Critical CVSS 9.8 RCE Flaw in vLLM Exposes AI Hosts to Remote Attacks
2025/05/21 SecurityOnline — 大規模言語モデル (LLM) 向けの高性能推論/サービング・エンジンである vLLM に、深刻な脆弱性 CVE-2025-47277 が存在することが公表された。この脆弱性は、PyNcclPipe 通信サービスにおける安全が確保されないデシリアライズ処理に起因し、リモート・コード実行 (RCE) を可能にするものであり、CVSS スコア 9.8 が割り当てられている。
Continue reading “vLLM の 脆弱性 CVE-2025-47277 (CVSS 9.8) が FIX:不適切なデータ処理による RCE の恐れ”Critical containerd Vulnerability: Malicious Images Can Hijack Host Filesystem
2025/05/21 SecurityOnline — containerd が発表したのは、同プロジェクトのコンテナ・ランタイムにおける、深刻な脆弱性に関する緊急セキュリティ・アドバイザリである。この脆弱性により発生する可能性があるのは、悪意のコンテナ・イメージによるホスト・ファイル・システムへの不正アクセスである。この脆弱性 CVE-2025-47290 は、containerd バージョン 2.1.0 に影響を及ぼすものだが、すでに、バージョン2.1.1 で修正されている。
Continue reading “containerd の脆弱性 CVE-2025-47290 が FIX:Kubernetes/Docker 環境への影響は必然”CISA Alerts: Vertiv Products Vulnerable to RCE, Auth Bypass (CVSS 9.8)
2025/05/21 SecurityOnline — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、Vertiv の Liebert RDU101 および IS-UNITY 製品に存在する2つの深刻な脆弱性に対して、緊急のアドバイザリを公開した。これらの脆弱性が悪用されると、攻撃者によるリモート・コード実行や認証バイパスが生じる可能性があり、運用環境に重大なリスクがもたらされる。CISA によると、脆弱性 CVE-2025-46412/CVE-2025-41426 の CVSS v3.1 スコアは 9.8 と評価され、重大な脆弱性として分類されている。
Continue reading “CISA 警告:Vertiv 製品の脆弱性 CVE-2025-46412/41426 が FIX:重要インフラに不正リモート・アクセス”PoC Available: TP-Link Archer AX50 Flaw Allows Remote Root Access
2025/05/21 SecurityOnline — TP-Link の Archer AX50 ルーターに発見された脆弱性は、その悪用に成功したリモート攻撃者に対して、LAN/WAN インターフェイス経由での任意のコード実行をゆるす可能性のあるものだ。この脆弱性 CVE-2025-40634 (CVSS v4:9.2) は、家庭/企業のネットワークに深刻なリスクをもたらす。
Continue reading “TP-Link Archer AX50 の脆弱性 CVE-2025-40634 が FIX:すでに PoC も公開”Is Your Unix Automation Secure? Critical Broadcom Flaw Poses High Risk
2025/05/21 SecurityOnline — Broadcom が公表したのは、Unix 向けの Automic Automation Agent に影響を与える、権限昇格の脆弱性に関するセキュリティ・アドバイザリである。この脆弱性は CVE-2025-4971 として追跡されており、CVSS スコア 8.5 が割り当てられている。この脆弱性を悪用する権限を持たないユーザーが、昇格後の権限で任意のコードを実行する可能性があるため、Unix 環境における自動化インフラに深刻な脅威が生じている。
Continue reading “Broadcom Automic Automation Agent の脆弱性 CVE-2025-4971 が FIX:Unix 自動化は安全か?”Critical OpenPGP.js Flaw Allows Message Signature Spoofing
2025/05/21 SecurityOnline — 安全なメッセージングと暗号化のために広く利用される、JavaScript ライブラリを提供する OpenPGP.js プロジェクトが、深刻な脆弱性 CVE-2025-47934 を修正した。この脆弱性を悪用する攻撃者は、メッセージの署名を偽装し、本物を装いながらコンテンツ操作を可能にするという。この脆弱性は、ブラウザベースのメール・クライアント/エクステンション/Web サービスなどの、OpenPGP.js を利用する広範なアプリケーションにおける、署名付き通信と暗号化された通信の整合性を脅かすものだ。
Continue reading “OpenPGP.js の脆弱性 CVE-2025-47934 が FIX:メッセージへの偽装署名の恐れ”Broadcom Fixes RCE, DoS, XSS in VMware ESXi, vCenter, Workstation
