Day: December 15, 2025

Atlassian の 2025/12 アップデート:Apache Tika の脆弱性 CVE-2025-66516 などが FIX

Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika

2025/12/15 SecurityAffairs — Atlassian が発表したのは、自社製品に影響を与える数十件の脆弱性への対処が完了したという声明である。これらの脆弱性には、複数の深刻度レベルの問題が含まれている。最も深刻な脆弱性の1 つは、Apache Tika に存在する XML 外部エンティティ (XXE) インジェクション脆弱性 CVE-2025-66516 であり、CVSS スコアは 10.0 と評価されている。この脆弱性 CVE-2025-66516 を悪用する攻撃者は、Apache Tika の core module/PDF module/parser module に対して、XXE インジェクションを仕掛けることが可能になる。攻撃者は、PDF 内に悪意のある XFA ファイルを埋め込み、Tika に外部 XML エンティティを処理させ、機密性の高い内部リソースへのアクセス経路を開かせる可能性がある。

Continue reading “Atlassian の 2025/12 アップデート:Apache Tika の脆弱性 CVE-2025-66516 などが FIX”

CISA KEV 警告 25/12/15:Apple と Gladinet CentreStack の脆弱性を登録

U.S. CISA adds Apple and Gladinet CentreStack and Triofox flaws to its Known Exploited Vulnerabilities catalog

2025/12/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が公表したのは、Apple と Gladinet の CentreStack/Triofox の脆弱性を既知の悪用脆弱性 (KEV) カタログに登録したことである。カタログに追加された脆弱性は以下のとおりである。

CVE-2025-43529:Apple の複数製品における WebKit の解放後メモリ使用
CVE-2025-14611:Gladinet CentreStack/Triofox のハードコードされた暗号鍵

Continue reading “CISA KEV 警告 25/12/15:Apple と Gladinet CentreStack の脆弱性を登録”

React2Shell を悪用する PCPcat:CVE-2025-55182/29927 を悪用して59,000+ 台のサーバを侵害

New PCPcat Exploiting React2Shell Vulnerability to compromise 59,000+ Servers

2025/12/15 CyberSecurityNews — PCPcat と呼ばれる新たなマルウェア攻撃キャンペーンは、Next.js/React フレームワークの深刻な脆弱性を標的とするものであり、48 時間以内に 59,000 台以上のサーバに侵入している。この Next.js 環境を標的とするマルウェアは、認証なしでリモート・コード実行を可能にする、2つの深刻な脆弱性 CVE-2025-29927 と CVE-2025-55182 (CVE-2025-66478) を悪用している。この攻撃の手法は、プロトタイプ汚染およびコマンド・インジェクションを用いるものであり、脆弱なサーバ上で有害なコマンド実行を可能にする。

Continue reading “React2Shell を悪用する PCPcat:CVE-2025-55182/29927 を悪用して59,000+ 台のサーバを侵害”

Wireshark 4.6.2 がリリース:サービス拒否脆弱性 CVE-2025-13945/13946 に対応

Wireshark 4.6.2 Released With Fix for Vulnerabilities, and Updated Protocol Support

2025/12/15 CyberSecurityNews — Wireshark の最新バージョンであるWireshark 4.6.2 がリリースされた。このバージョンでは、Wireshark に存在する深刻なクラッシュの脆弱性と、プラグインの互換性に関する問題が対処されている。このメンテナンス・リリースは、トラブルシューティングおよびセキュリティ分析を行うユーザーの安定性を向上させるものだ。Wireshark の開発チームは、特定のプロトコル解析処理 (ディセクタ) において特定された、2件のサービス拒否 (DoS) の脆弱性を修正した。修正対象は以下の通りである。

  • 脆弱性 CVE-2025-13945:HTTP3 ディセクタに存在し、クラッシュを引き起こす。
  • 脆弱性 CVE-2025-13946:MEGACO ディセクタに存在する無限ループの欠陥。
Continue reading “Wireshark 4.6.2 がリリース:サービス拒否脆弱性 CVE-2025-13945/13946 に対応”

Prometheus エコシステム:オープンソースのメトリクス収集/監視システム

Prometheus: Open-source metrics and monitoring systems and services

2025/12/15 HelpNetSecurity — Prometheus はオープンソースのモニタリング/アラート・システムであり、サービスが頻繁に変更される環境や、障害が急速に拡大する環境向けに構築されている。システムの動作を追跡して早期の警告サインを検知する Prometheus は、大規模なワークロード全体で起こっていることを把握するセキュリティ・チームや DevOps エンジニアのための重要なツールとなっている。

