Day: April 17, 2025

CISA 警告:Oracle Cloud ハッキングに関する分析と予防措置

CISA Warns of Potential Credential Exploits Linked to Oracle Cloud Hack

2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle Cloud のレガシー環境に対する不正アクセスの可能性があるとの報告を受け、警告を発した。現時点において、インシデントの全容と影響は調査中だが、CISA の警告が浮き彫りにするのは、認証情報の漏洩リスクに対する深刻な懸念である。この脅威には、組織/個人 のユーザーに影響を及ぼす可能性がある。

Continue reading “CISA 警告:Oracle Cloud ハッキングに関する分析と予防措置”

WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX:低権限ユーザーによる RCE

RomethemeKit Elementor Plugin Flaw Enables RCE: CVE-2025-30911

2025/04/17 SecurityOnline — 30,000+ のインストール数を誇る WordPress プラグイン RomethemeKit For Elementor に発見された脆弱性により、認証済みの悪意のユーザーが、不適切な権限の取得と nonce チェックを達成し、リモート・コード実行 (RCE) に到達するという。この脆弱性 CVE-2025-30911 の CVSS スコアは 9.9 であり、Critical と評価されている。

Continue reading “WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX:低権限ユーザーによる RCE”

Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX:SSH の欠陥と未認証での RCE

Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE

2025/04/17 SecurityOnline — 通信/分散システム/リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。

Continue reading “Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX:SSH の欠陥と未認証での RCE”

PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム

Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution

2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x/7.x/8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x/8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。

Continue reading “PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム”

Cisco Webex の脆弱性 CVE-2025-20236 が FIX:悪意の会議招待リンクを介した RCE

Cisco Patches CVE-2025-20236: Unauthenticated RCE Flaw in Webex App via Malicious Meeting Links

20225/04/17 SecurityOnline — Cisco が発表したのは、Webex アプリに存在する深刻な脆弱性に対処する、重要なセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者に対して、悪意の会議招待リンクを介した、認証を必要としないリモート・コード実行 (RCE) が許される可能性がある。この脆弱性 CVE-2025-20236 (CVSS:8.8) は、Cisco Webex デスクトップ・アプリの複数バージョンに影響を及ぼす。

Continue reading “Cisco Webex の脆弱性 CVE-2025-20236 が FIX:悪意の会議招待リンクを介した RCE”

CISA KEV 警告 25/04/16:SonicWall の脆弱性 CVE-2021-20035 を登録

CISA Issues Alert on SonicWall Flaw Being Actively Exploited

2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall の脆弱性の悪用を確認したとする、重大なセキュリティ・アラートを発令した。この脆弱性 CVE-2021-20035 は、SonicWall の SMA100 Series アプライアンスに影響を及ぼすものであり、CISA の Known Exploited Vulnerabilities (KEV) カタログに登録された。

Continue reading “CISA KEV 警告 25/04/16:SonicWall の脆弱性 CVE-2021-20035 を登録”