Threat Actors Hijack Popular npm Packages to Steal The Project Maintainers’ npm Tokens
2025/07/22 CyberSecurityNews — 広く使用される eslint-config-prettier や eslint-plugin-prettier などの、複数の npm パッケージが高度なサプライチェーン攻撃により侵害された。この攻撃の原因は、標的型フィッシング攻撃による、メンテナーの認証トークンの窃取にある。この攻撃で用いられたドメイン npnjs.com は、正規の npmjs.org サイトを模倣するものであり、精巧に設計されたフィッシング・メールを通じて、開発者の認証情報を収集するタイポスクワッティング攻撃が仕掛けられた。
Command-Line Editor Vim Hit by Vulnerability Allowing File Overwrites
2025/07/16 gbhackers — Vim の開発チームが公表したのは、Vim の zip.vim プラグインに存在する深刻なセキュリティ脆弱性に関する情報である。2025年7月15日に公開された、この脆弱性 CVE-2025-53906 が影響を及ぼす範囲は、Vim のバージョン 9.1.1551 未満となる。細工された ZIP アーカイブ・ファイルを処理する際の、ファイル・パスの不適切な制限処理に、この脆弱性は起因する。したがって、この欠陥を突く攻撃者は、被害者のシステム上で任意のファイルを上書きできる。さらに攻撃者は、特権ディレクトリ上に任意コードを配置できるため、最悪の場合には基盤となる OS 上でのコード実行が引き起こされ、システム全体の制御が奪われる可能性がある。
Apache Tomcat Coyote Flaw Allows Attackers to Launch DoS Attacks
2025/07/15 gbhackers — Apache Software Foundation が公表したのは、Tomcat Coyote モジュールの Maven アーティファクト org.apache.tomcat:tomcat-coyote に存在する、深刻な脆弱性 CVE-2025-53506 に関する情報である。この脆弱性を悪用する攻撃者は、ストリームのコンカレント制限を操作し、サーバ・リソースを圧倒することで、サービス拒否 (DoS) 攻撃を仕掛ける可能性を手にする。この脆弱性は、HTTP/2 プロトコル処理における、制御不能なリソース消費に起因する。
Continue reading “Apache Tomcat Coyote の脆弱性 CVE-2025-53506 が FIX:サービス拒否 (DoS) 攻撃の恐れ”WordPress Gravity Forms developer hacked to push backdoored plugins
2025/07/11 BleepingComputer — WordPress の人気プラグインである Gravity Forms が、サプライチェーン攻撃とみられるインシデントにより侵害された。公式 Web サイトから手動でインストールされたパッケージに、バックドアが仕込まれるという攻撃が発生したことになる。Gravity Forms は有料プラグインであり、コンタクトフォーム/決済フォームなどのオンラインフォームを作成するために活用されている。ベンダの統計データによると、この製品は約 100 万の Web サイトにインストールされており、その中に含まれるものには、Airbnb/Nike/ESPN/UNICEF/Google/Yale などの著名サイトもある。
Continue reading “WordPress Gravity Forms への侵害:公式 Web サイトのインストール・イメージが汚染された”Critical mcp-remote Vulnerability Exposes LLM Clients to Remote Code Execution Attacks
2025/07/10 CyberSecurityNews — mcp-remote プロジェクトで発見された深刻な脆弱性 CVE-2025-6514 (CVSS:9.6) を悪用する攻撃者は、信頼できない Model Context Protocol (MCP) サーバに接続するマシン上で、任意の OS コマンド実行の可能性を得ている。この脆弱性が影響を及ぼす範囲は バージョン 0.0.5〜0.1.15 であり、リモートで MCP サーバを使用する LLM (Large Language Model) クライアントに深刻なリスクをもたらし、最悪の場合には、システム全体の乗っ取りに至るという。
Continue reading “mcp-remote の脆弱性 CVE-2025-6514 が FIX:OAuth エンドポイントを介した悪意のペイロード注入”Splunk SOAR Addresses Vulnerabilities in Third-Party Packages – Update Now
2025/07/09 gbhackers — Splunk が 2025年7月12日に公開したセキュリティ・アドバイザリによると、同社の SOAR (Security Orchestration, Automation and Response) に脆弱性が発見されたとのことだ。 このプラットフォームに取り込まれる十数種の OSS コンポーネントに、脆弱なバージョンのパッケージが含まれることが判明しており、その中には、すでにエクスプロイトが公開されている欠陥もあるという。
Continue reading “Splunk SOAR サードパーティの脆弱性が FIX:問題のある OSS パッケージをアップデート”Next.js Vulnerability Allows Attackers to Trigger DoS via Cache Poisoning
