Over 100,000 WordPress Sites Exposed to Privilege Escalation via MCP AI Engine
2025/06/19 gbhackers — 10 万件以上の WordPress サイトにインストールされている、人気のプラグイン AI Engine に存在する深刻なセキュリティ脆弱性が、Wordfence 脅威インテリジェンス・チームにより発見された。この脆弱性 CVE-2025-5071 (CVSS:8.8) は、Model Context Protocol (MCP) を経由する際の、認可不備による権限昇格と分類されている。
Continue reading “WordPress AI Engine Plugin の脆弱性 CVE-2025-5071 が FIX:MCP 経由の権限昇格の可能性”Microsoft Entra ID Expands Passkey (FIDO2) Authentication Methods for Public Preview
2025/06/19 CyberSecurityNews — Microsoft が発表したのは、Microsoft Entra ID (旧 Azure AD) におけるパスキー (FIDO2) 認証手段の拡充である。それにより、同社の IAM (identity and access manage) 機能がさらに強化される。この機能拡張の展開は、2025年10月中旬よりパブリック・プレビューとして段階的に開始され、11月中旬には全面的なものになると予定されている。今回のアップデートでは、グループ単位での詳細な Passkeys 設定が可能となり、エンタープライズ認証の安全性と柔軟性が大幅に向上する。
Continue reading “Microsoft Entra ID が進化:グループごとの Passkeys 詳細設定に対応”Jitter-Trap: New Method Uncovers Stealthy Beacon Communications
2025/06/19 gbhackers — Varonis Threat Labs が発表したのは、画期的な検出手法 Jitter-Trap である。この手法は、サイバー攻撃ライフサイクルの中で、最も検知が難しいフェーズの一つである、ポスト・エクスプロイトの攻撃と C2 通信を特定する方法に、革命をもたらすものだと期待されている。脅威アクターたちが検出の回避に用いる、ランダム性の活用という画期的な手法により、従来からの検出回避戦術が、強力な検出ツールへと変貌していくという。
Continue reading “Jitter-Trap という C2 追跡ツール:ビーコン通信のランダム性を逆手にとる戦略とは?”jQuery Migrate Library Silently Compromised to Steal Logins Using Parrot Traffic Direction System
2025/06/19 CyberSecurityNews — 信頼性の高い jQuery Migrate ライブラリを武器化し、ステルス性の高いマルウェアを拡散することで、ユーザーの認証情報やセッション・データを収集する、高度なサプライチェーン攻撃が出現した。この攻撃をセキュリティ研究者たちが特定したのは、正当に見える中東のビジネス Web サイトにアクセスした、ある上級管理職の異常なオンライン行動を調査したときである。この異常な行動とは、公式の “jquery-migrate-3.4.1.min.js” ライブラリを装いながら、悪意の JavaScript ファイルのサイレント配信をトリガーするものだった。
Continue reading “jQuery Migrate Library を武器化するサプライチェーン攻撃:Parrot を用いるサイレント侵害の手口を解明”ClamAV 1.4.3 and 1.0.9 Released with Fixes for Critical Remote Code Execution Vulnerability
2025/06/19 gbhackers — ClamAV 開発チームが公表したのは、システムの整合性を損なう可能性のある深刻な脆弱性を解決するための、2つの重要なセキュリティ・パッチリリース (Ver 1.4.3/1.0.9) のリリースである。さらに、1.4 LTS リリース向けに、Linux aarch64 (ARM64) RPM/ インストーラー・パッケージを導入し、ARM ベースのアーキテクチャにおける互換性が高められている。
Continue reading “ClamAV の脆弱性 CVE-2025-20260/20234 が FIX:DoS と RCE への対応”Cisco AnyConnect VPN Flaw Allows Attackers to Launch DoS Attacks
2025/06/19 gbhackers — Cisco Meraki MX/Z Series デバイス向けの、AnyConnect VPN 実装に存在する脆弱性により、エンタープライズ・ネットワークに深刻なリスクが生じているという。未認証の攻撃者が、サービス拒否 (DoS) 状態を引き起こし、リモート・アクセスの妨害を可能にするという。この脆弱性 CVE-2025-20271 (CVSS:8.6) は、Cisco Meraki ゲートウェイに依存して、安全なリモート接続を維持/管理している組織に、大きな影響を与えると示唆される。
Continue reading “Cisco AnyConnect VPN の脆弱性 CVE-2025-20271 がFIX:変数初期化エラーと DoS 攻撃”Apache Traffic Server Vulnerability Allows DoS Attacks Through Memory Exhaustion
2025/06/19 gbhackers — Apache Traffic Server (ATS) に発見された脆弱性が、エンタープライズ・ユーザーやクラウド・プロバイダーの間で、深刻な懸念を引き起こしている。Edge Side Include (ESI) プラグインの欠陥を悪用する攻撃者は、サーバのメモリ枯渇を引き起こすことでサービス拒否 (DoS) 攻撃を仕掛けることが可能となる。この脆弱性 CVE-2025-49763 は、ATS の複数バージョンに影響を及ぼすものであるため、Apache Software Foundation は緊急の緩和策ガイダンスを発表した。
Continue reading “Apache Traffic Server の脆弱性 CVE-2025-49763/31698 がFIX:ESI Plugin と ACL の問題”Open Next SSRF Flaw in Cloudflare Lets Hackers Fetch Data from Any Host
2025/06/19 gbhackers — @opennextjs/cloudflare パッケージに、深刻なサーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性が発見された。それにより、Open Next の Cloudflare アダプターを用いて展開される Web サイトに、重大なセキュリティ・リスクが生じている。この脆弱性 CVE-2025-6087 の悪用に成功した未認証の攻撃者は、脆弱なサイトのドメインを経由して、任意のリモート・コンテンツをプロキシ化し、その結果として、フィッシング/データ漏洩/ドメインの悪用などを引き起こす可能性を手にする。
Continue reading “Cloudflare 版 Open Next の SSRF 脆弱性 CVE-2025-6087 が FIX:データ漏洩とドメイン悪用”
IoT OT Security News 