2025/05/20 SecurityOnline — Broadcom 傘下の VMware が発表したのは、ESXi/vCenter Server/Workstation Pro/Fusion などの製品群に発見された、4件の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性 CVE-2025-41225/CVE-2025-41226/CVE-2025-41227/CVE-2025-41228 は、コマンド実行/サービス拒否攻撃/反射型 XSS 攻撃などを引き起し、仮想化インフラ全体に広範なリスクをもたらすものだ。
Continue reading “VMware ESXi/vCenter/ Workstation の4件の脆弱性が FIX:RCE/DoS/XSS などの恐れ”CISA Includes MDaemon Email Server XSS Flaw in KEV Catalog
2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2025年5月19日付けで、MDaemon Email Server に影響を及ぼすクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2024-11182 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性が浮き彫りにするのは、細工された HTML メールによる悪意の JavaScript コードの挿入を、攻撃者に許してしまうセキュリティ上の欠陥である。
Continue reading “CISA KEV 警告 25/05/19:MDaemon Email Server の脆弱性 CVE-2024-11182 を登録”Vulnerability Exploitation Probability Metric Proposed by NIST, CISA Researchers
2025/05/20 SecurityWeek — CISA と NIST の研究者たちが提案するのは、脆弱性が実際に悪用される可能性を算出するための、新たなサイバー・セキュリティ指標である。NIST の Peter Mell と CISA の Jonathan Spring が発表したのは、Likely Exploited Vulnerabilities (LEV) と呼ばれる指標の計算式を解説する論文である。ソフトウェアとハードウェアにおいて、毎年、数千件もの脆弱性が発見されている、実際に悪用されるのは、そのうちのごく一部である。
Continue reading “LEV による KEV と EPSS の強化:CISA と NIST の研究者が新たな指標の計算式を発表”100+ Fake Chrome Extensions Found Hijacking Sessions, Stealing Credentials, Injecting Ads
2025/05/20 TheHackerNews — 2024年2月以降において、正体不明の脅威アクターが作成した悪意の Chrome エクステンション群は、無害に見えるユーティリティを装いながら、データの窃取/コマンドの受信/任意コードの実行といった機能を隠し持っている。
Continue reading “Chrome Extension ユーザーが標的:100+ の悪意のエクステンションと Web サイトを準備するキャンペーン”Critical Risk (CVSS 9.9): samlify Flaw Exposes SSO in Widely Used Library
2025/05/20 SecurityOnline — 広く使用される samlify ライブラリに新たに公開された、脆弱性 CVE-2025-47949 (CVSSv4:9.9) により、SAML Signature Wrapping (SSW) 攻撃ベクターが取り込まれ、無数の Single Sign-On (SSO) 実装が危険に直面することになった。月間ダウンロード数が 768,000 回を超える samlify であるため、この脆弱性の影響は深刻なものであり、世界中のエンタープライズ・グレードの認証システムに影響が及ぶとされる。
Continue reading “samlify SAML ライブラリの脆弱性 CVE-2025-47949 が FIX:SSW 攻撃ベクターの発生とエンタープライズへの影響”AWS Default IAM Roles Found to Enable Lateral Movement and Cross-Service Exploitation
2025/05/20 TheHackerNews — Amazon Web Services (AWS) に影響を及ぼす、IAM (identity and access management) の高リスクのデフォルト・ロールを、サイバー・セキュリティ研究者たちが発見した。これらのロールを悪用する攻撃者は、権限の昇格や、他の AWS サービスの操作を達成し、AWSアカウントの完全な侵害の可能性を手にするという、きわめて危険なものである。
Continue reading “AWS のデフォルト IAM ロール:自動的に付与される過剰な権限とラテラルのリスク”Critical Vulnerability in VMware Cloud Foundation Exposes Sensitive Data to Attackers
2025/05/20 gbhackers — Broadcom 傘下の VMware が公表したのは、Cloud Foundation プラットフォームに存在する、3件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、機密情報や社内サービスへの不正アクセスの可能性を手にする。2025年5月20日に公開されたアドバイザリでは、CVSS スコアが 7.3 〜 8.2 の脆弱性について詳細に説明されており、いずれの深刻度も Important と評価されている。これらの脆弱性は、VMware Cloud Foundation のバージョン 4.5.x/5.x に影響を及ぼすが、回避策は存在しないため、速やかなパッチ適用が必要となる。