2025/07/04 gbhackers — React ベースの Web フレームワークとして人気を博す Next.js において、深刻な脆弱性 CVE-2025-49826 が発見され、修正された。Vercel の報告によると、この Next.js の脆弱性はバージョン 15.1.0 以上、15.1.8 未満の範囲に存在し、キャッシュ・ポイズニングのバグを悪用する攻撃者は、影響を受けるアプリケーションにおいて、サービス拒否 (DoS) 状態を引き起こせる状況にある。
Continue reading “Next.js の脆弱性 CVE-2025-49826 が FIX:キャッシュ・ポイズニングによる DoS 攻撃”Apache APISIX Vulnerability Enables Cross-Issuer Access Under Misconfigurations
2025/07/04 gbhackers — 広く利用されているオープンソース API ゲートウェイ Apache APISIX の openid-connect プラグインに、新たな脆弱性 CVE-2025-46647 が発見された。この脆弱性は重要度が高く、特定のミスコンフィグが生じている状況において、異なる ID 発行者の間をまたぐかたちで、攻撃者に対して不正アクセスを許す可能性がある。
Continue reading “Apache APISIX の脆弱性 CVE-2025-46647 が FIX:ミスコンフィグから生じる不正アクセス”Apache Tomcat and Camel Vulnerabilities Actively Exploited in The Wild
2025/07/03 CyberSecurityNews — Apache Tomcat/Apache Camel に存在する深刻な脆弱性が、世界中のサイバー犯罪者たちにより積極的に悪用されているという。2025年3月に情報が公開された以降において、それらの脆弱性への攻撃は、70カ国以上で 125,000件を超えるレベルにあると、セキュリティ研究者たちは報告している。
Continue reading “Apache Tomcat/Camel の脆弱性 CVE-2025-24813/27636/29891:積極的な悪用を観測”Apache Seata Flaw Enables Deserialization of Untrusted Data
2025/07/03 gbhackers — 広く普及している OSS 分散トランザクション・ソリューション Apache Seata に、新たな脆弱性 CVE-2025-32897 が発見され、影響を受けるバージョンを使用する組織において、セキュリティ上の懸念が生じている。この脆弱性により、Apache Seata サーバ内で、信頼されないデータのデシリアライズが許可されることで、リモート・コード実行などのセキュリティ・リスクに、システムが直面する可能性が生じる。
Continue reading “Apache Seata の脆弱性 CVE-2025-32897 が FIX:信頼されないデータのデシリアライズの問題”RIFT – Microsoft’s New Open-Source Tool to Analyze Malware in Rust Binaries
2025/06/30 CyberSecurityNews — Rust バイナリ内に隠されたマルウェアを識別/分析する、サイバー・セキュリティ・アナリストたちを支援するためにデザインされた、画期的な OSS ツールである RIFT (Rust Identification and Function Tagging) が、Microsoft からリリースされた。これまでの5年間で、サイバー・セキュリティ・コミュニティが目の当たりにしてきたのは、Rust ベースのマルウェア開発へと向かう大きな移行だった。注目すべき Rust への移行例としては、2021年12月の BlackCat ランサムウェア、そして、2022年6月の Hive ランサムウェアが挙げられる。
Continue reading “Rust マルウェアを解析する RIFT (Rust Identification and Function Tagging):OSS ツールとして Microsoft が公開”Cloudflare open-sources Orange Meets with End-to-End encryption
2025/06/29 BleepingComputer — Cloudflare が公表した内容は、ビデオ通話アプリ Orange Meets に E2EE (end-to-end encryption) を実装し、透明性を確保するためにオープンソース化するというものだ。このアプリケーションは、昨年に Cloudflare Calls (現Realtime) のデモとしてリリースされたものであり、現在も利用できる状態にある。E2EE の導入と、信頼性および検証の問題が解決されたことで、強力な暗号化保証に関心のあるユーザーは、リサーチ/プロトタイプ環境におけるセキュアなビデオ通話の基盤として、Orange Meets の採用を検討できる。
Continue reading “Cloudflare のビデオ通話アプリ Orange Meets:MLS による End-to-End 暗号化を OSS として公開”Hackers Abuse Open-Source Tools PoshC2, Chisel & Classroom Spy to Establish Their Attack Framework
