Hackers Actively Exploiting Cisco and Citrix 0-Days in the Wild to Deploy Webshell
2025/11/12 CyberSecurityNews — Cisco Identity Services Engine (ISE) および Citrix のゼロデイ脆弱性を、高度なハッキンググループが積極的に悪用している。実環境で確認されている一連の攻撃において、ハッカーたちはカスタム Web シェルを展開し、企業ネットワークの深層へのアクセスを得ている。調査結果が浮き彫りにするのは、ユーザー・ログインとネットワーク制御の管理を担う主要システムを標的とする攻撃者が、企業を高いリスクにさらしているという実態である。
Continue reading “Cisco の CVE-2025-20337 と Citrix の CVE-2025-5777 が標的:実環境での Webshell デプロイを観測”2025/11/12 CyberSecurityNews — Apache OpenOffice がリリースしたバージョン 4.1.16 では、不正なリモート・ドキュメント読み込みやメモリ破損攻撃を可能にする7件の深刻なセキュリティ脆弱性が修正されている。これらの脆弱性は、人気の高いオープンソース Office Suite のユーザーにとって深刻なセキュリティ・リスクとなるものだ。最も深刻な脆弱性は、ユーザーへの確認や警告なしに不正なリモート・コンテンツを読み込む点にある。これらの脆弱性を悪用する攻撃者は、複数の攻撃経路を通じて悪意の外部ドキュメントを読み込む可能性を得る。
Continue reading “Apache OpenOffice の複数の脆弱性が FIX:不正なドキュメント読み込みやメモリ破損に対処”Hackers Exploit SSRF Flaw in Custom GPTs to Steal ChatGPT Secrets
2025/11/12 gbhackers — OpenAI の ChatGPT にサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が存在することを、サイバー・セキュリティ研究者が発見した。Custom GPT 機能に存在する脆弱性を悪用する攻撃者は、Azure 管理 API トークンなどの機密性の高いクラウド・インフラ・シークレットにアクセスする可能性があった。この問題は、OpenAI のバグ報奨金プログラムを通じて公開され、直ちに修正されたが、改めて浮き彫りにされたのは、クラウド・ベースの AI サービスにおける SSRF の危険性である。
Continue reading “ChatGPT の Custom GPT に SSRF の脆弱性:クラウド IMDS へのエスカレーションも確認”Citrix NetScaler ADC and Gateway Vulnerability Enables Cross-Site Scripting Attacks
2025/11/12 CyberSecurityNews — Cloud Software Group が公開したのは、Citrix NetScaler ADC/NetScaler Gateway 製品に影響を与えるクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2025-12101 (CVSSv4:5.9) である。この脆弱性を悪用する攻撃者は、ユーザーが閲覧する Web ページに悪意のスクリプトを挿入し、セッション・ハイジャック/データ窃取/不正な操作などを引き起こす可能性を得る。ネットワークからの悪用が可能であるが、ユーザーの操作に依存すると指摘されている。
Continue reading “Citrix NetScaler ADC/Gateway の脆弱性 CVE-2025-12101 が FIX:XSS 攻撃の恐れ”Tor Browser 15.0.1 Update Patches Several High-Risk Security Flaws
2025/11/12 gbhackers — Tor プロジェクトが公表したのは、Tor Web ブラウザ 15.0.1 のリリースであり、ユーザー・プライバシーを侵害する可能性のある複数の深刻なセキュリティ問題を修正している。インターネット上での安全を確保し、情報のプライバシーを守りたい、すべてのユーザーに推奨されるアップデートである。
Continue reading “Tor Browser 15.0.1 がリリース:プライバシー侵害に関連する複数の深刻な問題を修正”SecureVibes – AI Tool Scans for Vulnerabilities in 11 Languages with Claude AI Agents
2025/11/12 CyberSecurityNews — AI を活用してアプリケーションを迅速に構築する、Vibecoding という手法が急速に進化を遂げる世界へ向けて、セキュリティ・リスクを低減する新たなオープンソース・ツールが登場した。Anshuman Bhartiya が開発した SecureVibes は、マルチエージェント・システムを通じて Anthropic の Claude AI を活用し、コードベースの脆弱性を自動検出する。2025年10月にリリースされた Python ベースのスキャナー SecureVibes は、深い専門知識を必要とせずにプロレベルのセキュリティ分析を可能にすることを目指している。
Continue reading “SecureVibes が脆弱性を自動検出:Claude AI Agents を介して 11種類の言語をサポート”Windows Kernel 0-Day Under Active Exploitation for Privilege Escalation
2025/11/12 gbhackers — Microsoft が公開したのは、現時点で積極的に悪用されている、Windows カーネルの深刻な脆弱性に関する情報である。この脆弱性 CVE-2025-62215 (2025年11月 Patch Tuesday で修正) を悪用する攻撃者は、脆弱な Windows システム上で権限を昇格し、上位アクセスを取得できる。この脆弱性は、複数のプロセスが共有リソースに同時にアクセスする際の不適切な同期に起因する、Windows カーネルにおける権限昇格の欠陥である。
Continue reading “Windows Kernel の権限昇格の脆弱性 CVE-2025-62215:すでに悪用試行が確認されている”Lite XL Vulnerability Allows Attackers to Execute Arbitrary Code
2025/11/12 gbhackers — Lua と C で記述され Windows/Linux/macOS で動作する軽量テキスト・エディタ Lite XL に、任意のコード実行の脆弱性 CVE-2025-12120 が存在することが判明した。セキュリティ研究者たちが発見したのは、このエディタがプロジェクト・コンフィグ・ファイルを処理する方法における欠陥である。この欠陥により、信頼できないプロジェクトを開いた際に、悪意のコード実行の危険にさらされる可能性がある。
Continue reading “Lite XL の脆弱性 CVE-2025-12120 が FIX:Lua コンフィグ・モジュールを介した RCE”Chrome Patches High-severity Implementation Vulnerability in V8 JavaScript engine
2025/11/12 CyberSecurityNews — Google がリリースしたのは、Chrome ブラウザの脆弱性 CVE-2025-13042 に対処するための Chrome バージョン 142.0.7444.162/.163 である。Stable チャネルのアップデートは、今後の数日から数週間をかけて Windows/Mac/Linux プラットフォームに展開される。
Continue reading “Google Chrome の脆弱性 CVE-2025-13042 が FIX:V8 JavaScript エンジンの悪用が可能”
IoT OT Security News 