May 14, 2025 – IoT OT Security News

Windows RD Gateway の脆弱性 CVE-2025-26677／29831 に注目：2025/05 月例で FIX

Critical Vulnerability in Windows Remote Desktop Gateway Allows Denial-of-Service Attacks

2025/05/14 gbhackers — Microsoft が公表したのは、Remote Desktop Gateway (RDG) に存在する、２つの深刻な脆弱性に関する情報である。これらの脆弱性により、組織のネットワークに重大なリスクが生じる可能性がある。脆弱性 CVE-2025-26677／CVE-2025-29831 は、Microsoft により Important と評価され、それぞれが、サービス拒否 (DoS) 攻撃と、リモート・コード実行 (RCE) を引き起こすと指摘されている。すでに、これらの脆弱性は、Microsoft の May 2025 Path Tuesday のセキュリティ更新プログラムで修正されているが、リモート・アクセス・インフラのセキュリティ確保における、大きな課題を浮き彫りにしている。

Microsoft Outlook の脆弱性 CVE-2025-32705 に注目：2025/05 月例で FIX

Critical Microsoft Outlook Flaw Enables Remote Execution of Arbitrary Code

2025/05/14 gbhackers — Microsoft Outlook で新たに発見された、脆弱性 CVE-2025-32705 を悪用する攻撃者は、メモリ破損を引き起こし、侵害を受けたシステム上での任意のコード実行の機会を得る。

Microsoft Defender の脆弱性 CVE-2025-26684 に注目：2025/05 月例で FIX

Microsoft Defender Vulnerability Allows Unauthorized Privilege Gain

2025/05/14 gbhackers — Microsoft Defender for Endpoint で新たに発見された脆弱性 CVE-2025-26684 は、ファイル・パスの不適切な処理の悪用という侵害経路を生み出し、システムへのローカル権限昇格攻撃の可能性を生じる。この脆弱性の CVSS スコアは 6.7 で Important と評価されている。この脆弱性を悪用する高権限を持つ認証済みの攻撃者は、ファイル名またはパスを操作し、任意のコード実行の可能性を手にする。この脆弱性は “CWE-73：ファイル名またはパスの外部制御” に起因することを、Microsoft は確認しているが、2025年5月13日の時点で、アクティブな悪用は確認されていないという。

Microsoft Active Directory CS の脆弱性 CVE-2025-29968 に注目：2025/05 月例で FIX

Microsoft Alerts on AD CS Flaw Enabling Remote Denial-of-Service Attacks

2025/05/14 gbhackers — Microsoft が公開したのは、Active Directory Certificate Services (AD CS) で新たに確認された、脆弱性 CVE-2025-29968 に関するセキュリティ・アドバイザリである。この脆弱性を悪用する認証済の攻撃者は、ネットワーク上の重要な証明書管理操作を妨害する可能性を手にする。この脆弱性は、不適切な入力検証 (CWE-20) に起因し、CVSS v3.1 スコアは 6.5 で Important と評価され、AD CS サーバに対するサービス拒否 (DoS) 攻撃を引き起こすとされる。現時点において、悪用事例や公開情報は報告されていないが、組織に対して強く推奨されるのは、パッチ適用を優先的に実施して、サービス中断の可能性を軽減することである。

Ivanti Neurons for ITSM の脆弱性 CVE-2025-22462 が FIX：認証バイパスと管理者権限の不正取得

Ivanti Neurons for ITSM Hit by CVSS 9.8 Authentication Bypass Flaw Enabling Full Admin Access

2025/05/14 SecurityOnline — Ivanti が公表したのは、オンプレミスの Neurons for ITSM プラットフォーム向けの、緊急セキュリティ・パッチのリリースである。新たに発見された深刻な脆弱性 CVE-2025-22462 (CVSS：9.8) は、未認証の攻撃者に管理者権限の取得を許す可能性のあるものだ。この脆弱性が悪用されると、推奨されるネットワーク制限や、セキュア・コンフィグを実施していないユーザーに深刻なリスクが生じる。

Varnish の脆弱性 CVE-2025-47905 が FIX：HTTP リクエスト・スマグリングの恐れ

Varnish Vulnerability Exposes Cache to HTTP Request Smuggling

2025/05/14 SecurityOnline — Varnish Software が公開したのは、Varnish Cache と Varnish Enterprise のクライアント・サイドにおける、非同期化に関連する脆弱性 CVE-2025-47905 の存在である。この脆弱性を悪用する攻撃者は、特定の不正な HTTP/1 チャンク・リクエストという条件下で、HTTP リクエスト・スマグリング攻撃の可能性を得るという。この脆弱性の深刻度は Low〜Medium と評価されているが、パッチを適用せずに放置すると、キャッシュ・ポイズニング／WAFバイパスなどに加えて、下流におけるセキュリティ・リスクにつながる可能性がある。

