BeyondTrust PRA Vulnerability (CVE-2025-0217) Enables Session Hijacking via Authentication Bypass
2025/05/05 securityonline — BeyondTrust の Privileged Remote Access (PRA) に、深刻なセキュリティ脆弱性が発見された。PRA を用いて特権セッションを管理する組織にとって、この脆弱性は深刻なリスクとなり得る。同社のアドバイザリによると、この脆弱性はローカル認証のバイパスに関するものであり、CVE-2025-0217 として追跡されている。
Continue reading “BeyondTrust PRA の脆弱性 CVE-2025-0217 が FIX:特権セッション乗っ取りの恐れ”MediaTek Fixes Multiple Security Flaws in Smartphone, Tablet, and TV Chipsets
2025/05/05 gbhackers — SmartPhone/Tablet/AIoT/Smart TV 向けチップセット技術のプロバイダーである MediaTek は、製品ポートフォリオの全体にわたる、複数のセキュリティ脆弱性に対処する、重要なパッチをリリースした。新たに公開された MediaTek 製品のセキュリティ速報が説明するのは、脆弱性および、影響を受けるデバイスの範囲、潜在的な影響などの詳細である。
Continue reading “MediaTek Chipset の複数の脆弱性が FIX:OEM からのアップデート通知をチェック”Multiple Flaws in Tenda RX2 Pro Let Attackers Gain Admin Access
2025/05/05 gbhackers — Tenda RX2 Pro Dual-Band Gigabit Wi-Fi 6 Router (ファームウェア V16.03.30.14) に、一連の深刻な脆弱性が存在することを、セキュリティ研究者が発見した。これらの脆弱性の悪用に成功したリモート攻撃者は、デバイスの管理者権限を取得し、多くのケースにおいて、完全なルート権限を取得するとされる。すでに研究者たちが通知を行っているが、Tenda は対応しておらず、パッチも提供されていない。Tenda の Web 管理ポータル/ファームウェア/内部サービスで発見された、11 件の脆弱性には個別の CVE が割り当てられている。
Continue reading “Tenda RX2 Pro に複数の深刻な脆弱性:管理者権限の不正取得の恐れとパッチ未適用の状況”Critical SQL Injection Vulnerability Found in ADOdb PHP Library – CVE-2025-46337 (CVSS 10.0)
2025/05/05 SecurityOnline — 世界中で 280万件以上のインストール数を誇る PHP データベースの抽象化ライブラリ ADOdb に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-46337 は、PostgreSQL ドライバの pg_insert_id() メソッドに存在し、脆弱なアプリケーション上での任意の SQL コマンド実行を、攻撃者に許す可能性があるものだ。
Continue reading “ADOdb PHP Library の脆弱性 CVE-2025-46337 (CVSS 10.0) が FIX:深刻な SQLi の恐れ”Apache Parquet Java Vulnerability Enables Remote Code Execution
2025/05/05 gbhackers — Apache Parquet Java に、深刻度の高い脆弱性 CVE-2025-46762 が発見された。この脆弱性により、parquet-avro モジュールを使用するシステムに、リモート・コード実行 (RCE) 攻撃の可能性が生じている。この脆弱性は、Apache Parquet のバージョン 1.15.1 以下に影響を及ぼすものであり、2025年5月2日に、コントリビューターである Gang Wu により公開された。
Continue reading “Apache Parquet Java の脆弱性 CVE-2025-46762 が FIX:メタデータに埋め込まれた悪意のコードの自動実行”SonicWall Exploit Chain Exposes Admin Hijack Risk via CVE-2023-44221 and CVE-2024-38475
2025/05/05 SecurityOnline — SonicWall の Secure Mobile Access (SMA) アプライアンスを標的とする、新たな PoC エクスプロイト・チェーンが公開された。この、watchTowr Labs が公開した技術情報は、脆弱性 CVE-2023-44221/CVE-2024-38475 を組み合わせることで、未認証のリモート攻撃者が管理者セッションを乗っ取り、任意のコード実行を達成する仕組みが解説されている。
Continue reading “SonicWall の脆弱性 CVE-2023-44221/CVE-2024-38475:任意のコード実行を実証する PoC が登場”CVE-2025-31191: Microsoft Exposes macOS Vulnerability Allowing App Sandbox Escape
2025/05/05 SecurityOnline — macOS に存在する深刻な脆弱性について、Microsoft Threat Intelligence が明らかにした。この脆弱性を悪用する攻撃者は、App Sandbox を回避し、影響を受けるシステム上で不正なコード実行の可能性を得る。この脆弱性 CVE-2025-31191 により、サンド・ボックス化されたアプリ内のセキュリティ・スコープ・ブックマークの悪用と、ユーザーの操作を必要としない App Sandbox エスケープが、攻撃者に対して許されるため、深刻なリスクがもたらされる。
Continue reading “macOS App Sandbox エスケープの脆弱性 CVE-2025-31191 が FIX:不正なコード実行の可能性”
IoT OT Security News 