2025/06/25 CyberSecurityNews — アフリカの金融セクターを標的とする、高度なサイバー犯罪活動が出現した。この活動は、正規の OSS ペンテスト・ツールを組み合わせて悪用し、アフリカ大陸全体の銀行ネットワークへの持続的なアクセスを確立している。CL-CRI-1014 という名で活動する脅威アクターは、PoshC2/Chisel/Classroom Spy といった、無料で入手できるセキュリティ・ツールを再利用し、金融機関に対する複雑な多段階攻撃を仕掛けることで、驚くべき適応力を発揮している。
Continue reading “PoshC2/Chisel/Classroom Spy を悪用:セキュリティ OSS ツールによる攻撃フレームを解析”North Korean Hackers as Recruiters Attacking Developers With 35 New Malicious npm Packages
2025/06/25 CyberSecurityNews — 高度なサプライチェーン攻撃キャンペーンを、北朝鮮の脅威アクターが開始した。侵害済みの 24のアカウントに、悪意の npm パッケージ 35個を埋め込み、巧妙なフェイク・リクルートを介して、ソフトウェア開発者を標的としている。このキャンペーンは、OSS エコシステムを標的とする、国家支援のサイバースパイ活動の著しいエスカレーションを示しており、いまも続いている、伝染面接 (Contagious Interview) 作戦の延長とみられている。
Continue reading “npm リポジトリを舞台とする新たなキャンペーン:リクルーターを装い開発者に悪意のコードを実行させる”CentOS Web Panel Vulnerability Allows Remote Code Execution – PoC Released
2025/06/25 gbhackers — 広く利用されている Web ホスティングのための管理ソリューション CentOS Web Panel (CWP) に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-48703 の悪用に成功した未認証の攻撃者は、影響を受けるシステム上で任意のコマンド実行を達成し、サーバ全体でセキュリティ侵害を引き起こすという。さらに、リモート・コード実行 (RCE) を実証する PoC エクスプロイトが公開され、世界中の CWP 搭載サーバ管理者に懸念が生じている。
Continue reading “CentOS Web Panel の脆弱性 CVE-2025-48703 が FIX:リモート・コード実行を証明する PoC も登場”Critical Teleport Vulnerability Let Attackers Remotely Bypass Authentication Controls
2025/06/23 CyberSecurityNews — Teleport に存在する深刻な脆弱性 CVE-2025-49825 を悪用する攻撃者は、この広く普及しているセキュア・アクセス・プラットフォームの認証制御に対する、リモート・バイパスを可能にする。この脆弱性が影響を及ぼす範囲は、Teleport インフラの複数バージョンであるため、すべての導入環境において速やかに対策を講じる必要がある。独自のエージェントを管理している組織は、速やかなセキュリティ・アップデートにより、潜在的なセキュリティ侵害を防ぐ必要がある。その一方で、クラウド・ユーザーは、コントロール・プレーンのバージョンが自動的に更新されている。
Continue reading “Teleport の脆弱性 CVE-2025-49825 が FIX:リモート認証バイパスの可能性”ClamAV 1.4.3 and 1.0.9 Released with Fixes for Critical Remote Code Execution Vulnerability
2025/06/19 gbhackers — ClamAV 開発チームが公表したのは、システムの整合性を損なう可能性のある深刻な脆弱性を解決するための、2つの重要なセキュリティ・パッチリリース (Ver 1.4.3/1.0.9) のリリースである。さらに、1.4 LTS リリース向けに、Linux aarch64 (ARM64) RPM/ インストーラー・パッケージを導入し、ARM ベースのアーキテクチャにおける互換性が高められている。
Continue reading “ClamAV の脆弱性 CVE-2025-20260/20234 が FIX:DoS と RCE への対応”GitLab patches high severity account takeover, missing auth issues
2025/06/12 BleepingComputer — GitLab が公表したのは、同社の DevSecOps プラットフォームに存在する複数の脆弱性に対処するための、セキュリティ更新プログラムのリリースである。これらの脆弱性を悪用する攻撃者は、アカウントを乗っ取った後に、悪意のジョブのパイプラインへの注入を可能にするという。すでに GitLab は、GitLab Community/Enterprise のバージョン 18.0.2/17.11.4/17.10.8 をリリースし、これらのセキュリティ欠陥に対処している。すべての管理者に対して強く推奨されるのは、早急なアップグレードの実施である。
Continue reading “GitLab Community/Enterprise の複数の脆弱性が FIX:アカウントを乗っ取りなどの恐れ”Brute-force attacks target Apache Tomcat management panels
