Fortinet Uncovers Threat Actor Persistence via Symbolic Link Exploit in FortiGate Devices
2025/04/14 SecurityOnline — サイバー・セキュリティ・コミュニティへの緊急アラートとして Fortinet が発表したのは、FortiGate アプライアンスの既知の脆弱性を悪用する、脅威キャンペーンの活発な展開に関する詳細である。このキャンペーンでは、セキュリティ・アップデート適用が実施された後であっても、不正な読み取り専用アクセスを可能にする、新たなポスト・エクスプロイトの手法が用いられている。Fortinet の CISO である Carl Windsor は、「最近のインシデントにより、既知の脆弱性が悪用されるという事例が活発に発生している。この問題が、ますます注目を集めている」と述べている。
Continue reading “Fortinet の古い脆弱性を悪用する脅威アクター:シンボリック・リンクと SSL-VPN の悪用”CVE-2025-32428: Jupyter Remote Desktop Proxy Exposes TigerVNC to Network Access
2025/04/14 SecurityOnline — Jupyter ノートブック・インターフェイス内で、XFCE などの GUI デスクトップ環境を実行する Jupyter エクステンションである Jupyter Remote Desktop Proxy に、深刻なセキュリティ脆弱性が存在することを、研究者たちが発見した。この脆弱性 CVE-2025-32428 (CVSSv4:9.0) は、Jupyter Remote Desktop Proxy と TigerVNC とを併用した場合に発生し、ネットワーク経由で意図せず VNC サービスが公開されてしまうという、本来の設計に反する事態を引き起こす。
Continue reading “Jupyter Remote Desktop Proxy の脆弱性 CVE-2025-32428 が FIX:TigerVNC との組み合わせが危険”IBM Aspera Faspex Flaw Allows Injection of Malicious JavaScript in Web UI
2025/04/14 gbhackers — 広く普及しているファイル交換ソリューション IBM Aspera Faspex 5 に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-3423 (CVSS:5.4) を悪用する攻撃者は、Web インターフェイスに悪意の JavaScript を挿入し、ユーザーの機密データを侵害する可能性を手にする。
Continue reading “IBM Aspera Faspex の脆弱性 CVE-2025-3423 が FIX:Web UI への悪意の JavaScript の挿入”Urgent: Yii 2 Vulnerability CVE-2024-58136 Under Active Exploit
2025/04/14 SecurityOnline — PHP Web アプリ・フレームワークとして人気を博す Yii 2 に、脆弱性 CVE-2024-58136 (CVSS:9.1) が発見された。この脆弱性が影響を及ぼす範囲は、バージョン 2.0.52 未満となる。Yii 2 のダウンロード数は 2,500万回を超えており、数え切れないほどの Web アプリで使用されているため、この脆弱性は、開発者やサイト管理者にとって重大な懸念事項となっている。
Continue reading “Yii 2 の脆弱性 CVE-2024-58136 が FIX:安全が確保されないリフレクションの可能性”
IoT OT Security News 