vLLM Flaw Allows Remote Code Execution Through Malicious Payloads
2025/11/24 gbhackers — LLM 向けの高スループット推論/サービング・エンジンとして広く利用されている vLLM に、深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2025-62164 を悪用する攻撃者は、Completions API エンドポイントに悪意のペイロードを送信することで、任意のリモート・コード実行を可能にする。
Continue reading “vLLM の脆弱性 CVE-2025-62164:悪意のペイロード経由による RCE の恐れ”Attackers deliver ShadowPad via newly patched WSUS RCE bug
2025/11/24 SecurityAffairs — Windows WSUS の脆弱性 CVE-2025-59287 を悪用する脅威アクターたちが、ShadowPad マルウェアを配布していると、AhnLab Security Intelligence Center (ASEC) の研究者たちが報告した。ShadowPad は中国由来の APT グループに広く利用され、非公開で流通するバックドアである。この攻撃者は、WSUS サーバへのアクセス権を取得した後に、PowerCat を用いてシステム・シェルを取得し、”certutil” と “curl” により ShadowPad を取得しインストールしている。研究者たちは、この侵入チェーンと、ShadowPad の動作、推奨される防御策を詳細に説明している。
Continue reading “Windows Server WSUS の RCE 脆弱性 CVE-2025-59287:ShadowPad の配布と PoC のリリース”Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
2025/11/24 CyberSecurityNews — Wireshark Foundation が公開したのは、広く利用されているネットワーク・プロトコル・アナライザーに存在する脆弱性へのセキュリティ・アップデートである。このアップデートは、サービス拒否 (DoS) につながる可能性のある、複数の脆弱性に対処している。最新リリースであるバージョン 4.6.1 は、Bundle Protocol バージョン 7 (BPv7) および Kafka のディセクタに発見された脆弱性に対処するものである。これらの脆弱性が修正されないまま放置されると、ネットワーク・ストリームまたはトレース・ファイルに悪意のあるデータを挿入する攻撃者は、アプリケーションを強制的にクラッシュさせることが可能になる。
Continue reading “Wireshark の脆弱性 CVE-N/A が FIX:BPv7 や Kafka に関連する問題に対処”Tenda N300 Flaws Allow Attackers to Run Commands as Root
2025/11/24 gbhackers — Tenda の N300 4G03 Pro モデルに、深刻なコマンド・インジェクション脆弱性 CVE-2025-13207/CVE-2024-24481 が発見された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデバイス上のルート権限で任意のコマンドを実行できる。現時点において、メーカーからパッチが提供されていない。したがって、セキュリティ専門家がユーザーに推奨するのは、ネットワークを潜在的な侵害から保護するための代替ソリューションの検討である。
Continue reading “Tenda N300 の脆弱性 CVE-2025-13207/CVE-2024-24481:ルート権限での任意のコマンド実行”ClickFix attack uses fake Windows Update screen to push malware
2025/11/24 BleepingComputer — ClickFix 亜種による攻撃が確認されている。これらの攻撃で、ユーザーを欺くために脅威アクターが表示するのは、フルスクリーンのブラウザ・ページに描かれるリアルな Windows Update アニメーションであり、その画像内に悪意のコードを隠している。ClickFix はソーシャル・エンジニアリング攻撃であり、ユーザーを誘導して Windows コマンド・プロンプトにコードやコマンドを貼り付けて実行させ、システム上でマルウェアを実行させる手法である。この攻撃は、その高い効果からあらゆる階層のサイバー犯罪者に広く採用されており、より高度で巧妙なルアーにより進化を続けている。
Continue reading “ClickFix 亜種の新たな攻撃:フルスクリーンの偽 Windows Update と高度なステガノグラフィー”DeepSeek-R1 Makes Code for Prompts With Severe Security Vulnerabilities
中国で開発された人工知能コーディング・アシスタント “DeepSeek-R1” に、懸念すべき脆弱性が発見された。この AI モデルは、中国共産党に関連する政治的にセンシティブなトピックに遭遇すると、深刻なセキュリティ欠陥を含むコードを通常より最大 50% 高い割合で生成する。中国の AI スタートアップ企業 DeepSeek が、2025年1月にリリースした R1 モデルは、コーディング品質において欧米の競合製品と遜色ないように見えていた。
Continue reading “DeepSeek-R1 の脆弱性:政治的なプロンプトを入力すると生成されるコードが変化する?”PoC Published for W3 Total Cache Flaw Exposing 1M+ Sites to RCE
2025/11/24 gbhackers — WordPress で人気のキャッシュ・プラグインであり、100 万件以上のアクティブ・インストール数を誇る W3 Total Cache に存在する、深刻なリモート・コード実行の脆弱性 CVE-2025-9501 に対する PoC エクスプロイトを、セキュリティ研究者たちが公開した。この脆弱性を悪用する攻撃者は、特定の条件下において脆弱な Web サイト上で任意のコードを実行できる。
Continue reading “WordPress W3 Total Cache プラグインの脆弱性 CVE-2025-9501:実用的な PoC が登場”
IoT OT Security News 