2025/06/11 BleepingComputer — オンラインで公開されている Apache Tomcat Managerインターフェイスを標的として、数百の固有 IP アドレスを用いる組織的なブルートフォース攻撃キャンペーンが検出された。Tomcat は人気のオープンソース Web サーバであり、エンタープライズや SaaS プロバイダーで広く使用されている。その一方で、Tomcat Manager は、Tomcat サーバにバンドルされる Web ベースの管理ツールであり、GUI を介した Web アプリ管理を、Admin たちに提供するものだ。
Continue reading “Apache Tomcat Manager を標的とするブルートフォース攻撃を検出:約 400 の悪意の IP アドレスが関与”Qtap – An Open-Source Tool to See Through Encrypted Traffic in Linux systems
2025/06/10 CyberSecurityNews — Qpoint が公表したのは、Linux システム上のネットワーク・トラフィックを監視する、オープンソース eBPF エージェントである Qtap のリリースだ。TLS/SSL 機能にフックして暗号化前後のデータをキャプチャする Qtap は、プロセス/コンテナ/ホスト/ユーザー/プロトコルといった詳細情報と共に、平文のトラフィックを可視化する。
Continue reading “Qtap – Linux システムの暗号化されたトラフィックを可視化:新たな OSS ツールの登場”Developers Beware! 16 React Native Packages With Million of Download Compromised Overnight
2025/06/09 CyberSecurityNews — 一週間のダウンロード数が合計で 100万回以上に達するという、人気の React Nativeパッケージ 16件が、巧妙なサプライチェーン攻撃により侵害され、NPM エコシステムに対する脅威が深刻化している。この、2025年6月6日に開始された攻撃では、React Native Aria エコシステムと GlueStack フレームワーク内のパッケージに体系的なバックドアが仕掛けられ、持続的なシステム制御とデータ窃取機能を確立する、高度なリモートアクセス型トロイの木馬 (RAT) が展開された。
Continue reading “React Native Package 16種類に RAT:一晩で仕込まれた組織的な悪意とは?”Jenkins Gatling Plugin Vulnerability Let Attackers Bypass Content-Security-Policy Protection
2025/06/09 CyberSecurityNews — 人気の Jenkins Gatling プラグインにおいて、深刻な XSS (cross-site scripting) 脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、CSP (Content-Security-Policy) 保護の回避を可能にする。この脆弱性 CVE-2025-5806 は、Gatling Plugin バージョン 136.vb_9009b_3d33a_e に影響を及ぼし、このパフォーマンス・テスト統合ツールを使用する Jenkins 環境に対して重大なリスクをもたらす。
Continue reading “Jenkins Gatling Plugin の脆弱性 CVE-2025-5806:パッチ未適用とダウングレード推奨”Linux Foundation unveils decentralized WordPress plugin manager
2025/06/09 BleepingComputer — WordPress の元開発者やコントリビューターで構成される団体が、Linux Foundation の支援を受けるかたちで、信頼性の高い WordPress プラグイン/テーマを提供する、新たな独立系ディストリビューション・システム FAIR Package Manager を発表した。その背景にあるのは、商用 WordPress ホスティング・プロバイダーである Automattic と WP Engine の間で発生した法的な対立である。具体的に言うと、プラグイン/テーマのアップデートを管理するために使用される、 WordPress.org プラットフォームへの WP Engine のアクセスを、Automattic が制限したことに端を発する問題である。
Continue reading “WordPress の分散型 Plugin Manager の発表:Linux Foundation が後押しする理由は何処に?”New Supply Chain Malware Operation Hits npm and PyPI Ecosystems, Targeting Millions Globally
2025/06/08 TheHackerNews — GlueStack 関連の 12以上のパッケージを標的とする、マルウェア拡散を目的としたサプライチェーン攻撃の存在を、サイバー・セキュリティ研究者たちが指摘している。Aikido Security は、「”lib/commonjs/index.js” への変更時に侵入した、このマルウェアを操作する攻撃者は、シェル・コマンドの実行/スクリーン・ショットの撮影/感染マシンへのファイル・アップロードが可能にする。これらのパッケージのダウンロード数は、合計で毎週約 100万回に達している」と、The Hacker News に述べている。
Continue reading “npm/PyPI エコシステムが標的:新たなサプライチェーン・マルウェア攻撃の詳細が判明”PoC Exploit Released for Apache Tomcat DoS Vulnerability
