Aviatrix Cloud Controller Flaw Enables Remote Code Execution via Authentication Bypass
2025/06/24 gbhackers — マルチ・クラウド環境の管理に使用される、クラウド・ネットワーク・ソフトウェア Aviatrix Controller に存在する2件の深刻な脆弱性が、Mandiant Red Team の調査により発見された。認証バイパス の脆弱性 CVE-2025-2171 と、認証後のコマンド・インジェクションの脆弱性 CVE-2025-2172 の連鎖による、システム全体への侵害の可能性が懸念されている。
Continue reading “Aviatrix Controller の脆弱性 CVE-2025-2171/2172 が FIX:認証バイパスと RCE の連鎖”WinRAR Directory Vulnerability Allows Arbitrary Code Execution Using a Malicious File
2025/06/24 CyberSecurityNews — RARLAB WinRAR に、深刻なセキュリティ脆弱性 CVE-2025-6218 (CVSS:7.8) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、悪意のアーカイブ・ファイルを介して、任意のコード実行の可能性を得る。広く使用されるファイル圧縮ユーティリティ RARLAB WinRAR における、アーカイブ・ファイル内のディレクトリ・パスの処理に、この脆弱性は影響を与える。
Continue reading “WinRAR の脆弱性 CVE-2025-6218 が FIX:任意のコード実行の可能性”Zimbra Classic Web Client Vulnerability Allows Arbitrary JavaScript Execution
2025/06/24 gbhackers — Zimbra Collaboration Suite (ZCS) の Classic Web Client に、重大なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、蓄積型クロスサイト・スクリプティング (XSS) を通じて、任意の JavaScript コード実行の可能性を手にする。それにより、数百万のビジネス・ユーザーが影響を受ける恐れがある。この脆弱性 CVE-2025-27915 は、すでに修正済であるが、パッチ適用前の ZCS バージョン 9.0/10.0/10.1 に影響を及ぼし、企業のメール・セキュリティに対する重大な脅威を生み出している。
Continue reading “Zimbra Classic Web Client の脆弱性 CVE-2025-27915 が FIX:任意の JavaScript 実行の恐れ”Threat Actors Abuse ConnectWise Configuration to Build a Signed Malware
2025/06/24 CyberSecurityNews — 正規の ConnectWise リモート・アクセス・ソフトウェアを悪用し、有効な署名を持つ悪意のアプリケーションを作成するという、高度なマルウェア攻撃が出現した。このマルウェアが示すのは、サイバー犯罪の戦術の大きな進化である。2025年3月以降において、セキュリティ研究者たちが確認しているのは、EvilConwi と呼ばれる手法を用いる攻撃の急増である。それは、ConnectWise アプリケーションの正規のデジタル署名を維持する攻撃者に対して、カスタムなリモート・アクセス・マルウェアの作成を許す手法である。
Continue reading “ConnectWise コンフィグを悪用する EvilConwi マルウェア:Authenticode スタッフィング攻撃とは?”Google Cloud Donates A2A Protocol to Linux Foundation for Smarter, Secure Communication
2025/06/24 gbhackers — Agent2Agent (A2A) プロトコルが、Google Cloud から Linux Foundation に寄贈されるという画期的な展開が起こった。それは、AI エージェント間における Open/Secure/Interoperable な通信の実現に向けた、重要な一歩を踏み出すものになる。 Open Source Summit North America において、Linux Foundation が A2A プロジェクトの設立を発表した際に、この展開についての説明があった。このプロジェクトに参加するのは、Amazon Web Services/Cisco/Microsoft/Salesforce/SAP/ServiceNow などであり、大手テクノロジーによる共同イニシアチブが生まれたことになる。
Continue reading “A2A が Google Cloud から Linux Foundation へ寄贈:オープンな AI エージェント間通信とベンダー非依存の世界へ”Notepad++ Vulnerability Let Attacker Gain Complete System Control – PoC Released
2025/06/24 CyberSecurityNews — Notepad++ のバージョン 8.8.1 に、深刻な権限昇格の脆弱性が発見された。この脆弱性により、世界中の数百万のユーザーにとって、システム全体へと及ぶセキュリティ侵害の可能性が生じている。この脆弱性 CVE-2025-49144 を悪用する攻撃者は、バイナリ・プランティングと呼ばれる手法を用いて、SYSTEM レベルの権限を取得できる。この脆弱性に対しては、すでに PoC デモが公開されている。
Continue reading “Notepad++ の脆弱性 CVE-2025-49144 が FIX:SYSTEM レベルの権限取得と PoC の公開”OWASP Launches AI Testing Guide to Uncover Vulnerabilities in AI Systems
2025/06/24 gbhackers — 現代の産業において基盤となり始めている人工知能 (AI) に対して、Open Web Application Security Project (OWASP) が発表したのは、AI Testing Guide の公開である。それは、AI システム特有の脆弱性に対する、ユーザー組織による特定と軽減に役立つように設計された、包括的なフレームワークである。すでに AI は、医療や金融から自動車や IT に至るまでの、広範な分野の重要な業務を支えている。その流れの中で、専門的なセキュリティ/プライバシー/倫理的テストに対するニーズの高まりに、この取り組みは対応している。
Continue reading “OWASP が AI Testing Guide を発表:新たな問題を特定/軽減する包括的なフレームワーク”Report: Iranian hackers are trying to create a psychological war in cyberspace
2025/06/24 nextgov — 全集にイランとイスラエルの緊張が頂点に達したことを受け、テヘランと連携するハッカーによるサイバー攻撃に備えるよう、当局は国民に対して警告を発した。米国政府機関や専門家たちは、世界各地で長年にわたり重要インフラ基盤の破壊を試行してきた、イランによるサイバー侵入の事例を踏まえ、サイバー空間における脅威に焦点を当てた声明を述べている。
Continue reading “イランからのサイバー攻撃に備える:この数年の攻撃活動と心理操作を分析”
IoT OT Security News 