Samsung MagicINFO flaw exploited days after PoC exploit publication
2025/05/06 SecurityAffairs — Samsung の CMS (Content management system) である MagicINFO の脆弱性が、PoC エクスプロイトの公開からわずか数日で、攻撃者たちにより悪用され始めたことが判明した。この脆弱性 CVE-2024-7399 (CVSS:8.8) は、Samsung MagicINFO 9 Server 21.1050 未満に存在し、制限されたディレクトリへのパス名の不適切な制限に起因する。この脆弱性の悪用に成功した攻撃者は、システム権限で任意のファイルを書き込む可能性を手にすると、Arctic Wolf の研究者たちは指摘している。
Continue reading “Samsung MagicINFO の脆弱性 CVE-2024-7399:PoC 公開と悪用の観測”Second Wave of Attacks Hitting SAP NetWeaver After Zero-Day Compromise
2025/05/06 SecurityWeek — SAP NetWeaver インスタンスに存在する、ゼロデイ脆弱性を悪用する脅威アクターたちが、第二波の攻撃を開始していると、エンタープライズ・アプリケーション・セキュリティ Onapsis が警告している。このゼロデイ脆弱性 CVE-2025-31324 (CVSS:10.0) は、2025年4月の Security Patch Day の速報を SAP が更新し、この脆弱性に対処する新たな注記を追加した後の、4月24日に公開されたものだ。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:第二波の攻撃を観測”Google fixes actively exploited FreeType flaw on Android
2025/05/06 BleepingComputer — Google は、Android 向けの 2025年5月セキュリティ・アップデートをリリースした。このアップデートでは、45件のセキュリティ脆弱性が修正されているが、その中には、現在も悪用されている FreeType 2 のゼロクリック・コード実行の欠陥も含まれる。FreeType は、人気の OSS フォント・レンダリング・ライブラリであり、画像の表示や、プログラムによるテキストの追加にも対応している。この脆弱性 CVE-2025-27363 は、深刻度の高い任意のコード実行を許すものであり、Facebook のセキュリティ研究者たちにより、2025年3月に発見された。
Continue reading “Google の FreeType on Android の脆弱性 CVE-2025-27363 が FIX:任意のコード実行の恐れ”Microsoft Warns of Attackers Exploiting Misconfigured Apache Pinot Installations
2025/05/06 SecurityWeek — Kubernetes のセキュリティについて Microsoft が実施した調査により、Apache Pinot のミスコンフィグのあるインスタンスを、脅威アクターたちが標的にしていることが明らかになった。Apache Pinot は、大規模なデータセットを高速かつ低レイテンシでクエリできるように設計された、OSS のリアルタイム分析プラットフォームである。それが評価され、Walmart/Uber/Slack/LinkedIn/Wix/Stripe などの世界有数の企業で、Pinot は使用されている。
Continue reading “Apache Pinot のミスコンフィグ:Kubernetes との組み合わせで生じる欠陥への攻撃 – Microsoft”2025/05/06 SecurityOnline — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン OttoKit に発見された深刻な脆弱性により、無数の Web サイトがセキュリティ侵害の危険にさらされている。この脆弱性 CVE-2025-27007 (CVSS 9.8) は、Denver Jackson により発見され、Patchstack ゼロデイ・バグ報奨金プログラムを通じて公開された。そして、公開から1時間も経たないうちに悪用が始まってしまったという。
Continue reading “WordPress OttoKit Plugin の脆弱性 CVE-2025-27007 が FIX:すでに悪用が始まっている”Unauthenticated DoS Vulnerability Crashes Windows Deployment Services, No Patch
2025/05/06 SecurityOnline — Windows Deployment Services (WDS) に発見されたサービス拒否 (DoS) の脆弱性を悪用する、認証を必要としないリモートの攻撃者により、企業ネットワークのクラッシュにいたる恐れがあると、セキュリティ研究者の Zhiniang Peng が詳細な技術分析を提供している。
Continue reading “Windows Deployment Services (WDS) のサービス拒否の脆弱性:未承認/ゼロクリック/未パッチ”CVE-2025-2905 (CVSS 9.1): Critical XXE Vulnerability Found in WSO2 API Manager
2025/05/06 SecurityOnline — WSO2 API Manager 2.0.0 以下のバージョンに、XML 外部エンティティ (XXE) の脆弱性が発見された。この脆弱性 CVE-2025-2905 (CVSS:9.1) は、ゲートウェイ・コンポーネントに存在する。同社のアドバイザリによると、この脆弱性は、細工された URL パスを処理する際の 、XML 入力の検証不備に起因するとのことだ。WSO2 は、「ユーザーから提供された XML が、十分な制限をかけずに解析されるため、XML 外部エンティティ (XXE) 解決が可能な状況にある」と詳述している。
Continue reading “WSO2 API Manager の脆弱性 CVE-2025-2905 が FIX:XXE 攻撃にいたる恐れ”Digigram PYKO-OUT AoIP Devices Exposed to Attacks Due to Missing Default Password
2025/05/06 SecurityOnline — Digigram の PYKO-OUT audio-over-IP (AoIP) 製品にセキュリティ上の脆弱性が発見され、BGM やライブ・アナウンスなどのアプリケーションでの使用に懸念が生じている。この脆弱性 CVE-2025-3927 は、ログイン情報やパスワードを必要としないデバイスの、デフォルト・コンフィグレーションに起因するものだ。
Continue reading “Digigram PYKO-OUT AoIP の脆弱性 CVE-2025-3927:デフォルト・コンフィグの問題と EOL”Researcher Exploits Regex Filter Flaw to Gain Remote Code Execution
2025/05/06 gbhackers — フロントエンドの正規表現フィルタ(/^[a-zA-Z0-9]{1,20}$/)により制限されるユーザー名フィールドが、対象となるアプリケーションには含まれており、英数字だけを受け入れるように設計されていた。当初、この方式は堅牢に見えたが、正規表現チェック後に、バックエンドが入力を再検証していないことを、研究者たちが発見した。この見落としにより、特別に細工されたペイロードがクライアント側の制御をバイパスし、サーバ上で任意のコマンドを実行できる状態になっていた。
Continue reading “Regex Filter の脆弱性:正規表現に対するバックエンド再検証が不可欠な理由とは?”Critical IBM Cognos Analytics Vulnerabilities Demand Urgent Patching
2025/05/06 SecurityOnline — IBM が公表したのは、主力 BI プラットフォーム Cognos Analytics に存在する、2件の深刻な脆弱性に対処するセキュリティ・アップデートをリリースである。同社のアドバイザリは、これらの脆弱性を悪用する攻撃者は、システムの侵害/機密データの漏洩/サーバー・クラッシュなどを引き起こす可能性があると警告している。
Continue reading “IBM Cognos Analytics の脆弱性 CVE-2024-51466/40695 が FIX:機密データの漏洩などの恐れ”CISA Issues Alert on Langflow Vulnerability Actively Exploited in Attacks
2025/05/06 gbhackers — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、Langflow の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性 CVE-2025-3248 の悪用に成功した未認証の攻撃者は、リモートからの悪意のコード実行の可能性を手にするという。したがって、この OSS フレームワークを、Language Model アプリケーションの構築に使用する組織において、深刻なリスクが生じている。
Continue reading “CISA KEV 警告 25/05/05:Langflow の脆弱性 CVE-2025-3248 を登録”
IoT OT Security News 