Stored XSS Flaw in TP-Link WR841N Routers Could Expose Admin Credentials (CVE-2025-25427)
2025/04/23 SecurityOnline — TP-Link WR841N ルーターに存在する、新たに発見されたセキュリティ脆弱性により、ユーザーにリスクが及ぶと懸念されている。この脆弱性 CVE-2025-25427 は、Web インターフェイスの “upnp.htm” ページに存在する、蓄積型クロスサイト・スクリプティング (XSS) の欠陥である。
Continue reading “TP-Link WR841N Router の脆弱性 CVE-2025-25427 が FIX:蓄積型 XSS と管理者パスワード窃取の恐れ”Zyxel Patches High-Severity Security Flaws in USG FLEX H Firewalls
2025/04/23 SecurityOnline — Zyxel が発表したのは、USG FLEX H Series ファイアウォールに存在する、セキュリティ脆弱性に対処するパッチのリリースだ。これらの脆弱性は、権限の不適切な割り当てと権限管理に関連するものであり、不正アクセスの取得と権限の昇格を、攻撃者に許すとされる。Zyxel がユーザーに推奨するのは、速やかなパッチの適用による保護である。
Continue reading “USG FLEX H Series ファイアウォールの脆弱性 CVE-2025-1731/1732 が FIX:権限昇格の可能性”Japan ’s FSA warns of unauthorized trades via stolen credentials from fake security firms’ sites
2024/04/22 SecurityAffairs — 日本の金融庁 (FSA:Financial Services Agency) が発表したのは、インターネット取引サービスにおける不正アクセスや不正取引による、被害が増加している状況を説明する情報である。金融庁は、「実在する証券会社の Web サイトを装う、フィッシング・サイトなどから窃取された、ログイン ID/パスワードなどの顧客情報を用いて、インターネット取引サービスにおける不正アクセスや不正取引 (第三者による取引) などの事案が急増している」と警告している。
Continue reading “日本の金融庁による警告:証券会社を装うフィッシングと不正取引の増加”Hackers Exploit Stolen Certificates and Private Keys to Breach Organizations
2025/04/22 gbhackers — コンテナ化されたアプリケーション領域において、盗み出した証明書と秘密鍵を悪用する脅威アクターが、組織に侵入するという懸念すべき脆弱性が、最近の調査により明らかになった。この戦術は、ハッカーに対して、セキュリティ対策の回避を許すだけではなく、長期間にわたって検知されない可能性もあるため、企業のセキュリティに重大なリスクをもたらすとされる。
Continue reading “コンテナ・イメージに流れ込む証明書と秘密鍵:SSH や VPN を守るために理解すべきことは?”CVE-2025-21204: SYSTEM-Level Privilege Escalation in Windows Update Stack Exposed, PoC Released
2025/04/22 SecurityOnline — Windows Update Stack に存在する深刻なローカル権限昇格の脆弱性 CVE-2025-21204 に対する、技術的詳細と PoC エクスプロイト・コードを、セキュリティ研究者の Elli Shlomo が公開した。この脆弱性を悪用する攻撃者は、シンボリック・リンクとディレクトリ・ジャンクションを介して標準のアクセス制御を回避し、SYSTEM レベル権限で任意のコードを実行できるという。
Continue reading “Windows Update プロセスの脆弱性 CVE-2025-21204:SYSTEM 乗っ取りの PoC が提供”Hackers Abuse Zoom’s Remote Control to Access Users’ Computers
2025/04/22 gbhackers — 新たに発覚したハッキング攻撃は、Zoom のリモート・コントロール機能を悪用し、企業幹部や暗号通貨に関連する企業を標的とするものだ。被害者のコンピュータを、攻撃者はワンクリックで乗っ取ることができる。この高度な攻撃は、ELUSIVE COMET という脅威グループによるものとされる。技術的な欠陥が悪用されたわけではなく、ソーシャル・エンジニアリングや人為的ミスが原因となり、組織セキュリティにおける最大の弱点となるという、近年の傾向を浮き彫りにしている。
Continue reading “Zoom のリモート・コントロール機能を悪用:巧妙なソーシャル・エンジニアリングに要注意”CVE-2025-33028: WinZip Flaw Exposes Users to Silent Code Execution via MotW Bypass, No Patch
2025/04/22 SecurityOnline — 人気のファイル圧縮ユーティリティ WinZip に発見されたセキュリティ上の欠陥により、数百万人のユーザーがサイレント・コード実行の危険に直面している。この脆弱性 CVE-2025-33028 を悪用する攻撃者は、細工されたアーカイブを介して悪意のペイロードを配信し、Mark-of-the-Web (MotW) バイパスを達成するため、通常の Windows セキュリティ・プロンプトをトリガーすることなく被害者を欺ける。
