CISA Clarifies CVE Program’s Stability Amid Funding Concerns
2025/04/24 SecurityOnline — CVE (Common Vulnerabilities and Exposures) プログラムの不安定さを懸念する、最近のメディア報道を受けるかたちで CISA は、最も重要なサイバー・セキュリティ・インフラの一つである CVE を維持するコミットメントを、強い声明で再確認している。
Continue reading “CVE プログラムの今後:CISA が再確認する継続的なサポートの約束とは?”Redis Vulnerability Exposes Servers to Denial-of-Service Attacks
2024/04/24 SecurityOnline — 広く利用される OSS のインメモリ・データ・ストア Redis に、深刻な脆弱性が発見された。この脆弱性を悪用する未認証の攻撃者により、サーバ・メモリの枯渇と、サービス拒否 (DoS) 状態が引き起こされる可能性がある。脆弱性 CVE-2025-21605 (CVSS:7.5) は、Redis のバージョン 2.6 以降に影響を及ぼすものだ。
Continue reading “Redis の脆弱性 CVE-2025-21605 が FIX:サービス拒否 (DoS) 攻撃の可能性”Multiple Cisco Tools at Risk from Erlang/OTP SSH Remote Code Execution Flaw
2024/04/24 gbhackers — Cisco が発行したのは、Erlang/OTP の SSH サーバを使用する製品群に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に関する、重要なアドバイザリ (cisco-sa-erlang-otp-ssh-xyZZy) である。この脆弱性 CVE-2025-32433 (CVSS:10.0) の悪用に成功した未認証の攻撃者は、脆弱なデバイス上で任意のコード実行を達成し、企業のネットワーク/クラウド・インフラ/通信システムにリスクをもたらす。
Continue reading “Cisco 製品群に影響を及ぼす Erlang/OTP SSH の脆弱性 CVE-2025-32433:暫定アドバイザリが公開”GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-1763/2443 などが FIX:XSS によるアカウント乗っ取りの恐れ”High-Severity SonicWall SSLVPN Vulnerability Allows Firewall Crashing
2024/04/24 SecurityOnline — SonicWall が公開したのは、SonicOS SSLVPN Virtual Office インターフェイスに影響を及ぼす脆弱性に関する情報である。この脆弱性を悪用するリモートの攻撃者は、ファイアウォール・アプライアンスをクラッシュさせる可能性を手にする。この脆弱性 CVE-2025-32818 (CVSS:7.5) は、SonicWall Gen7 デバイスを用いてセキュアなネットワーク・アクセスを実現している企業にとって、深刻度の高い問題となっている。
Continue reading “SonicWall SSLVPN の脆弱性 CVE-2025-32818 が FIX:ファイアウォール・クラッシュの恐れ”Hackers Exploit Ivanti Connect Secure 0-Day to Deploy DslogdRAT and Web Shell
2025/04/24 gbhackers — Ivanti Connect Secure のゼロデイ脆弱性 CVE-2025-0282 を悪用する脅威アクターが、Web シェルや DslogdRAT などの、高度な悪意のツールを展開している。JPCERT/CC の詳細な分析によると、これらの攻撃が浮き彫りにするのは、サイバー犯罪者たちに頻繁に標的化される、Ivanti 製品における執拗かつ最新のリスクである。
Continue reading “Ivanti Connect Secure の脆弱性 CVE-2025-0282 が標的:DslogdRAT の展開を検証 – JPCERT/CC”159 CVEs Exploited in Q1 2025 — 28.3% Within 24 Hours of Disclosure
2025/04/24 TheHackerNews — 2025 Q1 において、実環境で悪用された CVE は 159件にのぼり、2024 Q4 の 151件から増加していることが明らかになった。セキュリティ企業 VulnCheck は、「脆弱性の情報が公開されてから、悪用されるまでの時間の短縮という傾向が続いており、CVE 公開から 1 日以内に悪用された脆弱性は、28.3% に達している」と、The Hacker News に共有したレポートで述べている。
Continue reading “2025 Q1 に悪用された CVE は 159件:1日以内に攻撃が始まったのは 28.3% – VulnCheck 調査”NVIDIA NeMo Vulnerability Enables Remote Exploits
2025/04/24 gbhackers — NVIDIA が発表したのは、AI 搭載アプリケーションの開発に広く使用される NeMo Framework に存在する、深刻度の高い3件の脆弱性に対処する緊急セキュリティ・アドバイザリである。
Continue reading “NVIDIA NeMo の脆弱性 CVE-2025-23249/23250/23251 が FIX:RCE の恐れ”CVE-2025-34028: Critical RCE Flaw in Commvault Command Center Scores CVSS 10
2024/04/24 SecurityOnline — Commvault が公開したのは、Command Center に影響を与える、深刻な脆弱性 CVE-2025-34028 (CVSS:10.0) に関する情報である。この脆弱性を悪用する未認証のリモート攻撃者は、任意のコード実行を達成し、システム全体でセキュリティ侵害を引き起こす可能性を手にする。公式アドバイザリには、「Command Center に重大なセキュリティ脆弱性が発見された。この脆弱性により、リモート攻撃者が、認証を必要とすることなく、任意のコード実行を引き起こす可能性がある」と記されている。
Continue reading “Commvault Command Center の脆弱性 CVE-2025-34028 (CVSS 10.0) が FIX:ただちにパッチを!”CVE-2024-6235: NetScaler Console Flaw Enables Admin Access, PoC Publishes
2025/04/24 SecurityOnline — Citrix NetScaler Console に発見された、深刻な脆弱性 CVE-2024-6235 (CVSSv4:9.4) の詳細が、セキュリティ研究者である chutton-r7 により解析され、認証を必要としないセッション乗っ取りにいたることが判明した。この脆弱性を悪用する攻撃者は、内部 API を介して管理者アカウントを作成できる。この脆弱性は情報漏洩に分類されており、きわめて深刻な影響を、実環境に及ぼすとされる。
Continue reading “NetScaler Console の脆弱性 CVE-2024-6235:2024/07 のパッチ適用と PoC のリリース”Verizon DBIR 2025: Vulnerability Exploitation Surges, Third-Party Breaches Double
2025/04/24 SecurityOnline — Verizon のデータ漏洩調査報告書 2025年版 (Data Breach Investigations Report:DBIR) が明らかにするのは、組織が注意を払うべき、サイバー脅威の状況における重要な変化である。このレポートでは、データ侵害が確認された 12,195 件のインシデントが分析されており、攻撃者による脆弱性の悪用が、主要なイニシャル・アクセスポイントとして増加している状況が示されている。
Continue reading “Verizon DBIR 2025:脆弱性悪用とサードパーティ経由による侵害が急増”Grafana Patches CVE-2025-3260 and More in Critical Security Update
2025/04/24 SecurityOnline — Grafana Labs が公表したのは、複数の製品バージョンにまたがる、セキュリティ・アップデートのリリースである。このアップデートでは、Grafana OSS/Enterprise エディションに影響を及ぼす、深刻度が High 脆弱性1件と、Medium の脆弱性2件が修正されている。最も深刻な脆弱性 CVE-2025-3260 (CVSS:8.3:High) に関しては、最小権限のユーザーであっても、それを悪用することで、ダッシュボードに対する不正なアクセスや変更の機会を得るという。
Continue reading “Grafana の脆弱性 CVE-2025-3260/2703/3454 が FIX:ダッシュボード権限バイパスなどの恐れ”
IoT OT Security News 