Ivanti Endpoint Manager Vulnerabilities Allow Remote Code Execution by Attackers
2025/09/09 gbhackers — Ivanti が公開したのは Endpoint Manager バージョン 2024 SU3/2022 SU8 に関するセキュリティ・アドバイザリであり、新たに発見された深刻な2件の脆弱性 CVE-2025-9712/CVE-2025-9872 の詳細を説明するものだ。どちらの脆弱性もファイル名の検証不足に起因し、最小限のユーザー操作で、システムの完全な制御を奪われる可能性がある。
Continue reading “Ivanti Endpoint Manager の脆弱性 CVE-2025-9712/9872 が FIX:リモート・コード実行の可能性”FortiDDoS OS Command Injection Vulnerability Let Attackers Execute Unauthorized Commands
2025/09/09 CyberSecurityNews — Fortinet が公開したのは、FortiDDoS-F 製品ラインにおける脆弱性のアドバイザリであり、高権限を持つ攻撃者に対して不正コマンドの実行を許す欠陥を説明するものだ。この脆弱性 CVE-2024-45325 (CVSSv3:6.5:Medium) は、Command-Line Interface (CLI) に存在する OS コマンド・インジェクション (CWE-78) として分類される。
Continue reading “Fortinet FortiDDoS の脆弱性 CVE-2024-45325 が FIX:OS コマンド・インジェクションの恐れ”New Exploitation Method Discovered for Linux Kernel Use-After-Free Vulnerability
2025/09/09 gbhackers — Linux Kernel の Use-After-Free (UAF) 脆弱性を悪用する、新たな手法が発見された。この脆弱性 CVE-2024-50264 は、主要な Linux ディストリビューションに影響を及ぼし、その複雑さから Pwnie Award 2025 の Best Privilege Escalation を受賞したものである。研究者たちが開発した PoC は、kernel slab allocator と競合状態保護を回避する手法であり、これまでと比べて悪用が容易になることを示している。
Continue reading “Linux Kernel の Use-After-Free 脆弱性 CVE-2024-50264:新たな悪用手法と PoC の登場”Zoom Security Update – Patch for Multiple Vulnerabilities in Clients for Windows and macOS
2025/09/09 CyberSecurityNews — Zoom が公開したのは、Zoom Workplace for Windows/macOS クライアントに存在する、複数の脆弱性を修正するセキュリティ・アップデートである。今回のパッチは、深刻度の High 脆弱性1件と、複数の Medium レベルの問題に対応しており、ユーザーに対して強く推奨されるのは、速やかなアプリケーションの更新となる。
Continue reading “Zoom Workplace for Windows/macOS の複数の脆弱性が FIX:修正パッチが公開”SpamGPT – AI-powered Attack Tool Used By Hackers For Massive Phishing Attack
2025/09/09 CyberSecurityNews — SpamGPT と呼ばれる高度なサイバー犯罪ツール・キットは、人工知能とプロ仕様のメール・マーケティング・プラットフォーム機能を組み合わせることで、ハッカーたちによる大規模かつ効果的なフィッシング・キャンペーンを支援している。ダークウェブで Spam-as-a-Service プラットフォームとして販売される SpamGPT は、詐欺メール攻撃の大半の工程を自動化することで、犯罪者の技術的障壁を大幅に低減している。
Continue reading “SpamGPT による大規模フィッシング攻撃:$5,000 で販売される AI 搭載フィッシング・ツールの脅威”Elastic Security Incident – Hackers Accessed Email Account Contains Valid Credentials
2025/09/09 CyberSecurityNews — Elastic が公表したのは、Salesloft Drift におけるサードパーティの情報漏洩に起因するセキュリティ・インシデントである。このインシデントにより、社内メールアカウントへの不正アクセスが発生し、その中には有効な認証情報も含まれるという。なお、同社のコアとなる Salesforce 環境には影響はなかったが、一部のメールに含まれる機密情報が漏洩したとされる。
Continue reading “Elastic がセキュリティ・インシデントを公表:Salesloft Drift に起因する情報漏洩を確認”Multiple Vulnerabilities Discovered in Ivanti Connect Secure, Policy Secure, and ZTA Gateways
2025/09/09 gbhackers — 9月9日 (火) に Ivanti が公開したのは、Ivanti Connect Secure/Policy Secure/ZTA Gateways/Neurons for Secure Access に影響を及ぼす、深刻度 High の脆弱性5件と、Medium の6件を詳述するセキュリティ・アドバイザリである。これらの脆弱性は、認証チェックの不備やサービス拒否攻撃から、クロス・サイト・リクエスト・フォージェリ (CSRF) やサーバ・サイド・リクエスト・フォージェリ (SSRF) に至るという。現時点において、ユーザー・サイドにおける悪用の事例は確認されていない。また、多様な問題に対処するためのパッチと修正プログラムが、直ちに提供されている。
Continue reading “Ivanti Connect Secure/Policy Secure/ZTA Gateways の複数の脆弱性が FIX:ただちにパッチを!”Adobe patches critical SessionReaper flaw in Magento eCommerce platform
2025/09/09 BleepingComputer — Adobe が発した警告は、Adobe Commerce/Magento Open Source プラットフォームに存在する、攻撃で認証を必要としない深刻な脆弱性 CVE-2025-54236 に関するものだ。この脆弱性を SessionReaper と呼ぶ研究者たちは、Magento の歴史において、最も深刻な欠陥の一つと位置付けている。9月9日 (火) に Adobe は、セキュリティ問題に対処するパッチをリリースし、Commerce REST API を介して顧客アカウントが乗っ取られる可能性があると警告した。
Continue reading “Adobe Magento に深刻な脆弱性 CVE-2025-54236:初期ホット・フィックスを脅威アクターが取得?”Microsoft September 2025 Patch Tuesday fixes 81 flaws, two zero-days
2025/09/09 BleepingComputer — 今日は、Microsoft の 2025年9月 Patch Tuesday の日だ。今月のパッチでは、81件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、公開済みのゼロデイ脆弱性2件が含まれる。この月例パッチでは、”Critical” 9件 が修正されている。そのうち5件はリモートコード実行の脆弱性、1件は情報漏洩の脆弱性、2件は権限昇格の脆弱性である。
Continue reading “Microsoft 2025-09 月例アップデート:2件のゼロデイを含む 81件の脆弱性に対応”Hackers Hijack 18 Popular npm Packages Downloaded Over 2 Billion Times Weekly
2025/09/09 gbhackers — 毎週 20億回以上もダウンロードされている、きわめて人気の高い npm パッケージ 18個をハッカーが乗っ取り、暗号通貨のユーザーと開発者を標的とする高度なマルウェアを注入しているという。Aikido のレポートによると、9月8日の早朝にセキュリティ・フィードが警告したのは、chalk/debug/chalk-template/supports-color などの人気パッケージ 18個が迅速に更新され、悪意のコードにより汚染されたことだ。
Continue reading “人気の npm パッケージ 18種類にマルウェア侵害:それらの総ダウンロード数は 20億回/週”
IoT OT Security News 