Continue reading “VMware Cloud Foundation の脆弱性 CVE-2025-41229/41230/41231 が FIX:深刻な不正アクセスの恐れ”CISA Adds Actively Exploited Ivanti EPMM Zero-Day to KEV Catalog
2025/05/20 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Ivanti Endpoint Manager Mobile (EPMM) に影響を及ぼす2件の深刻なゼロデイ脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加した。脆弱性 CVE-2025-4427 は認証バイパスを、脆弱性 CVE-2025-4428 はリモートコード実行を可能にするものであり、広く使用されている OSS ライブラリの安全が確保されない実装に起因するものだ。連邦政府機関および民間組織は、拘束的運用指令 22-01 に基づき、2025年6月9日までに緩和策を適用する必要がある。
Continue reading “CISA KEV 警告 25/05/19:Ivanti EPMM の脆弱性 CVE-2025-4427/4428 を登録”A New Era for Windows: Microsoft’s Protocol Transforms OS into AI Agent Platform
2025/05/20 SecurityOnline — Microsoft Build 2025 において同社が発表したのは、 Windows 11 への Model Context Protocol (MCP) の統合であり、オペレーティング・システムを AI agentic プラットフォームへと変革する重要な一歩を踏み出した。Microsoft によると、MCP は AI agentic ベース・コンピューティングのための統一プロトコルとして、安全かつ相互運用可能な基盤層を提供するという。
Continue reading “Microsoft Windows 11 に MCP を統合:OS を AI agentic プラットフォームに変革する?”Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts
2025/05/20 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。これらのパッケージは、盗み出したメール・アドレスを、TikTok/Instagram の APIで検証するための、チェッカー・ツールとして機能する。問題となっている3つのパッケージは、現時点の PyPI では提供されていない。それらの Python パッケージ名は、以下の通りである。
Continue reading “PyPI に新たな悪意のパッケージ:Instagram/TikTok などをユーザー・アカウントを盗み出す?”High DoS Risk: Multer Flaws Threaten Millions of Node.js Apps
2025/05/20 SecurityOnline — Multer は、Node.js において multipart/form-data を処理する定番ミドルウェアであり、月間ダウンロード数が 2,630万回を超えるものだ。しかし、この人気ライブラリで発見された脆弱性 CVE-2025-47944/CVE-2025-47935 により、それを利用するアプリケーションに深刻なサービス拒否 (DoS) 攻撃のリスクが発生している。Node.js アプリケーションで、Multer を用いてファイルのアップロード処理を行い、バージョン 2.0.0 以降を使用していないケースでは、この脆弱性の影響を受ける可能性が生じる。
Continue reading “Multer の脆弱性 CVE-2025-47944/47935 が FIX:Node.js アプリに DoS攻撃 攻撃の可能性”SAP NetWeaver RCE: Zero-Day Allows File Uploads, Qilin Ransomware Connection
2025/05/20 SecurityOnline — SAP NetWeaver Visual Composer の深刻な脆弱性 CVE-2025-31324 (CVSS:10) が、情報公開の数週前の時点で、実際に悪用されていたことが、OP Innovate の調査により明らかになった。この脆弱性の悪用については、情報公開後に発生したと考えられていたが、OP Innovate のインシデント対応レポートが、それを覆した。具体的に言うと、ロシア語圏の Ransomware-as-a-Service (RaaS) グループである Qilin が、この攻撃に関与した可能性があるという。
Continue reading “SAP NetWeaver の脆弱性 CVE-2025-31324:Qilin ランサムウェアが積極的に悪用か?”High Risk (CVSS 9.8): Motors Theme Flaw Exposes 22,000+ WordPress Sites to Full Takeover
2025/05/20 SecurityOnline — ThemeForest で 22,000件以上の販売実績を持つ、人気のプレミアム WordPress テーマ Motors に、重大な脆弱性が発見された。この脆弱性 CVE-2025-4322 (CVSS:9.8) は、権限昇格の脆弱性に分類されている。Wordfence は、「この脆弱性の悪用に成功した未認証の攻撃者は、管理者などの任意のユーザーのパスワードを、リセットする可能性を手にする。その結果として、アカウントや Web サイトの乗っ取りに至る恐れがある」と警告している。
