Day: October 23, 2025

Adobe Commerce/Magento の脆弱性 CVE-2025-54236:PHP バックドアの展開を確認

Active Exploits Target Magento and Adobe Commerce RCE, Attackers Inject Webshells

2025/10/23 gbhackers — Adobe Commerce/Magento プラットフォームに影響を及ぼす、深刻な脆弱性 CVE-2025-54236 (通称:SessionReaper) が悪用されていることを、Sansec のセキュリティ研究者が公表した。この脆弱性を悪用する未認証の攻撃者は、数千のオンラインストアでリモート・コード実行や顧客アカウントの乗っ取りを引き起こす可能性を得る。

Continue reading “Adobe Commerce/Magento の脆弱性 CVE-2025-54236:PHP バックドアの展開を確認”

Oracle VM VirtualBox の複数の脆弱性が FIX:VirtualBox 環境の完全な乗っ取りのリスク

Multiple Oracle VM VirtualBox Vulnerabilities Enable Complete Takeover Of VirtualBox

2025/10/23 CyberSecurityNews — Oracle が公表したのは、仮想化ソフトウェア Oracle VM VirtualBox に存在する複数の深刻な脆弱性の情報である。それらの脆弱性を悪用する攻撃者は、VirtualBox 環境を完全に制御する可能性を得る。高権限を持つローカル・ユーザーが攻撃に悪用すると、機密性/完全性/可用性が侵害され、壊滅的な結果が引き起こされる恐れがある。2025年10月の CPU (Critical Patch Update) で詳細が明らかにされた、一連の脆弱性が影響を及ぼす範囲は、VirtualBox バージョン 7.1.12/7.2.2 のコア・コンポーネントである。

Continue reading “Oracle VM VirtualBox の複数の脆弱性が FIX:VirtualBox 環境の完全な乗っ取りのリスク”

Jira の脆弱性 CVE-2025-22167 が FIX:Jira JVM プロセスからの不正なファイル・アクセス

Jira Vulnerability Lets Attackers Alter Files Accessible to the Jira JVM Process

2025/10/23 gbhackers — Atlassian が公開したのは、Jira Software Data Center/Server に影響を与える深刻なパス・トラバーサル脆弱性である。この脆弱性を悪用する認証済みの攻撃者は、Jira Java 仮想マシン (JVM) プロセスからアクセス可能なファイルを変更できてしまう。この脆弱性 CVE-2025-22167 (CVSS:8.7) は、2025年9月以降にリリースされた複数ブランチの各バージョンに影響を及ぼす。

Continue reading “Jira の脆弱性 CVE-2025-22167 が FIX:Jira JVM プロセスからの不正なファイル・アクセス”

TARmageddon という名の脆弱性 CVE-2025-62518:Async-Tar Rust lib の深刻な問題

TARmageddon flaw in Async-Tar Rust library allows to smuggle extra archives when the library is processing nested TAR files

2025/10/22 SecurityAffairs — Rust の async-tar/tokio-tar ライブラリのフォークに存在する、深刻な脆弱性 CVE-2025-62518 (CVSS:8.1) が、Edera チームにより報告された。TARmageddon とも呼ばれる、この脆弱性を悪用するリモート攻撃者は、コード実行の可能性を手にする。

Continue reading “TARmageddon という名の脆弱性 CVE-2025-62518:Async-Tar Rust lib の深刻な問題”

Perplexity の Comet Browser の脆弱性:スクリーン・ショットを介した悪意のプロンプト挿入

Perplexity’s Comet Browser Screenshot Feature Vulnerability Let Attackers Inject Malicious Prompts

2025/10/23 CyberSecurityNews — Perplexity の Comet AI ブラウザに発見された新たな脆弱性を悪用する攻撃者は、無害に見えるスクリーン・ショットを介して悪意のプロンプトを挿入できる。2025年10月21日に公開された、この脆弱性が裏付けるのは、ユーザーに代わって動作する AI エージェント・ブラウザの、プロンプト挿入に関する従来からの懸念である。新たに発見された脆弱性が浮き彫りにするのは、これらの新興技術に潜む継続的なリスクの存在であり、それにより、隠された命令によりユーザー・セッションが乗っ取られ、機密データにアクセスされる可能性が生じる。

Continue reading “Perplexity の Comet Browser の脆弱性:スクリーン・ショットを介した悪意のプロンプト挿入”

BIND 9 の3件の脆弱性 CVE-2025-8677/40778/40780 が FIX:DoS 攻撃などの可能性

BIND 9 Vulnerabilities Expose DNS Servers to Cache Poisoning and DoS

2025/10/23 gbhackers — Internet Systems Consortium (ISC) が公表したのは、世界で最も広く導入されている DNS ソフトウェア BIND 9 に存在する3件の深刻な脆弱性の情報である。2025年10月22日に公表された、これらの脆弱性は DNS リゾルバの問題であり、世界中の数百万人のユーザーに影響を与える可能性がある。影響を受ける BIND 9 バージョンを使用している組織にとって必要なことは、優先的なパッチ適用により悪用を防ぐことである。

Continue reading “BIND 9 の3件の脆弱性 CVE-2025-8677/40778/40780 が FIX:DoS 攻撃などの可能性”