CISA Alerts on Active Exploitation of MongoDB Vulnerability CVE-2025-14847
2025/12/30 gbhackers — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、MongoDB Server の深刻な脆弱性 CVE-2025-14847 が、積極的に悪用されている状況について警告を発した。この脆弱性 MongoBleed は、2025年12月29日 に CISA の Known Exploited Vulnerabilities (KEV) カタログへ追加された。それが示唆するのは、現実世界の攻撃で、脅威アクターたちが脆弱性 CVE-2025-14847 を継続的に標的としている実態である。
Continue reading “CISA KEV 警告 25/12/29:MongoDB の脆弱性 CVE-2025-14847 と登録”Critical IBM API Connect Flaw Allows Attackers to Bypass Authentication
2025/12/30 gbhackers — IBM が公開したのは、API Connect プラットフォームに影響を及ぼす、深刻な認証バイパスの脆弱性の情報である。この脆弱性 CVE-2025-13915 (CVSS:9.8) は、ユーザーによる操作や特別な権限を必要とせずに悪用が可能な、認証欠如 (CWE-305) の欠陥に起因する。この脆弱性が影響を及ぼす範囲は、IBM API Connect バージョン 10.0.8.0~10.0.8.5 および 10.0.11.0 である。
Continue reading “IBM API Connect の 脆弱性 CVE-2025-13915 が FIX:認証の欠如による不正アクセスの恐れ”EmEditor Editor Website Hacked to Deliver Infostealer Malware in Supply Chain Attack
2025/12/30 CyberSecurityNews — 広く利用されているテキストエディタ EmEditor を標的とする大規模なサプライチェーン攻撃により、数百万人規模のユーザーが高度な情報窃取マルウェアにさらされている。2025年12月19日から12月22日の4日間にわたり、EmEditor の公式 Web サイトが不正に改竄され、無防備なユーザーに対して悪意のインストーラが配布された。”Download Now” ボタンからバージョン 25.4.3 を取得したユーザーが、正規ソフトウェアではなく悪意のファイルを受け取っていたことを EmEditor は確認している。世界中の開発者/システム管理者/技術専門家たちが、深刻なセキュリティ侵害のリスクに直面している。
Continue reading “EmEditor ユーザーに侵害の恐れ:正規サイトからのリダイレクトと偽インストーラー”Hackers Infiltrated Maven Central Masquerading as a Legitimate Jackson JSON Library
2025/12/30 CyberSecurityNews — Maven Central で確認されたのは、正規の Jackson JSON ライブラリのエクステンションを装う新たなマルウェア攻撃である。Java 開発者たちが最も信頼するリポジトリである Maven Central 上で、タイポスクワッティングを介したマルウェアの拡散が検知された。この悪意のパッケージは、名前空間 “org.fasterxml.jackson.core/jackson-databind” を介して公開されている。正規の Jackson ライブラリは “com.fasterxml.jackson.core” 名前空間で提供されているが、悪意のパッケージは “org.fasterxml.jackson.core” を使用するという、巧妙な名前空間の偽装が図られている。
Continue reading “Maven Central からのマルウェア配信を検出:名前空間に対する巧妙なタイポスクワッティング”Critical SmarterMail Flaw Allows Attackers to Execute Remote Code
2025/12/30 gbhackers — 広く利用されている SmarterMail ソフトウェアに存在する深刻な脆弱性について、SmarterTools が緊急のセキュリティ・アドバイザリを公開した。この脆弱性 CVE-2025-52691 (CVSS v3.1:10.0) を悪用する未認証の攻撃者は、影響を受けるメール・サーバを完全に制御下に置く可能性がある。この脆弱性が影響を及ぼす範囲は、SmarterMail のバージョン Build 9406 以下である。
Continue reading “SmarterMail の脆弱性 CVE-2025-52691 が FIX:ファイル・アップロード機能を介した RCE”MongoBleed Detector Launched to Identify Critical MongoDB Flaw (CVE-2025-14847)
2025/12/29 gbhackers — MongoDB の複数バージョンに影響を及ぼす、深刻なメモリ漏洩の脆弱性 CVE-2025-14847 (MongoBleed) が悪用されている。このエクスプロイト試行を特定するためのオープンソースの検出ツールが、セキュリティ研究者によりリリースされた。Neo23x0 が開発した MongoBleed Detector は、オフライン分析機能を提供する。したがって、それを利用するインシデント対応者は、ネットワーク接続や追加エージェントを必要とせずに、MongoDB ログを解析し、悪用の痕跡を検出できる。
Continue reading “MongoBleed Detector というツール:MongoDB の脆弱性 CVE-2025-14847 を効果的に検出”
IoT OT Security News 