Bitnami Pgpool の脆弱性 CVE-2025-22248 とミスコンフィグ：PostgreSQL への不正アクセスが可能に

Critical Misconfiguration in Bitnami Pgpool Enables Unauthenticated PostgreSQL Access (CVE-2025-22248)

2025/05/14 SecurityOnline — Bitnami Pgpool-II Docker image および bitnami/postgres-ha Kubernetes Helm chart に存在する、深刻なセキュリティ脆弱性が確認された。この脆弱性は CVE-2025-22248 として追跡されており、CVSS v4 スコアは 9.4 と評価されている。この脆弱性を悪用する攻撃者は、認証を必要とすることなく、PostgreSQL データベースへアクセスを手にするようだ。

Windows Ancillary Function Driver の脆弱性 CVE-2025-32709 が FIX：すでに悪用を観測

Windows Ancillary for WinSock 0-Day Vulnerability Actively Exploited to Gain Admin Access

2025/05/14 gbhackers — Microsoft が確認したのは、Windows Ancillary Function Driver for WinSock の深刻な特権昇格の脆弱性 CVE-2025-32709 の悪用である。この、use-after-free 脆弱性の悪用に成功した、基本的なユーザー権限を持つローカル攻撃者は、SYSTEM レベルのアクセス権を取得する可能性を手にし、パッチを未適用のシステムに対して重大なリスクをもたらす恐れがある。この脆弱性は 2025年5月13日に初めて公表され、CVSS 基本スコアは 7.8 (High) ／temporal スコアは 6.8 とされている。これらの評価は、パッチの公開前の、実環境での攻撃の確認が反映されたものだ。

Samsung MagicINFO の脆弱性 CVE-2025-4632 が FIX：RCE やサーバ乗っ取りの恐れ

Critical CVE-2025-4632 Flaw in Samsung MagicINFO Puts Global Signage Networks at Risk

2025/05/14 SecurityOnline — Samsung MagicINFO サーバに発見された深刻な脆弱性 CVE-2025-4632 (CVSS：9.8) は、小売／運輸／医療／企業環境などの多様な業界のデジタル・サイネージ・インフラに、重大なリスクをもたらしている。この脆弱性は、制限されたディレクトリへ向けたパス名の不適切な制限に起因し、悪用に成功した未認証の攻撃者は、システム・レベル権限での任意のファイル書込みの可能性を手にする。

Microsoft Scripting Engine の脆弱性 CVE-2025-30397 に注目：2025/05 月例で FIX

New Microsoft Scripting Engine Vulnerability Exposes Systems to Remote Code Attacks

2025/05/14 gbhackers — Microsoft Scripting Engine に存在する、深刻なゼロデイ脆弱性により、ネットワーク経由でのリモートコード実行 (RCE) 攻撃が可能になることが確認され、企業／個人ユーザーにとって喫緊の懸念事項となっている。脆弱性 CVE-2025-30397 はタイプ・コンヒュージョン (CWE-843) に分類されており、このエンジンがメモリ内でデータ型を処理する方法を操作する攻撃者は、セキュリティ・メカニズムを回避できる。Microsoft は、この脆弱性を CVSS v3.1 スコア 7.5 (Important) と評価し、パッチが提供される前に、標的型攻撃で悪用された事例があると認めている。

WordPress TheGem Theme の脆弱性 CVE-2025-4317／4339 が FIX：連鎖によるサイト乗っ取りの恐れ

82,000+ WordPress Sites at Risk: TheGem Theme Vulnerabilities Allow Full Site Takeover

2025/05/14 SecurityOnline — Wordfence が開示した情報によると、ThemeForest で販売され、82,000件以上の実績を持つ、人気のプレミアム WordPress テーマ TheGem に、２つの深刻な脆弱性が発見されたようだ。これらの脆弱性 CVE-2025-4317／CVE-2025-4339 を、サブスクライバー・レベル以上のアクセス権を持つ、認証済みユーザーが悪用すると、影響を受ける Web サイトの完全な制御を奪われる可能性があるという。

Windows RDP の脆弱性 CVE-2025-29966／29967 に注目：2025/05 月例で FIX

New Windows RDP Vulnerability Enables Network-Based Attacks

2025/05/14 gbhackers — Microsoft が公表したのは、Windows RDP サービスに存在する、２件の深刻な脆弱性に関する情報である。これらの脆弱性により、攻撃者はネットワーク経由で脆弱なシステム上で任意のコードを実行できる可能性がある。この脆弱性 CVE-2025-29966／CVE-2025-29967 は、ヒープ・バッファオーバーフローの欠陥であり、それぞれが Windows の Remote Desktop Protocol (RDP) と Remote Desktop Gateway (RD Gateway) サービスに影響を及ぼすという。２つの脆弱性の CVSS v3.1 スコアは 8.8 であり、企業ネットワークやクラウド環境を混乱させる可能性が指摘されている。