CVE-2025-47539: Critical Privilege Escalation Flaw Hits 10K+ WordPress Eventin Sites
2025/05/16 SecurityOnline — WordPress で人気を誇る Eventin 管理プラグインに深刻な脆弱性が発見され、それを修正するプログラムが公開されている。このプラグインを利用することで、出欠確認/チケット販売などの、カレンダー・ベースのイベントを管理するサイトは、10,000+ に達すると言われている。
Continue reading “WordPress Eventin の脆弱性 CVE-2025-47539 が FIX:深刻な権限昇格”iOS Kernel Vulnerability Exposed in Public PoC – Potential Jailbreak and Privilege Escalation Risk
2025/05/16 SecurityOnline — Apple が 2023年に修正した深刻な iOS カーネル脆弱性 CVE-2023-41992 が、iOS のセキュリティ研究者 @karzan_0x455 が公開した PoC (Proof of Concept) により、再び注目を集めている。この脆弱性は、複数の Apple プラットフォームに影響するものであり、悪意のアプリが署名検証を回避し、特権昇格を達成する恐れがあるというものだ。
Continue reading “iOS カーネルの脆弱性 CVE-2023-41992:2023年に修正済だが PoC が公開”CISA Flags Actively Exploited Vulnerabilities in Chrome, SAP, and DrayTek Routers
2025/05/16 SecurityOnline — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
Popular Selenium Library WebDriverManager Hit by Critical XXE Bug (CVE-2025-4641, CVSS 9.3)
2025/05/16 SecurityOnline — Selenium ベースの自動化フレームワークで広く使用されている重要な Java ライブラリ、WebDriverManager に、重大な XML 外部エンティティ (XXE) の脆弱性 CVE-2025-4641 が発見された。この脆弱性は、CVSS スコアで 9.3 と評価されており、Windows/macOS/Linux を含む複数のプラットフォームに深刻な影響を及ぼす可能性がある。
Continue reading “WebDriverManager の脆弱性 CVE-2025-4641 が FIX:Java ライブラリに XXE 情報漏洩と不正アクセス”Pgpool-II Hit by Critical CVE-2025-46801: CVSS 9.8 Risk Lets Attackers Bypass Authentication
2025/05/16 SecurityOnline — PgPool Global Development Group が発行したのは、PostgreSQL サーバとデータベース・クライアントの間で使用されるミドルウェア Pgpool-II に存在する、深刻度の高い脆弱性に対するセキュリティ・アドバイザリの発行である。この脆弱性 CVE-2025-46801 は、特定のミスコンフィグにより認証バイパスを許すものであり、CVSS スコアは 9.8 となっている。
Continue reading “Pgpool-II の脆弱性 CVE-2025-46801 が FIX:ミスコンフィグによる認証バイパス”Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication
2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。
Continue reading “Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?”Jenkins Plugin Flaws Expose Critical Risks: CVE-2025-47889 Hits 9.8 CVSS with Auth Bypass
2025/05/16 SecurityOnline — 人気のオープンソース自動化サーバ Jenkins は、多くの開発チームや運用チームにとって不可欠なツールである。最近のセキュリティ・アドバイザリで指摘されたのは、各種の Jenkins プラグインに存在する複数の深刻な脆弱性であり、それらが悪用されると重大なリスクが生じるという。
Continue reading “Jenkins の複数プラグインの脆弱性が FIX:WSO2 Oauth の CVE-2025-47889 は No Patch”Critical NAS Risk: I-O DATA Flaw with 9.8 CVSS Allows Remote Command Execution
2025/05/16 SecurityOnline — 集中管理されたストレージとデータ・アクセスを提供する Network Attached Storage (NAS) は、家庭および企業のネットワークに不可欠なコンポーネントとなっている。先日の JPCERT/CC アドバイザリによると、I-O DATA DEVICE の HDL-T Series NAS デバイスに発見された複数の深刻な脆弱性により、データ・セキュリティとネットワーク整合性に重大なリスクが生じているという。
Continue reading “I-O DATA HDL-T NAS の深刻な脆弱性 CVE-2025-32002 などが FIX:リモート・コマンド実行の恐れ”Patch Now: SonicWall SMA1000 Flaw (CVE-2025-40595) Enables Stealth SSRF Attacks
2025/05/16 SecurityOnline — SonicWall SMA1000 Series アプライアンスで発見された、サーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用するリモート攻撃者は、エンコードされた URL を介して、制限されているはずの内部リソースへのアクセスを得るという。この脆弱性 CVE-2025-40595 (CVSS:7.2) の存在により、セキュア・アクセスのために SMA1000 を利用する企業環境に、深刻なリスクが生じている。
Continue reading “SonicWall SMA1000 の SSRF 脆弱性 CVE-2025-40595 が FIX:ステルス性攻撃の誘発の恐れ”
IoT OT Security News 