Continue reading “WordPress Motors Theme の脆弱性 CVE-2025-4322 が FIX:サイトの乗っ取りに至る恐れ”High-Risk RAGFlow Flaw: Account Takeover Possible (No Patch, PoC Available)
2025/05/20 SecurityOnline — Infiniflow が開発したオープンソースの RAG (Retrieval-Augmented Generation) プラットフォーム RAGFlow に、深刻なアカウント乗っ取りの脆弱性が発見された。この脆弱性 CVE-2025-48187 (CVSS:9.1) を悪用する攻撃者は、ブルートフォース攻撃によるメール認証コードの不正取得を達成し、ユーザー登録/ログイン/パスワードに対するリセット攻撃などの可能性を得る。
Continue reading “RAGFlow の脆弱性 CVE-2025-48187 (CVSS 9.1):アカウント乗っ取りに No Patch/Yes PoC”Can Your Firewall Be Hacked? Severe Flaws Found in pfSense
2025/05/20 SecurityOnline — 人気の OSS ファイアウォール・プラットフォーム pfSense に影響を及ぼす、3つの深刻な脆弱性を詳述する技術調査レポートを、セキュリティ研究者である Navy Titanium が公開した。これらの脆弱性は、pfSense CE/Plus builds 2.8.0 beta 未満に影響を及ぼし、それを悪用する攻撃者に対して、バックアップの乗っ取り/システムコマンドの挿入/コア・コンフィグの破壊などを許すという。
Continue reading “pfSense Firewall に複数の脆弱性:beta/early-access の FIX と stable の Non FIX”Leaky WordPress: Private Post Titles at Risk for 1 Billion Sites
2025/05/20 SecurityOnline — WordPress で発見された脆弱性を、Imperva の研究者たちが公開した。この脆弱性を悪用する攻撃者は、WordPress プラットフォームの XML-RPCインターフェイスを介して、機密性の高い下書きや非公開の投稿タイトルを暴露する機会を得る。この機能は、約10億の Web サイトにおいて、デフォルトで有効化されているという。
Continue reading “WordPress Core のタイトル・リークの脆弱性 CVE-N/A:XML-RPC ピンバック機能に欠陥”Hanko: Open-source authentication and user management
2025/05/19 HelpNetSecurity — Hanko の CEO である Felix Magedanz は、「私たちは、開発者や組織の認証フローを近代化するために、ユーザーを Passkeys へと移行させることに重点を置いている。それと同時に、eMail/Password/MFA/OAuth/SAML SSO といった、従来からの認証方法もサポートしていく。私たちの真の強みは、開発者エクスペリエンスへのコミットメントである」と Help Net Security に語った。
Continue reading “Hanko という OSS の認証管理システム:クリーンな API Surface と SDK で Passkeys への移行をサポート”Ransomware Gangs Use Skitnet Malware for Stealthy Data Theft and Remote Access
2025/05/19 TheHackerNews — Skitnetと呼ばれるマルウェアを、ポスト・エクスプロイトで使用する複数のランサムウェア・グループが、機密データを窃取し、侵害したホストをリモート制御しようとしている。スイスのサイバー・セキュリティ企業 PRODAFT は、「Skitnet は、RAMP などのアンダーグラウンド・フォーラムで、2024年4月から販売されている。さらに、2025年の初頭以降においては、複数のランサムウェア攻撃者が、実際の攻撃で Skitnet を使用しているのを確認している」と、The Hacker News に述べている。
Continue reading “Skitnet という多段型インフォ・スティーラーに注意:ステルス性を備え Black Basta ランサムウェアなどを配信”Active Exploitation of Ivanti EPMM Zero-Day Vulnerability in the Wild
2025/05/19 gbhackers — Ivanti の Enterprise Mobility Management (EPMM) プラットフォームに存在する、深刻なゼロデイ脆弱性を狙う継続的な攻撃を、Shadowserver Foundation のセキュリティ研究者たちが確認している。その脆弱性 CVE-2025-4427 が、もう一方の CVE-2025-4428 と連鎖することで、リモートコード実行 (RCE) にいたる可能性があり、パッチ未適用のシステムにとって、重大な脅威が生じている。すでに、これらの脆弱性の情報は公開されているが、最近の監視でも、依然として多くの脆弱なインスタンスが露出しており、攻撃者たちによる悪用の試みも止まっていない。