Continue reading “WinZip の脆弱性 CVE-2025-33028 に要注意:MotW バイパスとパッチ未適用”Critical CVE-2025-1976 Vulnerability in Brocade Fabric OS Actively Exploited
2025/04/22 SecurityOnline — Brocade Fabric OS で発見された深刻なセキュリティ脆弱性により、影響を受けるシステムに重大なリスクが生じている。この脆弱性 CVE-2025-1976 を悪用する管理者権限を持つローカル・ユーザーは、完全なルート権限で任意のコード実行を引き起こす可能性を手にする。
Continue reading “Brocade Fabric OS の深刻な脆弱性 CVE-2025-1976 が FIX:積極的な悪用を観測”Speedify VPN Vulnerability on macOS Exposes Users to System Takeover
2025/04/22 gbhackers — macOS 向け Speedify VPN アプリケーションに存在する、深刻なセキュリティ脆弱性 CVE-2025-25364 により、システム全体への侵害のリスクが、数百万のユーザーに対して生じている。この、Speedify の特権ヘルパー・ツールに存在する脆弱性は、SecureLayer7 の研究者たちにより発見された。この脆弱性の悪用に成功したローカルの攻撃者は、任意のコマンドを root 権限で実行し、影響を受けるシステムを完全に制御する可能性を手にする。
Continue reading “Speedify VPN の脆弱性 CVE-2025-25364 が FIX:システムの制御奪取の可能性”Booking.com Phishing Scam Uses Fake CAPTCHA to Install AsyncRAT
2025/04/21 HackRead — 偽の Booking.com メールを使用してホテルのスタッフを狙う、新たなフィッシング・キャンペーンが確認された。この攻撃はソーシャル・エンジニアリングを巧みに利用し、被害者自身のシステム上で悪意のコマンドを実行させ、最終的にホテルのネットワークを AsyncRAT に感染させ、さらなる侵害の拡大を目的とするものだ。
Continue reading “Booking.com を装うフィッシング詐欺:偽の CAPTCHA を使用して AsyncRAT を展開”CVE-2025-42599: Critical Buffer Overflow in Active! mail Exploited in the Wild
2025/04/21 SecurityOnline — QUALITIA の Active! mail に深刻なセキュリティ脆弱性 CVE-2025-42599 (CVSS:9.8) が発見され、影響を受けるシステムに重大なリスクが生じると懸念されている。この脆弱性に関するアドバイザリが、Japan Computer Emergency Response Team (JPCERT) から公開されている。
Continue reading “Active! mail の脆弱性 CVE-2025-42599 が FIX:任意のコード実行やサービス拒否の可能性”Critical Meshtastic RCE Vulnerability (CVE-2025-24797) Requires Urgent Update
2025/04/21 SecurityOnline — 携帯電話やインターネットによる接続に依存することなく長距離/低消費電力の通信を可能にする、OSS の LoRa メッシュ・ネットワーク・プラットフォーム Meshtastic に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24797 (CVSS:9.4) は、ファームウェア・バージョン 2.6.2 未満を実行するデバイスにおいて、未認証のリモートコード実行 (RCE) を許すものである。
Continue reading “Meshtastic の深刻な脆弱性 CVE-2025-24797 が FIX:不正なメッシュ・パケットによる RCE”Critical PyTorch Vulnerability Allows Hackers to Run Remote Code
2025/04/21 gbhackers — OSS 機械学習フレームワークとして広く利用される PyTorch に、新たに発見された深刻な脆弱性 CVE-2025-32434 を悪用する攻撃者は、AI モデルをロードするシステム上で、任意のコード実行の可能性を手にする。この問題は、”weights_only=True” などのセキュリティ対策が有効化されている場合にも起こり得る。
Continue reading “PyTorch の深刻な脆弱性 CVE-2025-32434 が FIX:セキュリティ対策の不備によるコード実行”Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems
2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ3つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。