2025/06/06 gbhackers — Apache Tomcat の深刻なメモリ・リークの脆弱性 CVE-2025-31650 が悪用され、未認証の攻撃者たちがサービス拒否攻撃の機会を手にしている。この脆弱性は、HTTP/2 実装における不正な優先度ヘッダーに起因するものであり、すでに 12件のエクスプロイトが公開されている。この脆弱性の影響が及ぶ範囲は、Tomcat のバージョン 9.0.76~9.0.102/10.1.10~10.1.39/11.0.0-M2~11.0.5 である。
Continue reading “Apache Tomcat の DoS 脆弱性 CVE-2025-31650:12件の PoC エクスプロイトが公開”Backdoored Open Source Malware Repositories Target Novice Cybercriminals
2025/06/05 SecurityWeek — デベロッパー/エンタープライズ/エンドユーザーを標的とし、情報窃取型のマルウェアやバックドアを展開するサプライチェーン攻撃が、今年だけでも数十件に達していることが明らかになった。その多くは、悪意の NPM パッケージを介して行われている。そして、6月4日 (水) に Sophos が明らかにしたのは、GitHub リポジトリを悪用することで、ゲームチーターや経験の浅い脅威アクターを標的とし、同様のバックドアを仕込むという攻撃行動である。
Continue reading “GitHub を悪用する新たなサプライチェーン攻撃:ゲームチーターや経験の浅い脅威アクターが標的”WordPress Admins Beware! Fake Cache Plugin that Steals Admin Logins
2025/06/05 CyberSecurityNews — WordPress 管理者を標的とする、高度なマルウェア攻撃が発見された。この攻撃は、偽装キャッシュ・プラグインを利用してログイン情報を盗み出し、Web サイトのセキュリティを侵害するものだ。セキュリティ研究者たちが特定したのは、“wp-runtime-cache” を装う悪意のプラグインである。このプラグインは管理者権限を持つユーザーを主な標的とし、機密性の高い認証データを、サイバー犯罪者が管理する外部サーバへと流出させるものだ。
Continue reading “WordPress Admin は要注意:偽装キャッシュ・プラグインによるログイン情報窃取”Meta open-sources AI tool to automatically classify sensitive documents
2025/06/05 HelpNetSecurity — Meta がリリースしたのは、機密文書の自動分類を行うための Automated Sensitive Document Classification という、オープンソースの AI ツールである。このツールのオリジナルは、社内使用向けに開発されたものであり、文書内の機密情報の検出と、セキュリティ・ラベルを自動的に適用するために設計されている。このツールは、カスタマイズ可能な分類ルールを使用することで、テキストを取り込んでいるファイルに対応している。ラベル付けされた文書は、不正アクセスからの保護や、検索拡張生成 (RAG) を使用する AI システムからの除外が可能になる。
Continue reading “Meta が提供する OSS の AI Tool:LLM による機密ラベルを自動的にドキュメントに添付”New Linux Flaws Allow Password Hash Theft via Core Dumps in Ubuntu, RHEL, Fedora
2025/05/31 TheHackerNews — Ubuntu/Fedora/Red Hat Enterprise Linux のコアダンプ・ハンドラである apport と systemd-coredump に、2件の情報漏洩の脆弱性が存在することが、Qualys の Threat Research Unit (TRU) により特定された。
Continue reading “Ubuntu/RHEL/Fedora のコアダンプに問題:Linux 上の機密情報の抽出の恐れ”Weaponized PyPI Package Steals Solana Private Keys Via Supply Chain Attack
2025/05/30 CyberSecurityNews — Solana 開発者を狙った高度なサプライチェーン攻撃により、25,900件以上のダウンロードにおいて侵害が生じ、Python パッケージ経由で暗号資産の秘密鍵が静かに盗まれていたことが明らかになった。この攻撃キャンペーンは、semantic-types というパッケージを中心に展開され、トランジティブ依存関係とブロックチェーンを使った情報の外部送信により、従来のセキュリティ制御を回避するという、新たなソフトウェア・サプライチェーン攻撃の形態を示している。
Continue reading “semantic-types という悪意のパッケージ:Solana の秘密鍵を盗むサプライチェーン攻撃を展開”Fake Bitdefender Site Spreads Trio of Malware Tools
2025/05/28 InfoSecurity — 偽装された Bitdefender Web サイトを介したマルウェア・キャンペーンにより、VenomRAT などの悪意のツールが配布され、被害者システムの深層への攻撃が生じているようだ。”DOWNLOAD FOR WINDOWS” というタイトルの偽サイトは、Bitdefender の正規のウイルス対策ダウンロード・ページを模倣しているが、訪問者がリダイレクトされる先は、Bitbucket Amazon S3 にホストされている悪意のサイトである。