Continue reading “Prometheus エコシステム:オープンソースのメトリクス収集/監視システム”

Plesk の脆弱性 CVE-2025-66430:攻撃者によるルートレベル・アクセスの可能性

Critical Plesk Vulnerability Allows Users to Gain Root-Level Access

2025/12/15 gbhackers — Plesk が公開したのは、新たに発見された深刻なセキュリティ脆弱性 CVE-2025-66430 に関する情報である。この脆弱性を悪用する低権限のユーザーは、権限を昇格させることで、影響を受けるシステムでのルートレベルのアクセス権を取得できる。この欠陥は、広く利用されている Web ホスティング・コントロール・パネルである Plesk を、Web ホスティング・プロバイダー/サーバ管理に利用する組織にとって深刻な脅威となる。

Continue reading “Plesk の脆弱性 CVE-2025-66430:攻撃者によるルートレベル・アクセスの可能性”

Apache StreamPark の脆弱性 CVE-2025-54947 が FIX:機密データ復号と権限昇格の恐れ

Apache StreamPark Vulnerability Let Attackers Access Sensitive Data

2025/12/15 CyberSecurityNews — Apache StreamPark に発見された、深刻なセキュリティ脆弱性 CVE-2025-54947 を悪用する攻撃者は、機密情報を復号してシステム・アクセスを不正に取得する可能性がある。この脆弱性は、アプリケーション内でハードコードされた暗号化キーが使用される点に起因している。したがって、リバース・エンジニアリングやコード解析を行う攻撃者が、セキュリティ制御を回避する状況を招く。

Continue reading “Apache StreamPark の脆弱性 CVE-2025-54947 が FIX:機密データ復号と権限昇格の恐れ”

FreePBX の脆弱性 CVE-2025-61675/61678/66039 が FIX:RCE を可能にする SQLi や認証バイパス

FreePBX Patches Critical SQLi, File-Upload, and AUTHTYPE Bypass Flaws Enabling RCE

2025/12/15 TheHackerNews —オープンソースの PBX プラットフォームである FreePBX に、セキュリティ脆弱性 CVE-2025-61675/CVE-2025-61678/CVE-2025-66039 が発見された。それらの脆弱性は、特定のコンフィグレーションに起因するものであり、認証バイパスにつながる可能性が生じる。2025年9月15日の時点で、このプロジェクトのメンテナーに報告された深刻な欠陥が、その後に Horizon3.ai により公表された。

Continue reading “FreePBX の脆弱性 CVE-2025-61675/61678/66039 が FIX:RCE を可能にする SQLi や認証バイパス”

NVIDIA Merlin の脆弱性 CVE-2025-33213/33214 が FIX:悪意のコード実行と DoS 攻撃の可能性

NVIDIA Merlin Vulnerabilities Allows Malicious Code Execution and DoS Attacks

2025/12/15 gbhackers — NVIDIA が 2025年12月9日に発表したのは、Merlin 機械学習フレームワークに存在する、深刻度の高い2件のデシリアライズの脆弱性に対する緊急セキュリティ・パッチである。このセキュリティ情報が明らかにするのは、大規模レコメンデーション・システムの構築に広く利用されている、オープンソース・フレームワーク NVIDIA Merlin の NVTabular/Transformers4Rec コンポーネントに深刻な欠陥が発見されたことだ。この脆弱性を悪用する攻撃者は、Linux システム上で悪意の実行/サービス拒否攻撃の誘発/機密データの侵害を可能にする。

Continue reading “NVIDIA Merlin の脆弱性 CVE-2025-33213/33214 が FIX:悪意のコード実行と DoS 攻撃の可能性”

pgAdmin 4 の深刻な脆弱性 CVE-2025-13780 が FIX:テキスト・フィルターの欠陥と RCE の可能性

Critical pgAdmin Vulnerability Let Attackers Execute Shell Commands on the Host

2025/12/15 CyberSecurityNews — 人気のオープンソース PostgreSQL データベース管理ツール pgAdmin 4 に、深刻なセキュリティ脆弱性が発見された。この深刻な脆弱性 CVE-2025-13780 を悪用する攻撃者は、セキュリティ・フィルターを迂回し、ホスト・サーバ上で任意のシェル・コマンドを実行できる。この問題の原因は、アプリケーションのプレーンテキスト復元機能にあり、アップロードされたデータベース・ファイル内に隠された危険なコマンドを適切にブロックできない状況になっている。

Continue reading “pgAdmin 4 の深刻な脆弱性 CVE-2025-13780 が FIX:テキスト・フィルターの欠陥と RCE の可能性”