Continue reading “Ivanti EPMM の脆弱性 CVE-2025-4427/4428:依然として悪用の試行が止まらない – Shadowserver”Japan passed a law allowing preemptive offensive cyber actions
2024/05/19 SecurityAffairs — 日本が制定した Active Cyberdefense Law は、被害が発生する前に脅威に対抗するための、先制的な攻撃的サイバー作戦を可能にするものだ。それが示すのは、憲法第9条に基づく日本の平和主義的な立場からの転換であり、サイバー防衛力を西側主要国と同等に高め、同盟国への広範な軍事支援を可能にすることを目指している。
Continue reading “日本の Active Cyberdefense Law が制定:先制的な攻撃的サイバー作戦を可能に”PoC Released: iOS Kernel Flaw Allows File System Modification Without Jailbreak
2025/05/19 SecurityOnline — すでにパッチ適用されたカーネルの脆弱性 CVE-2025-24203 が、Apple エコシステム内のセキュリティ・コミュニティおよびジェイルブレイク・コミュニティで、大きな注目を集めている。この脆弱性は、“dirtyZero“ および “mdc0“ と命名されており、ファイル・システムの保護領域の改変を、アプリに対して許してしまうものだ。したがって、この脆弱性の悪用に成功した攻撃者は、ジェイルブレイクを必要とせずに、システム・カスタマイズの可能性を手にする。
2025/05/19:gbhackers — インターネットに公開される Atlassian Confluence サーバの、テンプレート・インジェクションの脆弱性 CVE-2023-22527 が、攻撃者により悪用されていることが判明した。この脆弱性を悪用する攻撃者は、リモート・コード実行 (RCE) を達成し、標的のネットワークへのイニシャル・アクセスと足場を確立していた。最初の侵害は、IP アドレス 45.227.254.124 からの、”whoami” コマンドを実行するネットワーク・トラフィックを通じて検出された。その直後には、別の IP アドレス 91.191.209.46 から Meterpreter 経由で Metasploit ペイロードが展開され、C2 (command-and-control) チャネルの確立が急速に拡大した。
Continue reading “Atlassian Confluence の脆弱性 CVE-2023-22527 の悪用を観測:パッチ未適用のシステムが標的”Critical Risk (CVSS 9.1): Auth0-PHP SDK Flaw Threatens 16M+ Downloads
2025/05/19 SecurityOnline — Auth0-PHP SDK を使用する開発者および企業に対して Okta が公開したのは、セッション Cookie に対するブルートフォース攻撃により不正アクセスを許してしまう、深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-47275 (CVSS 9.1) は、セッション管理に CookieStore を使用するようにコンフィグされた Auth0-PHP SDK および、それを統合するダウンストリームに影響を及ぼす。
Continue reading “Auth0-PHP SDK の脆弱性 CVE-2025-47275 が FIX:約1,600 万回ダウンロードと影響の範囲”High DoS Risk: Tornado’s Default Parser Exposes Apps (CVE-2025-47287)
2025/05/19 SecurityOnline — Tornado Python Web フレームワークに新たに発見された、脆弱性 CVE-2025-47287 を悪用する攻撃者は、過剰なログ出力を引き起こし、アプリケーションをサービス拒否 (DoS) 攻撃にさらす可能性を手にする。この脆弱性の CVSS スコア 7.5 であり、深刻度 High に分類されている。Tornado のアドバイザリには、「Tornado の multipart/form-data パーサーは、特定のエラーに遭遇すると警告をログに記録するが、残されるデータの解析が継続されてしまう」と記されている。
Continue reading “Tornado の脆弱性 CVE-2025-47287 が FIX:不適切なログ処理によるリソースの枯渇”Mozilla fixes Firefox zero-days exploited at hacking contest
2025/05/19 BleepingComputer — Mozilla が公表したのは、先日に開催された Pwn2Own Berlin 2025 ハッキング・コンテストで実証された、Firefox の2件のゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。これらの修正の対象には、Firefox の Desktop/Android および、2つの Extended Support Releases (ESR) が含まれる。これらの脆弱性が報告された、5月17日 (土) の Pwn2Own から、わずか数時間後に修正版はリリースされている。
Continue reading “Mozilla Firefox のゼロデイ脆弱性 CVE-2025-4918/4919 が FIX:Pwn2Own Berlin 2025 で公表”XSS Vulnerability Discovered in Label Studio: Update Now!