Continue reading “Bitdefender のフェイク・サイト:OSS マルウェアによる階層化された侵入アプローチを採用”WordPress TI WooCommerce Wishlist Plugin Flaw Puts Over 100,000 Websites at Risk of Cyberattack
2025/05/27 gbhackers — 10万件以上のアクティブ・インストール数を誇る、人気の WordPress プラグイン TI WooCommerce Wishlist に、深刻なセキュリティ脆弱性 CVE-2025-47577 が発見された。このプラグインは、WooCommerce ストアの運営者がオンライン・ショップに、ウィッシュ・リスト機能を追加するためのものであり、WC Fields Factory などのエクステンションと組み合わせて、フォームのカスタマイズ強化に使用されるケースが多い。
Continue reading “WordPress Wishlist Pluginの脆弱性 CVE-2025-47577:パッチ適用までの緩和策は削除のみ”GIMP Image Editor Vulnerability Let Remote Attackers Arbitrary Code
2025/05/27 CyberSecurityNews — 人気の画像編集ソフト GIMP に、2つの重大なセキュリティ脆弱性が発見された。これらの脆弱性の悪用に成功したリモート攻撃者は、影響を受けるシステム上での任意のコード実行の可能性を手にする。これらの脆弱性 CVE-2025-2760/CVE-2025-2761 は、バージョン 3.0.0 未満の GIMP に影響する。いずれの脆弱性も、悪意のファイルのオープンや、侵害済み Web ページへの訪問といった、ユーザーの操作を必要とする。
Continue reading “GIMP の RCE 脆弱性 CVE-2025-2760/2761 が FIX:2025年3月にすでに FIX”Privilege Escalation Flaws Found in Tenable Network Monitor
2025/05/26 gbhackers — Tenable における、パッシブ脆弱性スキャン・ソリューションの主要製品である、Network Monitor のバージョン 6.5.1 がリリースされた。このバージョンでは、自社コードベースおよびバンドルされているサードパーティ・ライブラリに存在する、複数の深刻な脆弱性への対処が行われている。このアップデートは、OpenSSL/expat/curl/libpcap/libxml2 といった、広く使用される OSS コンポーネントに脆弱性が発見されたことを受けて、実施されたものである。
Continue reading “Tenable Network Monitor の脆弱性 CVE-2025-24916/24917 が FIX:主要 OSS コンポーネントも刷新”Apache Tomcat RCE Vulnerability Exposed with PoC Released
2025/05/26 gbhackers — 広く使用されているオープンソースの Java Servlet Container/Web Server である Apache Tomcat に、深刻な脆弱性 CVE-2025-24813 が発見された。この脆弱性は、内部にドットを含むファイルパス (例:file.Name) の不適切な処理に起因する。この脆弱性を悪用する攻撃者は、セキュリティ制御を回避し、リモート・コード実行 (RCE)/情報漏洩/悪意のコンテンツの挿入を引き起こす機会を得るという。
Continue reading “Apache Tomcat の RCE 脆弱性 CVE-2025-24813 が FIX:悪意のスキャンと PoC の登場”GNOME RDP Vulnerability Let Attackers Exhaust System Resources & Crash Process
2025/05/26 CyberSecurityNews — GNOME RDP に影響を及ぼす、深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する未認証の攻撃者は、システムリ・ソースを枯渇させ、重要なプロセスをクラッシュさせる可能性を手にする。2025年5月21日に公開された脆弱性 CVE-2025-5024 は、すべての Red Hat Enterprise Linux 環境において、Remote Desktop サービスを利用する組織に重大なリスクをもたらす。
Continue reading “GNOME RDP の脆弱性 CVE-2025-5024:Red Hat/Debian などでの回避策について”Ghostscript Flaw Leaks Plaintext Passwords in Encrypted PDFs
2025/05/25 SecurityOnline — 広く使用される PDF/PostScript プロセッサ Artifex Ghostscript の脆弱性により、意図しない平文パスワードが暗号化されたPDF ファイルに埋め込まれ、ユーザー・データが危険に直面するという。この脆弱性 CVE-2025-48708 は、バージョン 10.05.1 以下における、セキュリティ上の欠陥を露呈している。CVE org は、「作成された PDF 文書には、平文のパスワードが取り込まれている、PDF 暗号化の本来の目的を、完全に損なうリスクが浮き彫りになっている」と述べている。
Continue reading “Ghostscript の脆弱性 CVE-2025-48708 が FIX:暗号化された PDF に平文パスワードが取り込まれる”Dozens of malicious packages on NPM collect host and network data