Continue reading “npm に潜む悪意のパッケージを発見:Telegram Bot API を装い SSH バックドアを展開”GitHub Enterprise Server Vulnerabilities Expose Risk of Code Execution and Data Leaks
2025/04/19 SecurityOnline — GitHub がリリースしたのは、GitHub Enterprise Server に存在する、複数の脆弱性に対処するセキュリティ・アップデートである。これらの脆弱性には、攻撃者に対して任意のコード実行を許す可能性のある、深刻度の高い脆弱性が含まれている。GitHub Enterprise Server を使用する組織に対して、強く推奨されるのは、これらのパッチを速やかに適用し、システムを保護することだ。
Continue reading “GitHub Enterprise の脆弱性 CVE-2025-3509 などが FIX:コード実行や認証バイパスなどの可能性”ASUS routers with AiCloud vulnerable to auth bypass exploit
2025/04/18 SecurityAffairs — ASUS が発表したのは、AiCloud 対応ルーターに影響を及ぼす、認証バイパスの脆弱性 CVE-2025-2492 (CVSS v4:9.2) に関する警告である。この脆弱性悪用に成功したリモート攻撃者は、デバイス上で不正な機能を実行する機会を得る。リモート攻撃者は、認証を必要とすることなく、細工されたリクエストの送信により、この脆弱性を悪用できるという。
Continue reading “ASUS の AiCloud 対応ルーターの脆弱性 CVE-2025-2492 が FIX:細工されたリクエストの送信で認証バイパス”CISA warns threat hunting staff of end to Google, Censys contracts as agency cuts set in
2025/04/18 NextGov — Cybersecurity and Infrastructure Security Agency (CISA) が、今週に数百人の職員に対して通知した内容は、サイバー・セキュリティ・ツールの1つを廃止し、脅威ハンティングに特化したツールの廃止も予定しているというものである。事情に詳しい2人の関係者の内部メールを、Nextgov/FCW が確認したことで、この動きが明らかになった。
Continue reading “CISA における予算削減の余波:VirusTotal と Censys との利用契約が終了か?”GCVE: Decentralizing Vulnerability Identification for Greater Agility
2025/04/18 SecurityOnline — 新たな取り組みとして始動した Global CVE (GCVE) 割り当てシステムは、セキュリティ脆弱性の特定と、CVEID の採番という重要な作業に、分散型のアプローチを導入している。このシステムでは、独立した GCVE Numbering Authorities (GNA) が CVE ID を直接的に割り当てられるようになるため、従来の中央集権型の手法と比べて、より高い自律性と迅速さが期待されている。
Continue reading “GCVE という新たな取組:CVE ID 管理を中央集権から分散へと向かわせる”Critical CVE-2025-32433 PoC Released: Erlang/OTP SSH Vulnerability Enables RCE
2025/04/18 SecurityOnline — Erlang/OTP SSH アプリケーションに存在する、深刻な脆弱性 CVE-2025-32433 に対する、PoC エクスプロイト・コードを、匿名のセキュリティ研究者が公開した。この脆弱性により、脆弱なバージョンの Erlang/OTP SSH サーバを実行するシステム上で、認証を必要としないリモート・コード実行が可能になる。この状況は、テレコム・グレードの高可用性インフラを、Erlang に依存する環境にとって大きな懸念事項となる。
Continue reading “Erlang/OTP SSH の深刻な脆弱性 CVE-2025-32433:PoC がリリース”Critical Bubble.io Vulnerability Exposes Apps to Data Theft via Elasticsearch, No Patch
2024/04/18 SecurityOnline — 人気急上昇中のノーコード開発プラットフォーム Bubble.io に、アプリケーションと機密データを危険にさらす、深刻なセキュリティ脆弱性が発見された。この脆弱性は、2024年にセキュリティ研究者たちにより発見されたものであり、その悪用に成功した攻撃者は、プラットフォームの制限を回避し、基盤となる Elasticsearch データベースに対するダイレクトなクエリ実行を可能にする。
Continue reading “Bubble.io の深刻な脆弱性 CVE-N/A:全ユーザー・データの漏洩と No Patch と PoC”2025/04/18 SecurityAffairs — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、Apple 製品および Microsoft Windows NTLM の脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。今回、KEV に追加されたのは、以下の3件の脆弱性である。