2025/05/19 SecurityOnline — 機械学習モデルのデータセットにアノテーションを付与するために、広く用いられる OSS データ・ラベリング・ツール Label Studio に、反射型クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、研究者たちが明らかにした。Label Studio のバージョン 1.18.0 未満に影響を及ぼす、脆弱性 CVE-2025-47783 を悪用する攻撃者は、ユーザー・セッションのコンテキストで、任意の JavaScript 挿入/実行の可能性を得るという。
Continue reading “Label Studio の XSS 脆弱性 CVE-2025-47783 が FIX:任意の JavaScript の挿入/実行”glibc Vulnerability Puts Millions of Linux Systems at Risk of Code Execution
2025/05/19 SecurityOnline — 数多くの Linux アプリケーションにおいて、基本コンポーネントとして活用される GNU C Library (glibc) で、新たな脆弱性が報告された。この脆弱性が示すのは、静的 setuid バイナリの共有ライブラリ読込みメカニズムに存在する、潜在的に悪用が可能な欠陥の詳細である。この脆弱性 CVE-2025-4802 は、静的 setuid バイナリが dlopen() を介して動的ライブラリを呼び出す際に、LD_LIBRARY_PATH 環境変数を不適切に使用することに起因する。
Continue reading “GNU C Library (glibc) の脆弱性 CVE-2025-4802 が FIX:各種の Linux ディストロにコード実行の可能性”Race Condition in Windows Remote Desktop Gateway Enables RCE – PoC Demonstrates Exploitability
2025/05/19 SecurityOnline — Microsoft の Remote Desktop Gateway (RD Gateway) で発見された脆弱性により、リモートコード実行 (RCE) につながる可能性のある、きわめて危険な競合状態の存在が明らかになった。この脆弱性 CVE-2025-21297 は、Kunlun Lab の VictorV (Tang Tianwen) が報告したものであり、Microsoft により正式に認知されている。この脆弱性は、サービスの初期化中に発生する、コンカレント・ソケット接続の解放後メモリ使用 (UAF:use-after-free) のバグに起因する。
Continue reading “Windows RD Gateway の脆弱性 CVE-2025-21297:RCE – PoC エクスプロイトが登場”High-Risk Flaw in Python Web Framework Reflex Could Lead to Account Takeover
2025/05/19 SecurityOnline — インタラクティブな Web アプリを構築するための、Python ベースの OSS フレームワーク Reflex に、深刻なセキュリティ上の欠陥が発見された。この脆弱性は CVE-2025-47425 の CVSS スコアは 8.1 であり、深刻度が高いことを示している。Reflex の人気は、JavaScript を必要とせずに、Python のみフルスタック Web アプリの構築が可能なところにある。その使いやすさと、パワフルな状態管理のための機能により、最先端のアプリ開発において Reflex は人気を博している。
Continue reading “Python Web Framework Reflex の脆弱性 CVE-2025-47425 が FIX:Admin アカウント乗っ取りの恐れ”AI in the Cloud: The Rising Tide of Security and Privacy Risks
2025/05/16 SecurityAffairs — 企業における業務の効率化と意思決定の迅速化を図るために、人工知能 (AI) の導入が進むにつれて、Azure OpenAI/AWS Bedrock/Google Bard といったクラウド・ベースのプラットフォームを利用する企業が増えている。2024年だけでも、半数以上の組織がカスタム・アプリケーションの構築に AI を導入したという。これらのツールにより、明らかに生産性は向上するが、その一方において、特にデータのセキュリティとプライバシーに関する、複雑かつ新たなリスクが生じている。
Continue reading “AI in the Cloud:セキュリティとプライバシーの潮流に向き合うための方策は?”Critical CVSS 9.4 Flaw in OpenText OBM Exposes Enterprises to Privilege Escalation Risk
2025/05/18 SecurityOnline — OpenText が発表したのは、Operations Bridge Manager (OBM) ソフトウェアに存在する、2つの深刻な脆弱性 CVE-2025-3476/CVE-2025-3272 に対処する緊急セキュリティ・アドバイザリである。これらの脆弱性は、OpenText プラットフォームの複数のバージョンに影響を及ぼす。これらの脆弱性の悪用に成功した認証済のユーザーは、権限の昇格や、パスワード認証プロトコル・バイパスの可能性を得る。