2025/05/23 BleepingComputer — NPM インデックスで発見されたのは、機密性の高いホスト/ネットワークのデータを収集し、脅威アクターが制御する Discord Web フックへと送信する、60 件の悪意のパッケージである。Socket の脅威調査チームによると、これらのパッケージは、5月12日以降において、3つのパブリッシャー・アカウントから NPM リポジトリにアップロードされたものだという。
Continue reading “NPM 上の悪意のパッケージがネットワーク情報を収集:60 件のマルウェア・パッケージを発見”ModSecurity DoS Flaw: PoC Available for Apache Vulnerability (No Workaround, Patch Pending)
2025/05/23 SecurityOnline — ModSecurity の Apache モジュールで発見された、新たな脆弱性 CVE-2025-47947 (CVSS:7.5) が特定の条件下で悪用されると、Web サーバに深刻なサービス拒否 (DoS) 攻撃が生じる可能性がある。この脆弱性は、Swiss Post の代理人である、Netnea の Simon Studer (@studersi) が報告したものだ。
Continue reading “ModSecurity の DoS 脆弱性 CVE-2025-47947:No Patch/Yes PoC”GitLab Patches High-Severity Flaws: DoS and 2FA Bypass Fixed
2025/05/22 SecurityOnline — GitLab が公表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在する、さまざまな深刻度のセキュリティ脆弱性に、幅広く対応するバージョン 18.0.1/17.11.3/17.10.7 のリリースである。
Continue reading “GitLab の複数の脆弱性が FIX:サービス拒否状態や二要素認証の回避など”Langroid Flaws (CVSS 9.8) Expose LLM Apps to RCE
2025/05/22 ScurityOnline — LLM アプリ構築用に設計された、人気の Python フレームワークである Langroid に存在する、2つの深刻な脆弱性ついて、研究者たちが明らかにした。カーネギーメロン大学とウィスコンシン大学マディソン校の研究者たちが開発した Langroid は、データ分析やチャット自動化のためのモジュール型 LLM エージェント構築に広く利用されるものであり、PyPI では毎月 15,000件以上のダウンロード数を誇っている。
Continue reading “Langroid の脆弱性 CVE-2025-46724/46725 が FIX:LLM Apps における RCE の可能性”Critical OpenPGP.js Flaw Allows Message Signature Spoofing
2025/05/21 SecurityOnline — 安全なメッセージングと暗号化のために広く利用される、JavaScript ライブラリを提供する OpenPGP.js プロジェクトが、深刻な脆弱性 CVE-2025-47934 を修正した。この脆弱性を悪用する攻撃者は、メッセージの署名を偽装し、本物を装いながらコンテンツ操作を可能にするという。この脆弱性は、ブラウザベースのメール・クライアント/エクステンション/Web サービスなどの、OpenPGP.js を利用する広範なアプリケーションにおける、署名付き通信と暗号化された通信の整合性を脅かすものだ。
Continue reading “OpenPGP.js の脆弱性 CVE-2025-47934 が FIX:メッセージへの偽装署名の恐れ”Malicious PyPI Packages Exploit Instagram and TikTok APIs to Validate User Accounts
2025/05/20 TheHackerNews — Python Package Index (PyPI) リポジトリにアップロードされた悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。これらのパッケージは、盗み出したメール・アドレスを、TikTok/Instagram の APIで検証するための、チェッカー・ツールとして機能する。問題となっている3つのパッケージは、現時点の PyPI では提供されていない。それらの Python パッケージ名は、以下の通りである。
Continue reading “PyPI に新たな悪意のパッケージ:Instagram/TikTok などをユーザー・アカウントを盗み出す?”High-Risk RAGFlow Flaw: Account Takeover Possible (No Patch, PoC Available)
2025/05/20 SecurityOnline — Infiniflow が開発したオープンソースの RAG (Retrieval-Augmented Generation) プラットフォーム RAGFlow に、深刻なアカウント乗っ取りの脆弱性が発見された。この脆弱性 CVE-2025-48187 (CVSS:9.1) を悪用する攻撃者は、ブルートフォース攻撃によるメール認証コードの不正取得を達成し、ユーザー登録/ログイン/パスワードに対するリセット攻撃などの可能性を得る。
Continue reading “RAGFlow の脆弱性 CVE-2025-48187 (CVSS 9.1):アカウント乗っ取りに No Patch/Yes PoC”Can Your Firewall Be Hacked? Severe Flaws Found in pfSense
