Day: January 12, 2026

Apache Struts 2 の脆弱性 CVE-2025-68493 が FIX:機密データ窃取の可能性

Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data

2026/01/12 gbhackers — Apache Struts 2 の XWork コンポーネントに、脆弱性 CVE-2025-68493 が発見された。この脆弱性は Important と評価されており、Struts 2.0.0 〜 2.3.37 (EOL)/2.5.0 〜 2.5.33 (EOL)/6.0.0 〜 6.1.0 までの広範なバージョンに影響を及ぼし、多くの Java Web アプリケーションに深刻なリスクをもたらす。この脆弱性が悪用されると、Java Web アプリケーションにおける機密データの漏洩/サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃につながる可能性がある。

Continue reading “Apache Struts 2 の脆弱性 CVE-2025-68493 が FIX:機密データ窃取の可能性”

InputPlumber の脆弱性 CVE-2025-66005/14338 が FIX:UI 入力インジェクションと DoS の可能性

Critical InputPlumber Vulnerabilities Allows UI Input Injection and Denial-of-Service

2026/01/12 CyberSecurityNews — SteamOS で使用される Linux 入力デバイス・ユーティリティ InputPlumber に発見されたのは、不十分な D-Bus 認証メカニズムに起因する深刻な脆弱性 CVE-2025-66005/CVE-2025-14338 である。この脆弱性を悪用した攻撃者は UI 入力を不正に挿入することで、影響を受けるシステム上でサービス拒否状態を引き起こす可能性がある。SUSE の研究者により調査された 2 件の脆弱性が、InputPlumber バージョン 0.69.0 未満に影響を及ぼすことが確認されている。

Continue reading “InputPlumber の脆弱性 CVE-2025-66005/14338 が FIX:UI 入力インジェクションと DoS の可能性”

ハッキング・グループ Everest が Nissan への大規模サイバー攻撃を主張:1 TB 規模の機密データ窃取?

Hacking Group “Everest” Allegedly Claims Nissan Motor Breach

2026/01/12 gbhackers — Everest ハッキング・グループが、日本の大手自動車メーカーである Nissan Motor Corporation に対する大規模サイバー攻撃について、犯行声明を出したと報じられている。2026年1月10日に確認された脅威インテリジェンス・レポートによると、このサイバー犯罪組織は、同社のシステムから約 900 GB の機密データを窃取したと主張しているが、侵害の真偽は現在も検証段階にある。 

Continue reading “ハッキング・グループ Everest が Nissan への大規模サイバー攻撃を主張:1 TB 規模の機密データ窃取?”

zlib untgz ユーティリティのバッファ・オーバーフローの脆弱性 CVE-N/A:メモリ破損の恐れ

Critical Zlib Vulnerability Let Attackers Trigger Buffer Overflow by Invoking untgz

2026/01/12 CyberSecurityNews — zlib に同梱される untgz ユーティリティのバージョン 1.3.1.2 に発見されたのは、深刻なグローバルバッファ・オーバーフローの脆弱性 CVE-N/A である。攻撃者は、細工したコマンドライン入力を介してメモリを破壊し、悪意あるコードを実行する可能性がある。この欠陥は、untgz ユーティリティの TGZfname() 関数に存在する。この関数は、ユーザーが指定したアーカイブ名を処理する際、入力サイズの検証を行わずに strcpy() を呼び出す実装となっている。その結果、1,024 バイト固定長の静的グローバル・バッファに対して境界を超えるデータコピーが発生し、メモリ破壊が引き起こされる。

Continue reading “zlib untgz ユーティリティのバッファ・オーバーフローの脆弱性 CVE-N/A:メモリ破損の恐れ”

YARA-X 1.11.0 がリリース:ルールの信頼性向上と誤検出の削減を推進

YARA-X 1.11.0 Released With a New Hash Function Warnings

2026/01/12 CyberSecurityNews — VirusTotal が公開したのは、マルウェアの識別や分類に広く利用される検出エンジンの次世代版、YARA-X バージョン 1.11.0 である。今回のアップデートでは、ルールの信頼性向上と誤検出 (False Positive) の削減を目的とした重要な新機能が追加されている。特に、ハッシュ関数利用時の警告機能が実装されたことで、セキュリティ研究者がルール作成時に陥りやすい記述ミスを自動的に検知し、より精度の高い検出ルールの構築が支援される。

Continue reading “YARA-X 1.11.0 がリリース:ルールの信頼性向上と誤検出の削減を推進”