Continue reading “OpenText OBM の脆弱性 CVE-2025-3476/3272 が FIX:権限昇格と認証バイパスの可能性”CVE-2025-47539: Critical Privilege Escalation Flaw Hits 10K+ WordPress Eventin Sites
2025/05/16 SecurityOnline — WordPress で人気を誇る Eventin 管理プラグインに深刻な脆弱性が発見され、それを修正するプログラムが公開されている。このプラグインを利用することで、出欠確認/チケット販売などの、カレンダー・ベースのイベントを管理するサイトは、10,000+ に達すると言われている。
Continue reading “WordPress Eventin の脆弱性 CVE-2025-47539 が FIX:深刻な権限昇格”iOS Kernel Vulnerability Exposed in Public PoC – Potential Jailbreak and Privilege Escalation Risk
2025/05/16 SecurityOnline — Apple が 2023年に修正した深刻な iOS カーネル脆弱性 CVE-2023-41992 が、iOS のセキュリティ研究者 @karzan_0x455 が公開した PoC (Proof of Concept) により、再び注目を集めている。この脆弱性は、複数の Apple プラットフォームに影響するものであり、悪意のアプリが署名検証を回避し、特権昇格を達成する恐れがあるというものだ。
Continue reading “iOS カーネルの脆弱性 CVE-2023-41992:2023年に修正済だが PoC が公開”CISA Flags Actively Exploited Vulnerabilities in Chrome, SAP, and DrayTek Routers
2025/05/16 SecurityOnline — 米国 Cybersecurity and Infrastructure Security Agency (CISA) は、実環境での悪用が確認されたことを受け、以下の3件の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに登録した。
Popular Selenium Library WebDriverManager Hit by Critical XXE Bug (CVE-2025-4641, CVSS 9.3)
2025/05/16 SecurityOnline — Selenium ベースの自動化フレームワークで広く使用されている重要な Java ライブラリ、WebDriverManager に、重大な XML 外部エンティティ (XXE) の脆弱性 CVE-2025-4641 が発見された。この脆弱性は、CVSS スコアで 9.3 と評価されており、Windows/macOS/Linux を含む複数のプラットフォームに深刻な影響を及ぼす可能性がある。
Continue reading “WebDriverManager の脆弱性 CVE-2025-4641 が FIX:Java ライブラリに XXE 情報漏洩と不正アクセス”Pgpool-II Hit by Critical CVE-2025-46801: CVSS 9.8 Risk Lets Attackers Bypass Authentication
2025/05/16 SecurityOnline — PgPool Global Development Group が発行したのは、PostgreSQL サーバとデータベース・クライアントの間で使用されるミドルウェア Pgpool-II に存在する、深刻度の高い脆弱性に対するセキュリティ・アドバイザリの発行である。この脆弱性 CVE-2025-46801 は、特定のミスコンフィグにより認証バイパスを許すものであり、CVSS スコアは 9.8 となっている。
Continue reading “Pgpool-II の脆弱性 CVE-2025-46801 が FIX:ミスコンフィグによる認証バイパス”Sophisticated NPM Attack Leverages Google Calendar for Advanced Communication
2025/05/16 gbhackers — npm エコシステムで判明した驚くべき問題は、無害に見えるパッケージ os-info-checker-es6 の中に、きわめて洗練されたマルウェア攻撃が埋め込まれていることだ。2025年3月19日に、このパッケージは初めて公開され、そのイニシャル・バージョンは無害に見えたが、その後に複雑な脅威へと急速に進化している。具体的に言うと、初期のイテレーションは、基本的な OS 情報の収集に重点を置いていたが、3月22日〜23日に行われたアップデートでは、プラットフォーム対応の固コンパイル済み Node.js モジュールと、複雑な難読化技術が導入された。
Continue reading “Google Calendar を C2 サーバに変える:NPM に仕掛けられた高ステルス性のマルウェアとは?”Jenkins Plugin Flaws Expose Critical Risks: CVE-2025-47889 Hits 9.8 CVSS with Auth Bypass
2025/05/16 SecurityOnline — 人気のオープンソース自動化サーバ Jenkins は、多くの開発チームや運用チームにとって不可欠なツールである。最近のセキュリティ・アドバイザリで指摘されたのは、各種の Jenkins プラグインに存在する複数の深刻な脆弱性であり、それらが悪用されると重大なリスクが生じるという。
