1,500 Jenkins Servers Vulnerable to Command Injection via Git Parameter Plugin
2025/08/12 gbhackers — Jenkins が公開した、31 件のプラグイン脆弱性には、CVE-2025-53652 (別名 SECURITY-3419) が含まれる。当初、この脆弱性の深刻度は Medium と評価されていた。Git パラメータ・プラグインに影響を及ぼすものであり、”攻撃者に対して Git パラメータへの任意の値の挿入を許す” とだけ説明されていたが、深刻な悪用の可能性を過小に評価していた。
Continue reading “Jenkins の Git Plugin における深刻な脆弱性 CVE-2025-53652:コマンド・インジェクションの可能性”7000+ Citrix NetScaler Devices Still Vulnerable to CVE-2025-5777 and CVE-2025-6543
2025/08/12 CyberSecurityNews — 7,000台を超える Citrix NetScaler アプライアンスが、深刻な脆弱性 CVE-2025-5777/CVE-2025-6543 に対して、パッチ未適用の状態にある。Citrix が複数の勧告を行い、CISA が KEV カタログにエントリしたのに加えて、オランダ NCSC などの各国のサイバー・セキュリティ機関が情報を更新しているが、依然として脅威アクターたちは、大量の未対策デバイスを標的としている。
Continue reading “Citrix NetScaler の脆弱性 CVE-2025-5777/6543:依然として 7,000 台以上のデバイスが危険な状態”Ivanti Connect Secure, Policy Secure, and ZTA Flaws Allow Attackers to Launch DoS Attacks
2025/08/12 gbhackers — Ivanti が発表したのは、Connect Secure/Policy Secure/ZTA Gateway に存在する複数の脆弱性に対処するための、重要なセキュリティ・アップデートのリリースである。これらの脆弱性を悪用するリモートの攻撃者は、サービス拒否 (DoS) 攻撃を実行できる。2025年8月12日に、Ivanti は4件の脆弱性情報を公開した。これらの CVSS スコアは Medium から High の深刻度であり、情報の公開時点において悪用の事例は確認されていない。
Continue reading “Ivanti 製品群の脆弱性4件が FIX:サービス拒否 (DoS) 攻撃などの可能性”Critical Zoom Clients for Windows Vulnerability Lets Attackers Escalate Privileges
2025/08/12 CyberSecurityNews — Zoom for Windows クライアントに影響を及ぼす、深刻な脆弱性が公開された。この脆弱性を悪用する攻撃者は、権限昇格を達成し、ユーザー・システムを侵害する機会を得る。ZSB-25030 セキュリティ情報において、この脆弱性は CVE-2025-49457 として特定され、CVSS スコアは 9.6 と評価されている。また、重大な影響が及ぶ範囲は、機密性/整合性/可用性であり、深刻度は Critical に分類されている。
Continue reading “Zoom for Windows の脆弱性 CVE-2025-49457 が FIX:権限昇格の恐れ”Fortinet SSL VPN Targeted by Hackers from 780 Unique IP Addresses
2025/08/12 gbhackers — Fortinet SSL VPN システムに対するブルートフォース攻撃の急増を、GreyNoise のサイバーセキュリティ研究者たちが検知した。僅か1日の間に 780 以上の固有 IP アドレスから協調攻撃が仕掛けられ、最近の数か月における、この種の攻撃としては最多件数を記録した。この攻撃キャンペーンが示すのは、Fortinet のエンタープライズ・ネットワーク・インフラを標的とする攻撃が顕著に増加し、その手法がランダム・スキャンではなく、標的を正確に侵害していることだ。
Continue reading “Fortinet SSL VPN 標的のブルートフォース攻撃を確認:780 以上の固有 IP アドレスが関与”17,000+ VMware ESXi Servers Vulnerable to Critical Integer-Overflow Vulnerability
2025/08/12 CyberSecurityNews — 世界に展開される 17,000 台以上の VMware ESXi システムが、深刻な整数オーバーフロー脆弱性 CVE-2025-41236 (CVSS:9.3) の危険に直面していると、サイバー・セキュリティ研究者たちが警告している。この深刻な脆弱性は、2025年7 月に報告されたものであり、緊急のパッチ適用の必要性があるが、最新のスキャン結果によると、依然として対応は遅れており、数千台のシステムがパッチ未適用の状態にあるという。
Continue reading “VMware ESXi Server の 17,000台が危険な状況:深刻な整数オーバーフロー脆弱性 CVE-2025-41236 の放置”Microsoft August 2025 Patch Tuesday fixes one zero-day, 107 flaws
2025/08/12 BleepingComputer — 今日は、Microsoft の 2025年8月 Patch Tuesday の日だ。今月のセキュリティ・アップデートは、107 件の脆弱性に対するセキュリティ・アップデートが取り込まれ、その中には、Windows Kerberos の公開済みゼロデイ脆弱性1件が含まれている。今回のセキュリティ・アップデートでは、13 件の Critical 脆弱性も修正されている。それらのうちの9件はリモートコード実行の脆弱性であり、3件は情報漏洩、1件は権限昇格となっている。
Continue reading “Microsoft 2025-08 月例アップデート:1件のゼロデイを含む 107件の脆弱性に対応”Apache bRPC Vulnerability Lets Attackers Crash Services Remotely via Network
2025/08/12 gbhackers — Apache bRPC に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-54472 は、Redis プロトコル・パーサー・コンポーネントにおけるメモリ割り当て処理の不備に起因し、影響が及ぶ範囲は Apache bRPC のバージョン 1.14.1 未満となる。それを悪用する攻撃者は、ネットワーク・ベースのサービス拒否を通じて、リモートからのサービス・クラッシュ攻撃の可能性を手にする。
Continue reading “Apache bRPC の脆弱性 CVE-2025-54472 が FIX:メモリ割り当の不備とサービス・クラッシュの可能性”Erlang/OTP SSH RCE Vulnerability Exploited in the Wild to Attack Across OT Networks
2025/08/12 CyberSecurityNews — Erlang/OTP の SSH デーモンに存在する、深刻なリモート・コード実行の脆弱性が活発に悪用され、複数の業界における OT ネットワークが、サイバー犯罪者たちの標的となっている。特別に細工された SSH 接続プロトコル・メッセージを、SSH ポートに送信する未認証の攻撃者により、この脆弱性 CVE-2025-32433 (CVSS:10.0) が悪用され、脆弱なシステム上での任意のコマンド実行の可能性が生じている。
Continue reading “Erlang/OTP SSH の脆弱性 CVE-2025-32433:OT ネットワークへの活発な攻撃を検知”
IoT OT Security News 