CVE-2024-53141: Linux Kernel Flaw Enables Privilege Escalation, PoC Releases
2025/04/18 SecurityOnline — Linux Kernel の脆弱性 CVE-2024-53141 (CVSS:7.8) に関する、技術的詳細と PoC エクスプロイトを、あるセキュリティ研究者が公開した。この脆弱性は、netfilter サブシステムの ipset コンポーネントにおける、深刻な境界外アクセス (OOB:out-of-bounds) の欠陥であり、bitmap_ip_uadt 関数の微妙なバグに起因する。そのため、脅威アクターに対して、強力なエクスプロイト・チェーンが提供され、権限昇格/KASLR バイパスに加えて、完全なカーネル・レベルでのコード実行の可能性が生じる。
Continue reading “Linux Kernel の脆弱性 CVE-2024-53141:権限昇格と RCE の PoC がリリース”Hitachi Vantara Patches Critical Resource Injection Flaw in Pentaho
2025/04/18 SecurityOnline — Hitachi Vantara が発表したのは、広く利用される Pentaho Data Integration & Analytics プラットフォームに存在する、深刻な脆弱性に対処するための緊急セキュリティ・アドバイザリである。この脆弱性 CVE-2025-0756 (CVSS:9.1) は、リソース識別子の不適切な制御に起因するリソース・インジェクションを引き起こすものであり、特定の条件下ではリモート・コード実行にいたる可能性もある。
Continue reading “Hitachi Vantara の脆弱性 CVE-2025-0756 が FIX:リソース・インジェクションの可能性”CISA Warns of Potential Credential Exploits Linked to Oracle Cloud Hack
2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Oracle Cloud のレガシー環境に対する不正アクセスの可能性があるとの報告を受け、警告を発した。現時点において、インシデントの全容と影響は調査中だが、CISA の警告が浮き彫りにするのは、認証情報の漏洩リスクに対する深刻な懸念である。この脅威には、組織/個人 のユーザーに影響を及ぼす可能性がある。
Continue reading “CISA 警告:Oracle Cloud ハッキングに関する分析と予防措置”RomethemeKit Elementor Plugin Flaw Enables RCE: CVE-2025-30911
2025/04/17 SecurityOnline — 30,000+ のインストール数を誇る WordPress プラグイン RomethemeKit For Elementor に発見された脆弱性により、認証済みの悪意のユーザーが、不適切な権限の取得と nonce チェックを達成し、リモート・コード実行 (RCE) に到達するという。この脆弱性 CVE-2025-30911 の CVSS スコアは 9.9 であり、Critical と評価されている。
Continue reading “WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX:低権限ユーザーによる RCE”Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE
2025/04/17 SecurityOnline — 通信/分散システム/リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。
Continue reading “Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX:SSH の欠陥と未認証での RCE”Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution
2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x/7.x/8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x/8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。
Continue reading “PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム”Cisco Patches CVE-2025-20236: Unauthenticated RCE Flaw in Webex App via Malicious Meeting Links
20225/04/17 SecurityOnline — Cisco が発表したのは、Webex アプリに存在する深刻な脆弱性に対処する、重要なセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者に対して、悪意の会議招待リンクを介した、認証を必要としないリモート・コード実行 (RCE) が許される可能性がある。この脆弱性 CVE-2025-20236 (CVSS:8.8) は、Cisco Webex デスクトップ・アプリの複数バージョンに影響を及ぼす。