Continue reading “Jenkins の複数プラグインの脆弱性が FIX:WSO2 Oauth の CVE-2025-47889 は No Patch”Critical NAS Risk: I-O DATA Flaw with 9.8 CVSS Allows Remote Command Execution
2025/05/16 SecurityOnline — 集中管理されたストレージとデータ・アクセスを提供する Network Attached Storage (NAS) は、家庭および企業のネットワークに不可欠なコンポーネントとなっている。先日の JPCERT/CC アドバイザリによると、I-O DATA DEVICE の HDL-T Series NAS デバイスに発見された複数の深刻な脆弱性により、データ・セキュリティとネットワーク整合性に重大なリスクが生じているという。
Continue reading “I-O DATA HDL-T NAS の深刻な脆弱性 CVE-2025-32002 などが FIX:リモート・コマンド実行の恐れ”Patch Now: SonicWall SMA1000 Flaw (CVE-2025-40595) Enables Stealth SSRF Attacks
2025/05/16 SecurityOnline — SonicWall SMA1000 Series アプライアンスで発見された、サーバ・サイド・リクエスト・フォージェリ (SSRF) の脆弱性を悪用するリモート攻撃者は、エンコードされた URL を介して、制限されているはずの内部リソースへのアクセスを得るという。この脆弱性 CVE-2025-40595 (CVSS:7.2) の存在により、セキュア・アクセスのために SMA1000 を利用する企業環境に、深刻なリスクが生じている。
Continue reading “SonicWall SMA1000 の SSRF 脆弱性 CVE-2025-40595 が FIX:ステルス性攻撃の誘発の恐れ”New Linux Vulnerabilities Surge 967% in a Year
2025/05/15 InfoSecurity — 2024年に Linux と macOS で発見された脆弱性の件数が劇的に増加したと、Action1 の最新分析が語っている。サイバー・セキュリティ・ベンダーである Action1 の、2025 Software Vulnerability Ratings Report は、National Vulnerability Database (NVD) とSecurityScorecard の CVEdetails.com サイトの詳細分析をベースにしたものだ。Action1 の推計によると、2024年に発見された脆弱性の総数は、前年比で 61% 増の 6,761件となるが、Linux の脆弱性は “前例のない” 967%増の 3,329件に達したという。
Continue reading “2024年の脆弱性を分析:Linux の発生件数は 967% 増/全体的な悪用件数は 96% 増”High-Risk Flaws in a-blog cms: CVE-2025-36560 Scores Critical 9.2 on CVSS Scale
2025/05/15 SecurityOnline — appleple が開発する、人気の CMS である a-blog cms に、複数のセキュリティ上の欠陥が存在することを、JPCERT/CC が公表した。これらの脆弱性は、パストラバーサル/クロスサイト・スクリプティング (XSS)/サーバ・サイド・リクエスト・フォージェリ (SSRF)/ログ・インジェクションなどの多岐にわたり、Web サイトとユーザーに深刻なリスクをもたらす。
Continue reading “a-blog cms の CVE-2025-36560 などが FIX:XSS や SSRF の組み合わせとセッション乗っ取りの可能性”Pen Testing for Compliance Only? It’s Time to Change Your Approach
2025/05/15 TheHackerNews — 次のような状況を想像してほしい。ある組織が、1月に年次ペネトレーション・テストを完了し、セキュリティ・コンプライアンスで高い評価を得た。そして2月には、開発チームが定期的なソフトウェア・アップデートを導入した。しかし4月には、そのアップデートで混入した脆弱性を悪用する攻撃者が、顧客データにアクセスした。それは、この脆弱性が検知される数週間前のことだった。
U.S. CISA adds a Fortinet flaw to its Known Exploited Vulnerabilities catalog
2025/05/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet の複数製品に存在するスタック・バッファオーバーフロー脆弱性 CVE-2025-32756 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。それに先行するかたちで Fortinet が公表したのは、企業向け電話システムを標的とする攻撃で悪用された、FortiVoice のリモートコード実行の脆弱性 CVE-2025-32756 に対処する、セキュリティ・アップデートのリリースである。
Continue reading “CISA KEV 警告 25/05/14:Fortinet FortiVoice などの RCE 脆弱性 CVE-2025-32756 を登録”
IoT OT Security News 
You must be logged in to post a comment.