Apache Airflow Vulnerabilities Enables Expose of Sensitive Data
2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。
Continue reading “Apache Airflow の脆弱性 CVE-2025-68675/68438 が FIX:機密情報漏洩の恐れ”OPNsense 25.7.11 Enhances Network Visibility With Host Discovery Feature
2025/01/20 gbhackers — 2026年1月に、OPNsense チームはバージョン 25.7.11 をリリースした。このリリースでは、ファイアウォール全体にわたる接続デバイスの可視性が高められている。また、ポリシー制御を強化する注目すべきネットワーク機能強化として、ネットワーク可視性を向上させるネイティブ・ホスト検出サービスが追加された。このバージョン 25.7.11 における目玉機能は、”hostwatch” コンポーネントを基盤とした新しいホスト検出サービスである。
Continue reading “OPNsense 25.7.11 がリリース:接続デバイスとネットワークに対する可視性が向上”Cloudflare Zero-Day Flaw Allows Attackers to Bypass Security and Access Any Host
2026/01/20 gbhackers — Cloudflare の Web Application Firewall (WAF) に存在する深刻なゼロデイ脆弱性により、攻撃者がセキュリティ制御を回避し、保護されたオリジン・サーバへ直接アクセスできてしまう状況が生じていた。2025年10月9日に FearsOff のセキュリティ研究者たちは、特定の証明書検証パスを標的としたリクエストにより、設定した WAF ルールを完全に回避できることを発見した。これらのルールは、不正なトラフィックを遮断するために設計されたものである。
Continue reading “Cloudflare のゼロデイ脆弱性が FIX:WAF 回避によるオリジン・サーバへの直接アクセス”Apache bRPC Vulnerability Enables Remote Command Injection
2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。
Continue reading “Apache bRPC の脆弱性 CVE-2025-60021 が FIX:リモート・コマンド・インジェクションの可能性”
IoT OT Security News 