New Linux Vulnerabilities Surge 967% in a Year
2025/05/15 InfoSecurity — 2024年に Linux と macOS で発見された脆弱性の件数が劇的に増加したと、Action1 の最新分析が語っている。サイバー・セキュリティ・ベンダーである Action1 の、2025 Software Vulnerability Ratings Report は、National Vulnerability Database (NVD) とSecurityScorecard の CVEdetails.com サイトの詳細分析をベースにしたものだ。Action1 の推計によると、2024年に発見された脆弱性の総数は、前年比で 61% 増の 6,761件となるが、Linux の脆弱性は “前例のない” 967%増の 3,329件に達したという。
Continue reading “2024年の脆弱性を分析:Linux の発生件数は 967% 増/全体的な悪用件数は 96% 増”High-Risk Flaws in a-blog cms: CVE-2025-36560 Scores Critical 9.2 on CVSS Scale
2025/05/15 SecurityOnline — appleple が開発する、人気の CMS である a-blog cms に、複数のセキュリティ上の欠陥が存在することを、JPCERT/CC が公表した。これらの脆弱性は、パストラバーサル/クロスサイト・スクリプティング (XSS)/サーバ・サイド・リクエスト・フォージェリ (SSRF)/ログ・インジェクションなどの多岐にわたり、Web サイトとユーザーに深刻なリスクをもたらす。
Continue reading “a-blog cms の CVE-2025-36560 などが FIX:XSS や SSRF の組み合わせとセッション乗っ取りの可能性”Pen Testing for Compliance Only? It’s Time to Change Your Approach
2025/05/15 TheHackerNews — 次のような状況を想像してほしい。ある組織が、1月に年次ペネトレーション・テストを完了し、セキュリティ・コンプライアンスで高い評価を得た。そして2月には、開発チームが定期的なソフトウェア・アップデートを導入した。しかし4月には、そのアップデートで混入した脆弱性を悪用する攻撃者が、顧客データにアクセスした。それは、この脆弱性が検知される数週間前のことだった。
U.S. CISA adds a Fortinet flaw to its Known Exploited Vulnerabilities catalog
2025/05/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet の複数製品に存在するスタック・バッファオーバーフロー脆弱性 CVE-2025-32756 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。それに先行するかたちで Fortinet が公表したのは、企業向け電話システムを標的とする攻撃で悪用された、FortiVoice のリモートコード実行の脆弱性 CVE-2025-32756 に対処する、セキュリティ・アップデートのリリースである。
Continue reading “CISA KEV 警告 25/05/14:Fortinet FortiVoice などの RCE 脆弱性 CVE-2025-32756 を登録”Node.js Alerts: High-Severity Flaw (CVE-2025-23166) Risks Remote System Crashes! Update Immediately!
2025/05/15 SecurityOnline — Node.js チームの最新のセキュリティ情報で公開されたのは、24.x/23.x/22.x/20.x リリース・ライン向けの重要な更新プログラムである。これらのパッチは、深刻度が Low から High までの、複数の脆弱性を修正するものだ。
Continue reading “Node.js の脆弱性 CVE-2025-23166 などが FIX:システム・クラッシュなどの恐れ”Fortinet Patches Critical TACACS+ Authentication Bypass (CVE-2025-22252) in FortiOS and FortiProxy
2025/05/15 SecurityOnline — Fortinet が公表したのは、FortiOS/FortiProxy/FortiSwitchManager などの製品に影響を与える、深刻な脆弱性 CVE-2025-22252 (CVSS 9.0) に対するパッチをリリースである。この脆弱性は、TACACS+ の認証タイプを ASCII で使用するようにコンフィグされたシステムにのみ発生する。この CVE-2025-22252 の悪用に成功した攻撃者は、認証をバイパスして管理者権限を取得するとされる。
Continue reading “Fortinet 製品群の脆弱性 CVE-2025-22252 (CVSS 9.0) が FIX:認証バイパスの恐れ”Google Chrome Zero-Day Vulnerability (CVE-2025-4664) Actively Exploited in The Wild
2025/05/15 gbhackers — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 136.0.7103.113/.114 と、Linux のバージョン 136.0.7103.113 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけてユーザーに公開され、世界中のユーザーが最新の機能強化を利用できるようになる。
Continue reading “Google Chrome のアップデート:ゼロデイ脆弱性 CVE-2025-4664 などが FIX”2025/05/15 SecurityOnline — Intel の長年にわたる Spectre 対策を無効化し、パッチを完全に適用したシステムであってもメモリ・リークを許す、新たな投機的実行攻撃 Branch Privilege Injection (CVE-2024-45332) を、ETH チューリッヒのセキュリティ研究者たちが公開した。ETH チューリッヒの COMSEC (Computer Security Group) が公表した、この脆弱性は、Intel CPU で新たに発見された競合状態を悪用し、分岐ターゲット・インジェクション (Spectre-BTI) 攻撃の威力を復活させ、さらに強化するものだ。
Continue reading “Intel の Spectre 対策を無効化する CVE-2024-45332:新たな投機的実行攻撃とPoC の提供”Critical Authentication Bypass in OpenPubkey and OPKSSH Exposes Systems to Remote Access Risks
2025/05/15 SecurityOnline — OpenPubkey 認証プロトコルと関連ツールである OPKSSH に、2件の深刻な脆弱性が発見された。これらの脆弱性を悪用する攻撃者は、認証メカニズムの回避を達成し、不正アクセスの可能性を得る。ユーザーまたはワークロードが生成する公開鍵を、OpenID Connect (OIDC) に統合するためのプロトコル OpenPubkey は、暗号検証プロセスに深刻な欠陥があることを、最近になって明らかにした。これらの脆弱性 CVE-2025-3757/CVE-2025-4658 (CVSS v4:9.3) は、深刻度 Critical と評価されている。
Continue reading “OpenPubkey/OPKSSH の認証バイパスの脆弱性 CVE-2025-3757/4658 が FIX:不正リモート・アクセスのリスク”Xerox Patches Dozens of Vulnerabilities in FreeFlow Print Server with April 2025 Security Update
2025/05/15 SecurityOnline — 2025年5月12日に Xerox が発表したのは、セキュリティ速報 XRX25-009 の公開と、Windows 10上で動作する FreeFlow Print Server v2 向けの、2025年4月のセキュリティ・パッチ・アップデートのリリースである。Xerox の主要プロダクション・プリンターである、iGen5 Press/Baltoro HF/Brenva HD などをサポートする、このアップデートは、数十の深刻な脆弱性に対処し、更新された OSS コンポーネントを統合し、強化された暗号化標準を導入するものだ。
Continue reading “Xerox のセキュリティ速報 XRX25-009:iGen5 Press/Baltoro HF/Brenva HD などに対応”
IoT OT Security News 