten IBM App Connect Enterprise
2025/04/02 SecurityOnline — IBM が公表したのは、App Connect Enterprise (ACE) ソフトウェアの複数のバージョンが、リモート・コード実行 (RCE) に対して脆弱だと警告する、重要なセキュリティ速報である。ただし、その原因となるのは、サードパーティ・パッケージである、jsonpath-plus と snowflake-connector-nodejs における、安全が確保されていないデフォルトの設定であるという。
Continue reading “IBM App Connect Enterprise の脆弱性 CVE-2025-1302 などが FIX:RCE の恐れ”Google Fixed Cloud Run Vulnerability Allowing Unauthorized Image Access via IAM Misuse
2025/04/02 TheHackerNews — Google Cloud Platform (GCP) Cloud Run の権限昇格の脆弱性の詳細を、サイバー・セキュリティ研究者たちが公開した。この、現在はパッチ適用済みの脆弱性を悪用する攻撃者には、コンテナ・イメージにアクセスし、悪意のコード挿入にいたる可能性があったとされる。
Continue reading “Google Cloud の脆弱性が FIX:コンテナ・イメージからのシークレットや機密データの窃取とは?”Chrome 135: 14 Security Fixes, High-Severity CVE-2025-3066 Flaw Patched
2025/04/02 SecurityOnline — Google Chrome チームは、Windows/macOS/Linux の Stable チャネルで Chrome 135 を正式にリリースし、数十億人のユーザーに対して、セキュリティ強化/バグ修正/コード改善などを提供している。このアップデートには、14 件のセキュリティ修正が取り込まれているが、その一部は、外部の研究者たちにより特定されたものだ。
Continue reading “Chrome 135 がリリース:CVE-2025-3066 などを含む 14件の脆弱性に対処”CISA Flags Apache Tomcat CVE-2025-24813 as Actively Exploited with 9.8 CVSS
2025/04/02 SecurityOnline — 現時点において積極的な悪用が観測されている、Apache Tomcat の深刻な脆弱性 CVE-2025-24813 (CVSS:9.8) が、CISA の KEV カタログに掲載された。このリモート・コード実行の脆弱性により、無数の Web サーバが危険に直面している状況にあり、また、公開されている PoC エクスプロイト・コードが、攻撃者たちにより武器化されている。
Continue reading “CISA KEV 警告 25/04/01:Apache Tomcat の脆弱性 CVE-2025-24813 を登録”
IoT OT Security News 