Day: December 1, 2025

OpenAI Codex CLI にコマンド・インジェクション:リポジトリを介した悪用のシナリオとは?

OpenAI Codex CLI Command Injection Vulnerability Let Attackers Execute Arbitrary Commands

2025/12/01 CyberSecurityNews — OpenAI が公表したのは、Codex CLI ツールのコマンド・インジェクション脆弱性の修正に関する情報である。この脆弱性を悪用する攻撃者は、悪意のコンフィグ・ファイルをプロジェクト・リポジトリに配置するだけで、開発者のマシン上で任意のコマンド実行の可能性を得る。この問題は、すでに Codex CLI バージョン 0.23.0 で修正されている。修正前の Codex CLI では codex コマンドの日常的な使用が、サイレントなリモート・コード実行のトリガーとなっていた。

Continue reading “OpenAI Codex CLI にコマンド・インジェクション:リポジトリを介した悪用のシナリオとは?”

Devolutions の脆弱性 CVE-2025-13757/13758/13765 が FIX:SQLi/機密情報漏洩などの可能性

Devolutions Server Hit by SQL Injection Flaw Allowing Data Theft

2025/12/01 gbhackers — 集中型パスワード/特権アクセスを管理する Devolutions Server に、深刻な脆弱性が発見された。開発元の Devolutions は、2025年11月27日にセキュリティ・アドバイザリ (DEVO-2025-0018) を公表して3件の脆弱性に対処した。最も危険なのは、サーバのログデータ処理に影響を及ぼす SQLインジェクション 脆弱性である。この欠陥を悪用する攻撃者は、機密データの窃取や内部記録の改竄を可能にするとされており、専門家たちは深刻度 Critical と評価している。

Continue reading “Devolutions の脆弱性 CVE-2025-13757/13758/13765 が FIX:SQLi/機密情報漏洩などの可能性”

Azure API Management 開発者ポータルの脆弱性:不正アカウントの作成が可能

Microsoft Azure API Management Flaw Enables Cross-Tenant Account Creation, Bypassing Admin Restrictions

2025/12/01 CyberSecurityNews — Microsoft Azure API Management (APIM) 開発者ポータルに存在する深刻なセキュリティ脆弱性により、管理者がポータル・インターフェイス経由のユーザー・サインアップを明示的に無効化している場合であっても、攻撃者が異なるテナント・インスタンスをまたがってアカウントを登録する可能性がある。この脆弱性について、Microsoft が設計によるものと分類しており、2025年12月1日時点では修正されておらず、ユーザー組織においては不正アクセスの危険に晒される状況が続いている。

Continue reading “Azure API Management 開発者ポータルの脆弱性:不正アカウントの作成が可能”

Apache bRPC の脆弱性 CVE-2025-59789 が FIX:JSON データの悪用によるサーバ・クラッシュ

Critical Apache bRPC Flaw Allows Attackers to Crash Servers

2025/12/01 gbhackers — Apache bRPC に存在する深刻なセキュリティ脆弱性を悪用する攻撃者は、細工した JSON データを送信するだけでサーバをクラッシュさせる可能性がある。この脆弱性 CVE-2025-59789 が影響を及ぼす範囲は、Apache bRPC のバージョン 1.15.0 未満であり、信頼できないネットワークに公開されているシステムに、重大なリスクをもたらすものである。

Continue reading “Apache bRPC の脆弱性 CVE-2025-59789 が FIX:JSON データの悪用によるサーバ・クラッシュ”

Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?

4.3 Million Chrome and Edge Users Hacked in 7-Year ShadyPanda Malware Campaign

2025/12/01 CyberSecurityNews — ShadyPanda という高度な攻撃グループが、7年間にわたり Chrome および Edge の 430万人のユーザーをマルウェアに感染させてきたという。この攻撃グループは、ブラウザ・マーケットプレイスへの信頼を悪用し、おすすめ/検証済みと表示されたエクステンションを武器化することで、従来のセキュリティ・アラームにより検知されることなく、リモート・コード実行 (RCE) バックドアおよび大規模スパイウェア攻撃を展開してきた。

Continue reading “Chrome/Edge のエクステンションを悪用:430万人を感染させた ShadyPanda のキャンペーンとは?”

Microsoft Outlook の RCE 脆弱性 CVE-2024-21413:GitHub 上で PoC が公開

PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability

2025/12/01 CyberSecurityNews — Microsoft Outlook に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2024-21413 の悪用を実証する PoC エクスプロイト・コードが公開された。この MonikerLink と呼ばれる脆弱性を悪用する攻撃者は、Outlook のセキュリティ機構の保護ビューを回避して、悪意のコード実行や資格情報の窃取を可能にする。

Continue reading “Microsoft Outlook の RCE 脆弱性 CVE-2024-21413:GitHub 上で PoC が公開”