Continue reading “Cisco Webex の脆弱性 CVE-2025-20236 が FIX:悪意の会議招待リンクを介した RCE”CISA Issues Alert on SonicWall Flaw Being Actively Exploited
2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall の脆弱性の悪用を確認したとする、重大なセキュリティ・アラートを発令した。この脆弱性 CVE-2021-20035 は、SonicWall の SMA100 Series アプライアンスに影響を及ぼすものであり、CISA の Known Exploited Vulnerabilities (KEV) カタログに登録された。
Continue reading “CISA KEV 警告 25/04/16:SonicWall の脆弱性 CVE-2021-20035 を登録”Urgent Apple Security Patch: Zero-Day Exploits Target iPhones
2025/04/16 SecurityOnline — Apple が公表したのは、macOS/iOS/iPadOS/tvOS/visionOS などで構成される、エコシステム全体を対象とする緊急セキュリティ・アップデートのリリースに関する情報である。それにより、2つのゼロデイ脆弱性が修正されたが、すでに特定の iPhone ユーザーを標的とする、極めて高度な攻撃で積極的に悪用されているという。
Continue reading “Apple のゼロデイ脆弱性 CVE-2025-31200/31201 が FIX:サイバースパイによる悪用を確認”CVE-2025-24054: Actively Exploited NTLM Hash Disclosure Vulnerability
2025/04/16 SecurityOnline — Windows の脆弱性 CVE-2025-24054 が、積極的に悪用されていると、Check Point Research が警告を発している。この新たに公開された脆弱性だが、細工された “.library-ms” ファイルを悪用する攻撃者に対して、NTLMv2-SSP ハッシュの漏洩を許すとされる。2025年3月11日の修正プログラムで、すでに Microsoft がパッチを提供している脆弱性 CVE-2025-24054 であるが、Windows のサポートが有効な全バージョンに影響を与えるものであり、その公開から2週間も経たないうちに実環境で攻撃に悪用されている。
Continue reading “Windows の脆弱性 CVE-2025-24054:NTLM ハッシュ漏洩の大規模キャンペーンが発覚”Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
Continue reading “Firefox の脆弱性 CVE-2025-3608 が FIX:競合状態によるメモリ破壊のリスク”CISA Extends CVE Program Funding to Prevent Critical Service Disruption
2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。
Continue reading “CVE Program の危機が回避された:CISA から MITRE への資金提供の継続が決定”Oracle April 2025 CPU: 378 Security Patches Released
20225/04/16 SecurityOnline — 2025年4月15日に Oracle は、最新の Critical Patch Update (CPU) をリリースし、広範な製品ポートフォリオ全体をカバーする、378件のセキュリティ・パッチを提供した。この 2025年4月版の CPU が網羅するのは、データベース/ミドルウェア/クラウド/通信アプリケーションなどであり、その中にはグローバルな金融機関/通信事業者/クラウドの中核を成すものも含まれている。
Continue reading “Oracle の April 2025 クリティカル・パッチ・アップデート:378 件のセキュリティ脆弱性に対応”CVE Foundation Launched to Secure Vulnerability Tracking
2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府 終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。
Continue reading “CVE プログラムの未来を担う CVE Foundation が発足:グローバルな脆弱性管理体制へ”Critical CVE-2025-32445 Vulnerability in Argo Events Scores CVSS 10
2025/04/16 SecurityOnline — Kubernetes 向けのイベント・ドリブンなワークフロー自動化フレームワーク Argo Events に、深刻なセキュリティ脆弱性 CVE-2025-32445 (CVSS:10.0) が発見された。
Continue reading “Argo Events の深刻な脆弱性 CVE-2025-32445 が FIX:ホスト・システム/クラスタへの特権アクセス”MITRE warns that funding for critical CVE program expires today
