Day: April 25, 2025

WooCommerce 管理者を標的とする偽のセキュリティ警告:フェイク・パッチへの誘導に要注意

WooCommerce Users Targeted by Fake Security Vulnerability Alerts

2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。

Continue reading “WooCommerce 管理者を標的とする偽のセキュリティ警告:フェイク・パッチへの誘導に要注意”

Windows Update を止めてしまう “inetpub” フォルダ削除:沈黙を貫く Microsoft

Microsoft’s Patch for Symlink Exploit Introduces New Windows Update DoS Flaw

2025/04/25 SecurityOnline — 2025年4月に Microsoft は、Windows に存在するセキュリティ脆弱性 CVE-2025–21204 に対する修正の一環として、SYSTEM ルート・ディレクトリに “inetpub” という空のフォルダを作成した。このディレクトリの用途は、Internet Information Services (IIS) が Web サイトのファイルを保存するためのものだが、なんの説明もなく出現したことで、多くのユーザーがバグだと思い込み、手動で削除したケースもあるという。

Continue reading “Windows Update を止めてしまう “inetpub” フォルダ削除:沈黙を貫く Microsoft”

Craft CMS の脆弱性 CVE-2025-32432 の悪用を検出:Yii の脆弱性との連鎖が発生

Craft CMS RCE exploit chain used in zero-day attacks to steal data

2025/04/25 BleepingComputer — Craft CMS に影響を及ぼす2件の脆弱性が、ゼロデイ攻撃で連鎖的に利用され、サーバへの侵入ベクターとなり、データ窃取にいたるという攻撃が発生し、現在も悪用が続いていると、CERT Orange Cyber​​defense が警告している。これらの脆弱性は、侵害を受けたサーバの調査に招集された、Orange Cyber​​defense の CSIRT により発見されたものだ。

Continue reading “Craft CMS の脆弱性 CVE-2025-32432 の悪用を検出:Yii の脆弱性との連鎖が発生”

Chrome の解放後メモリ使用の脆弱性:新たな MiraclePtr 防御メカニズムで撃退

Chrome UAF Process Vulnerabilities Actively Exploited

2025/04/25 gbhackers — Google Chrome ブラウザ・プロセスに存在する、2つの深刻な解放後メモリ使用 (UAF) 脆弱性が実際に悪用され、サンドボックス・エスケープや任意のコード実行の危険が生じていることが、セキュリティ研究者たちにより明らかにされた。その一方で Google は、MiraclePtr 防御メカニズムを導入しており、これらの脆弱性の悪用の道が閉ざされるという、ブラウザ・セキュリティにおける重要なマイルストーンが達成された。

Continue reading “Chrome の解放後メモリ使用の脆弱性:新たな MiraclePtr 防御メカニズムで撃退”

SAP NetWeaver の脆弱性 CVE-2025-31324 が FIX:すでに悪用を観測

New Critical SAP NetWeaver Flaw Exploited to Drop Web Shell, Brute Ratel Framework

2025/04/25 TheHackerNews — SAP NetWeaver の新たな脆弱性を悪用する攻撃者が、 JSP Web シェルを展開し、不正ファイルのアップロードやコード実行を試みているようだ。2025年4月22日に ReliaQuest が公開したレポートによると、「この攻撃は、以前に開示された “脆弱性 CVE-2017-9844” もしくは “未報告のリモート・ファイル・インクルージョン (RFI) 脆弱性” の、いずれかと関連している可能性が高い」という。すでに最新のパッチが適用されたシステムの一部が影響を受けていることから、この攻撃がゼロデイ攻撃である可能性が高いと、同社は指摘している。

Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324 が FIX:すでに悪用を観測”

Apple Archive の脆弱性 CVE-2024-27876 が FIX:任意のファイル書込と Gatekeeper バイパスと PoC

CVE-2024-2787: Apple Archive Flaw Enables Arbitrary File Write and Gatekeeper Bypass, PoC Releases

2025/04/25 SecurityOnline — Apple 独自の libAppleArchive ライブラリで発見された、脆弱性 CVE-2024-27876 (CVSS:8.1) を悪用する攻撃者は、macOS/iOS システム上で任意のファイルへの書き込みを達成するため、Apple Gatekeeper 保護を回避する可能性を手にすると指摘されている。この深刻な脆弱性は、セキュリティ研究者である Snoolie Keffaber により発見されたものであり、技術的分析と PoC エクスプロイトにより武器化が実証されている。

Continue reading “Apple Archive の脆弱性 CVE-2024-27876 が FIX:任意のファイル書込と Gatekeeper バイパスと PoC”

Spring Security の脆弱性 CVE-2025-22234 が FIX:タイミング攻撃を可能にするバグが混入

Spring Security Vulnerability Exposes Valid Usernames to Attackers

2025/04/25 gbhackers — Spring Security で発見されたセキュリティ脆弱性 CVE-2025-22234 により、広く使用されているフレームワークの深刻な弱点が露呈した。この脆弱性は spring-security-crypto パッケージの複数のバージョンに影響するものであり、ログイン応答時間の顕著な差を分析する攻撃者が、有効なユーザー名を判別できるようになるため、タイミング攻撃の攻撃経路となると、HeroDevs のレポートが指摘している。

Continue reading “Spring Security の脆弱性 CVE-2025-22234 が FIX:タイミング攻撃を可能にするバグが混入”