2025/05/20 SecurityOnline — 人気の OSS ファイアウォール・プラットフォーム pfSense に影響を及ぼす、3つの深刻な脆弱性を詳述する技術調査レポートを、セキュリティ研究者である Navy Titanium が公開した。これらの脆弱性は、pfSense CE/Plus builds 2.8.0 beta 未満に影響を及ぼし、それを悪用する攻撃者に対して、バックアップの乗っ取り/システムコマンドの挿入/コア・コンフィグの破壊などを許すという。
Continue reading “pfSense Firewall に複数の脆弱性:beta/early-access の FIX と stable の Non FIX”Hanko: Open-source authentication and user management
2025/05/19 HelpNetSecurity — Hanko の CEO である Felix Magedanz は、「私たちは、開発者や組織の認証フローを近代化するために、ユーザーを Passkeys へと移行させることに重点を置いている。それと同時に、eMail/Password/MFA/OAuth/SAML SSO といった、従来からの認証方法もサポートしていく。私たちの真の強みは、開発者エクスペリエンスへのコミットメントである」と Help Net Security に語った。
Continue reading “Hanko という OSS の認証管理システム:クリーンな API Surface と SDK で Passkeys への移行をサポート”Mozilla fixes Firefox zero-days exploited at hacking contest
2025/05/19 BleepingComputer — Mozilla が公表したのは、先日に開催された Pwn2Own Berlin 2025 ハッキング・コンテストで実証された、Firefox の2件のゼロデイ脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。これらの修正の対象には、Firefox の Desktop/Android および、2つの Extended Support Releases (ESR) が含まれる。これらの脆弱性が報告された、5月17日 (土) の Pwn2Own から、わずか数時間後に修正版はリリースされている。
Continue reading “Mozilla Firefox のゼロデイ脆弱性 CVE-2025-4918/4919 が FIX:Pwn2Own Berlin 2025 で公表”XSS Vulnerability Discovered in Label Studio: Update Now!
2025/05/19 SecurityOnline — 機械学習モデルのデータセットにアノテーションを付与するために、広く用いられる OSS データ・ラベリング・ツール Label Studio に、反射型クロスサイト・スクリプティング (XSS) の脆弱性が存在することを、研究者たちが明らかにした。Label Studio のバージョン 1.18.0 未満に影響を及ぼす、脆弱性 CVE-2025-47783 を悪用する攻撃者は、ユーザー・セッションのコンテキストで、任意の JavaScript 挿入/実行の可能性を得るという。
Continue reading “Label Studio の XSS 脆弱性 CVE-2025-47783 が FIX:任意の JavaScript の挿入/実行”glibc Vulnerability Puts Millions of Linux Systems at Risk of Code Execution
2025/05/19 SecurityOnline — 数多くの Linux アプリケーションにおいて、基本コンポーネントとして活用される GNU C Library (glibc) で、新たな脆弱性が報告された。この脆弱性が示すのは、静的 setuid バイナリの共有ライブラリ読込みメカニズムに存在する、潜在的に悪用が可能な欠陥の詳細である。この脆弱性 CVE-2025-4802 は、静的 setuid バイナリが dlopen() を介して動的ライブラリを呼び出す際に、LD_LIBRARY_PATH 環境変数を不適切に使用することに起因する。
Continue reading “GNU C Library (glibc) の脆弱性 CVE-2025-4802 が FIX:各種の Linux ディストロにコード実行の可能性”High-Risk Flaw in Python Web Framework Reflex Could Lead to Account Takeover
2025/05/19 SecurityOnline — インタラクティブな Web アプリを構築するための、Python ベースの OSS フレームワーク Reflex に、深刻なセキュリティ上の欠陥が発見された。この脆弱性は CVE-2025-47425 の CVSS スコアは 8.1 であり、深刻度が高いことを示している。Reflex の人気は、JavaScript を必要とせずに、Python のみフルスタック Web アプリの構築が可能なところにある。その使いやすさと、パワフルな状態管理のための機能により、最先端のアプリ開発において Reflex は人気を博している。
Continue reading “Python Web Framework Reflex の脆弱性 CVE-2025-47425 が FIX:Admin アカウント乗っ取りの恐れ”
IoT OT Security News 
You must be logged in to post a comment.