2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。
Continue reading “CVE プログラムに対する政府資金が終了:MITRE が懸念するセキュリティ分野への影響”Windows 11 Privilege Escalation Flaws Uncovered: CVE-2025-24076 and CVE-2025-24994
2025/04/16 SecurityOnline — Microsoft Windows に存在する2つの権限昇格の脆弱性 CVE-2025-24076/CVE-2025-24994 が、Compass Security の研究者である John Ostrowski の分析結果により明らかになった。必要な権限を持たないユーザーであっても、これらの脆弱性を悪用することで、DLL ハイジャック攻撃を引き起こしり、ローカル SYSTEM レベルの権限を取得する可能性を手にするという。
Continue reading “Windows 11 の権限昇格の脆弱性 CVE-2025-24076/24994:DLL ハイジャックの PoC”Tails 6.14.2 Released with Critical Fixes for Linux Kernel Vulnerabilities
2025/04/16 gbhackers — Tails プロジェクトが公表したのは、Linux カーネル/Perl プログラミング言語の深刻なセキュリティ脆弱性を修正した、Tails 6.14.2 の緊急リリースである。複数の脆弱性の影響を受け、システムの安全性を損なわれる可能性が生じている。したがって、この緊急リリースは、Tails のセキュリティ/プライバシー機能に依存するユーザーにとって、きわめて重要なものである。
Continue reading “Tails 6.14.2 がリリース:Linux Kernel と Perl の深刻な脆弱性に対応”PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature
2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ/セキュリティへの対応により、わずか2時間強で修復された。
Continue reading “PyPI Organizations に深刻な脆弱性:報告から2時間で修正され被害もなし”CrushFTP Hit by SSRF and Directory Traversal Vulnerabilities (CVE-2025-32102 & CVE-2025-32103)
2025/04/15 SecurityOnline — 人気のファイル転送サーバ CrushFTP は、2件の深刻なセキュリティ脆弱性が発見されたことを受け、厳しい監視に直面している。CVE-2025-32102 と CVE-2025-32103 として特定された脆弱性は、それぞれが、サーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃と、ディレクトリ・トラバーサル攻撃の脅威になり得る。
Continue reading “CrushFTP の脆弱性 CVE-2025-32102/32103 が FIX:SSRF/D Traversal の可能性”Apache Roller Vulnerability Allows Hackers to Bypass Access Controls
2025/04/15 gbhackers — 人気の OSS ブログ・サーバ Apache Roller に、新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、重要なアクセス制御を回避し、パスワード変更後であっても、アカウントへの不正アクセスを維持する可能性を持つ。
Continue reading “Apache Roller の脆弱性 CVE-2025-24859 が FIX:パスワード変更後の不正アクセス?”Fortinet Uncovers Threat Actor Persistence via Symbolic Link Exploit in FortiGate Devices
2025/04/14 SecurityOnline — サイバー・セキュリティ・コミュニティへの緊急アラートとして Fortinet が発表したのは、FortiGate アプライアンスの既知の脆弱性を悪用する、脅威キャンペーンの活発な展開に関する詳細である。このキャンペーンでは、セキュリティ・アップデート適用が実施された後であっても、不正な読み取り専用アクセスを可能にする、新たなポスト・エクスプロイトの手法が用いられている。Fortinet の CISO である Carl Windsor は、「最近のインシデントにより、既知の脆弱性が悪用されるという事例が活発に発生している。この問題が、ますます注目を集めている」と述べている。
Continue reading “Fortinet の古い脆弱性を悪用する脅威アクター:シンボリック・リンクと SSL-VPN の悪用”CVE-2025-32428: Jupyter Remote Desktop Proxy Exposes TigerVNC to Network Access
