Day: April 4, 2025

PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証

Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data

2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。

Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”

GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる

SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack

2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。

Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”

Vite 開発サーバの脆弱性 CVE-2025-31125 が FIX:ファイルへの不正アクセスと PoC

Vite Development Server Flaw Allows Attackers Bypass Path Restrictions

2025/04/04 gbhackers — Vite 開発サーバに、深刻なセキュリティ脆弱性 CVE-2025-31125 が発見された。この脆弱性は、URL リクエスト処理中の不適切なパス検証に起因し、攻撃者に対してパス制限の回避を許すことで、影響を受けるサーバ上での任意のファイルへの不正アクセスを引き起こすものだ。

Continue reading “Vite 開発サーバの脆弱性 CVE-2025-31125 が FIX:ファイルへの不正アクセスと PoC”

Cisco の ECE/Meraki の脆弱性 CVE-2025-20139/20212 が FIX:サービス拒否の恐れ

Cisco Addresses High Severity Vulnerabilities in Enterprise Chat and Email, and Meraki MX/Z Series Devices

2025/04/04 SecurityOnline — Cisco が公表したのは、同社の Enterprise Chat and Email (ECE) 製品と Meraki MX/Z Series デバイスに存在する、脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性により、サービス拒否 (DoS) 攻撃が発生する可能性があるという。

Continue reading “Cisco の ECE/Meraki の脆弱性 CVE-2025-20139/20212 が FIX:サービス拒否の恐れ”

Halo ITSM の SQLi の脆弱性 CVE-N/A が FIX:PoC リクエストが提供

Halo ITSM Vulnerability Lets Attackers Inject Malicious SQL Code

2025/04/04 gbhackers — クラウド/オンプレミス環境に広く導入されている、 IT サポート管理ソフトウェア Halo ITSM に、深刻なセキュリティ上の欠陥が発見された。この脆弱性により、攻撃者は悪意の SQL コードの挿入を達成する。その結果として、認証情報や社内文書などの機密データなどを取り込む IT サポート・チケットの管理に、Halo ITSM を利用する組織に大きな脅威が生じる。

Continue reading “Halo ITSM の SQLi の脆弱性 CVE-N/A が FIX:PoC リクエストが提供”

Oracle Cloud 侵害を追跡:顧客たちへの通知でデータ漏洩の発生を認めたようだが

Oracle Confirms Cloud Hack

2025/04/04 SecurityWeek — Oracle は、自社のクラウド・システムの一部が侵害されたことを顧客に対して認めているが、そのプロセスは非公開であり、このインシデントの影響を矮小化しているようだ。

Continue reading “Oracle Cloud 侵害を追跡:顧客たちへの通知でデータ漏洩の発生を認めたようだが”

OpenVPN の脆弱性 CVE-2025-2704 が FIX:サーバ・クラッシュとサービス中断の恐れ

CVE-2025-2704: Critical Bug in OpenVPN Can Trigger Server Crashes

2025/04/04 SecurityOnline — OpenVPN コミュニティが発表したのは、サーバ・サイドの脆弱性 CVE-2025-2704 を修正する、重要なセキュリティ・アップデート OpenVPN 2.6.14 のリリースである。この脆弱が微武器化されると、”–tls-crypt-v2″ オプションでコンフィグされた VPN サーバが、クラッシュする可能性が生じる。

Continue reading “OpenVPN の脆弱性 CVE-2025-2704 が FIX:サーバ・クラッシュとサービス中断の恐れ”

Apache Traffic Server の脆弱性 CVE-2024-53868 が FIX:リクエスト・スマグリング攻撃の恐れ

Apache Traffic Server Hit by Request Smuggling Vulnerability (CVE-2024-53868)

2025/04/04 securityonline — 広く採用されている高性能 HTTP プロキシ サーバ Apache Traffic Server (ATS) だが、リクエスト・スマグリング攻撃に対して脆弱であることが判明した。その原因である脆弱性 CVE-2024-53868 は、チャンク化されたメッセージを ATS が処理する方法に起因し、HTTP リクエスト処理に対する攻撃者の干渉を許すものだという。

Continue reading “Apache Traffic Server の脆弱性 CVE-2024-53868 が FIX:リクエスト・スマグリング攻撃の恐れ”