2025/10/30 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、XWiki Platform/VMware Aria Operations/VMware Tools に存在する脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。カタログに登録された脆弱性は以下のとおりである:
Critical RediShell RCE Vulnerability Threatens 8,500+ Redis Deployments Worldwide
2025/10/30 gbhackers — Redis の Lua スクリプト・エンジンに存在する深刻なセキュリティ脆弱性により、数千ものデータベース・インスタンスがリモート・コード実行攻撃に対して脆弱な状態となっている。RediShell と呼ばれる RCE の脆弱性 CVE-2025-49844 は、2025年10月の初旬にクラウド・セキュリティ企業 Wiz により公開されたものだ。この脆弱性を悪用する攻撃者は、Lua サンドボックスを回避し、use-after-free によるメモリ破損を引き起こし、ホスト・レベルの侵害を可能にすることが明らかにされた。
Continue reading “Redis の深刻な脆弱性 RediShell CVE-2025-49844 が FIX:Lua サンドボックス回避によるホスト侵害の可能性”Multiple Jenkins Vulnerability SAML Authentication Bypass And MCP Server Plugin Permissions
2025/10/30 CyberSecurityNews — Jenkins プロジェクトが、2025年10月29日のセキュリティ・アドバイザリ 2025-10-29 で公開したのは、13 個のプラグインに存在する複数の脆弱性に関する情報である。人気の高いオープンソース自動化サーバを支えるプラグインの脆弱性は、深刻度の高い認証バイパスから、権限のミスコンフィグや認証情報の漏洩まで多岐にわたり、エンタープライズ CI/CD パイプラインに不正アクセスやコード実行が生じる可能性がある。
Continue reading “Jenkins の SAML/MCP プラグインの脆弱性が FIX:残存する未解決の欠陥にも注意が必要”New “Brash” Exploit Crashes Chromium Browsers Instantly with a Single Malicious URL
2025/10/30 TheHackerNews — Chromium の Blink レンダリング・エンジンで発見された深刻な脆弱性が悪用されると、多くの Chromium ベースのブラウザが短時間でクラッシュするという。この脆弱性の詳細は、セキュリティ研究者である Jose Pino により発見/報告されたものであり、Brash というコードネームが付けられている。この研究者は、「特定の DOM (Document Object Model) 操作の管理方法において、アーキテクチャ上の欠陥を悪用することで、あらゆる Chromium ブラウザが 15~60 秒でクラッシュする可能性がある」と述べている。
Continue reading “Chromium の脆弱性 Brash:悪意の URL をクリックするだけで発動する強力な攻撃とは?”WordPress Plugin Vulnerability Lets Attackers Read Any Server File
2025/10/30 gbhackers — WordPress の Anti-Malware Security and Brute-Force Firewall プラグインに深刻なセキュリティ欠陥が発見され、10 万以上の Web サイトが危険にさらされている。この脆弱性 CVE-2025-11705 を悪用するサブスクライバー・レベルのアクセス権限を持つ認証済みの攻撃者は、Web サーバに保存されている任意のファイルを読み取り、データベースの認証情報やセキュリティキーなどの機密データを窃取する可能性がある。
Continue reading “WordPress Anti-Malware プラグインの脆弱性 CVE-2025-11705 が FIX:低権限ユーザーによる機密データの窃取”Chrome 142 Released With Fix for 20 Vulnerabilities that Allows Malicious Code Execution
2025/10/30 CyberSecurityNews — Google は Chrome 142 を Stable チャネルに正式に導入し、Windows/Mac/Linux ユーザー向けにセキュリティ・アップデートを提供している。ロールアウトは即時開始され、今後の数日から数週間をかけて、新たに発見された脅威に対する広範な保護を展開していくという。このバージョンでは 20件の脆弱性が修正されている。これらの脆弱性の多くは、攻撃者に対してリモート・コード実行を許し、ユーザー・データやシステムの整合性への侵害にいたる可能性がある。
Continue reading “Chrome 142 がリリース:20件の脆弱性を修正し悪意のコード実行などに対処”New Malware Infects WooCommerce Sites Through Fake Plugins to Steal Credit Card Data
2025/10/30 gbhackers — WooCommerce プラグインを使用する WordPress ベースの EC サイトを、高度なマルウェアを用いる脅威アクターが積極的に標的としていると、Wordfence 脅威インテリジェンス・チームが報じている。このマルウェア攻撃は、正規の WordPress プラグインを装いながら、高度な回避技術と多層的な攻撃戦略を駆使し、オンライン・ショッピング利用者からクレジットカード情報を密かに盗み出している。
Continue reading “WooCommerce サイトが標的:フェイク・プラグインを介した侵入と多層化されたクレカ情報窃取戦術”Microsoft Windows Cloud Files Minifilter Privilege Escalation Vulnerability Exploited
2025/10/30 CyberSecurityNews — Microsoft が公表したのは、Windows Cloud Files Minifilter ドライバに存在する、深刻な競合状態の脆弱性 CVE-2025-55680 に対する修正の情報である。この脆弱性を悪用するローカルの攻撃者は権限を昇格し、システムのあらゆる場所に任意のファイルを作成する可能性を得る。この脆弱性は、2024年3月に Exodus Intelligence の研究者により発見され、2025年10月の Patch Tuesday で修正されている。攻撃ベクターとして、DLL サイドローディングを介した SYSTEM レベル・アクセスを許可する可能性があることから、CVSS スコアは 7.8 である。
Continue reading “Windows Cloud Files Minifilter の脆弱性 CVE-2025-55680:権限昇格などの恐れ”PhantomRaven Attack Discovered in 126 Malicious npm Packages, Exceeding 86,000 Downloads
2025/10/30 gbhackers — PhantomRaven の出現は、世界中の開発者コミュニティを揺るがすものだ。この大規模キャンペーンには、126 個の悪意のある npm パッケージが関与し、86,000 回以上のダウンロードを記録した。これらの悪意のパッケージは水面下に潜み、世界中の無防備な開発者から npm トークン/GitHub の認証情報/CI/CD のシークレットを積極的に盗んでいる。この攻撃者はオープンソース・エコシステムの盲点を突くことで、セキュリティ分析から悪意のコードを隠蔽する新しい手法を駆使し、大きな影響を生み出している。
Continue reading “PhantomRaven の攻撃手法:依存関係隠蔽/AI 標的/自動スクリプトを持つ 126 の悪意の npm パッケージ”CISA Alerts on Active Exploitation of WSUS Vulnerability
2025/10/30 gbhackers — 2025年10月29日に米国の Cybersecurity and Infrastructure Security Agency (CISA) は 、Windows Server Update Services (WSUS) の深刻な脆弱性 CVE-2025-59287 の積極的な悪用を警告した。この警告は同日中に更新され、脆弱なシステムの特定や潜在的な脅威の検知に関する重要な情報が追加された。
Continue reading “Windows Server WSUS の脆弱性 CVE-2025-59287 の悪用を確認:CISA が警告”
IoT OT Security News 