2025/04/14 SecurityOnline — Jupyter ノートブック・インターフェイス内で、XFCE などの GUI デスクトップ環境を実行する Jupyter エクステンションである Jupyter Remote Desktop Proxy に、深刻なセキュリティ脆弱性が存在することを、研究者たちが発見した。この脆弱性 CVE-2025-32428 (CVSSv4:9.0) は、Jupyter Remote Desktop Proxy と TigerVNC とを併用した場合に発生し、ネットワーク経由で意図せず VNC サービスが公開されてしまうという、本来の設計に反する事態を引き起こす。
Continue reading “Jupyter Remote Desktop Proxy の脆弱性 CVE-2025-32428 が FIX:TigerVNC との組み合わせが危険”IBM Aspera Faspex Flaw Allows Injection of Malicious JavaScript in Web UI
2025/04/14 gbhackers — 広く普及しているファイル交換ソリューション IBM Aspera Faspex 5 に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-3423 (CVSS:5.4) を悪用する攻撃者は、Web インターフェイスに悪意の JavaScript を挿入し、ユーザーの機密データを侵害する可能性を手にする。
Continue reading “IBM Aspera Faspex の脆弱性 CVE-2025-3423 が FIX:Web UI への悪意の JavaScript の挿入”Urgent: Yii 2 Vulnerability CVE-2024-58136 Under Active Exploit
2025/04/14 SecurityOnline — PHP Web アプリ・フレームワークとして人気を博す Yii 2 に、脆弱性 CVE-2024-58136 (CVSS:9.1) が発見された。この脆弱性が影響を及ぼす範囲は、バージョン 2.0.52 未満となる。Yii 2 のダウンロード数は 2,500万回を超えており、数え切れないほどの Web アプリで使用されているため、この脆弱性は、開発者やサイト管理者にとって重大な懸念事項となっている。
Continue reading “Yii 2 の脆弱性 CVE-2024-58136 が FIX:安全が確保されないリフレクションの可能性”China admitted its role in Volt Typhoon cyberattacks on U.S. infrastructure
2025/04/13 SecurityAffairs — 米国当局者が行った中国サイドとの秘密会談で、Volt Typhoon オペレーションに関連する、米国インフラへのサイバー攻撃の実行が、暗に認められたと Wall Street Journal (WSJ) が報じている。同紙によると、2024年12月のジュネーブ首脳会談で、中国当局者は米国のインフラへの Volt Typhoon オペレーションに関連するサイバー攻撃を間接的に認めたという。この攻撃は、米国の台湾支援に関連していると報じられている。
Continue reading “中国政府と Volt Typhoon:昨年 12月のジュネーブ秘密会談で中国当局が関与を示唆?”2025/04/13 SecurityOnline — システム管理や Web 開発などの、さまざまな用途で広く使用される汎用プログラミング言語 Perl に、セキュリティ上の脆弱性が発見された。このヒープバッファ・オーバーフローの脆弱性 CVE-2024-56406 は、Perl バージョン 5.34/5.36/5.38/5.40 に影響を及ぼす。
Continue reading “Perl の脆弱性 CVE-2024-56406 が FIX:サービス拒否のおそれとコード実行の可能性”CVE-2025-32896: Apache SeaTunnel Flaw Enables Unauthenticated File Read & RCE
2025/04/13 SecurityOnline — 分散データ統合プラットフォームとして広く利用される Apache SeaTunnel に、新たな脆弱性 CVE-2025-32896 が発見された。この脆弱性を悪用する未認証の攻撃者により、任意のファイル読取りなどの、デシリアライゼーション・ベースの攻撃が実行される可能性が生じている。
Continue reading “Apache SeaTunnel の脆弱性 CVE-2025-32896 が FIX:File Read & RCE の可能性”Critical Vulnerability in Everest Forms Plugin Threatens WordPress Sites
2025/04/12 SecurityOnline — WordPress プラグイン Everest Forms で発見された深刻なセキュリティ脆弱性により、10万以上の Web サイトが潜在的なリスクにさらされている。この脆弱性 CVE-2025-3439 (CVSS:9.8) は、PHP オブジェクト・インジェクションの欠陥であり、それを悪用する未認証の攻撃者に対して、悪意のコード挿入を許すものである。
Continue reading “WordPress Everest Forms の脆弱性 CVE-2025-3439 が FIX:PHP オブジェクト・インジェクションの可能性”
IoT OT Security News 
You must be logged in to post a comment.