Stack Overflow Alert! XML Flaw in libexpat Threatens Widespread Software
2025/05/12 SecurityOnline — libexpat XML 解析ライブラリに存在する、スタック・オーバーフローの脆弱性 CVE-2024-8176 (CVSS:7.5) に関する情報を、CERT/CC が発表した。影響を受ける環境での libexpat ライブラリの導入方法によっては、この脆弱性を悪用する攻撃者は、メモリ破損やアプリケーション・クラッシュなどを引き起こす可能性を手にする。
Continue reading “libexpat XML parser の脆弱性 CVE-2024-8176 が FIX:懸念されるサプライチェーン攻撃”Supply chain attack hits npm package with 45,000 weekly downloads
2025/05/08 BleepingComputer — npm パッケージ “rand-user-agent” がサプライチェーン攻撃を受け、難読化されたコードを注入されたことが判明した。このコードは、ユーザーのシステム上で RAT(Remote Access Trojan) を起動させるよう設計されている。“rand-user-agent” パッケージは、ランダムなユーザー・エージェント文字列を生成するツールであり、Web スクレイピング/自動テスト/セキュリティ研究などに役立つものだ。このパッケージは、現在では非推奨となっているが、週平均で 45,000 件ものダウンロード数を誇っている。
Continue reading “npm で新たなリポジトリ汚染:人気パッケージ “rand-user-agent” が標的にされた”CVE-2025-27533: Apache ActiveMQ Memory Allocation Bug Could Lead to Denial of Service
2025/05/08 SecurityOnline — 複数のプロトコルとクロス・プラットフォーム統合を強力にサポートする、OSS のメッセージ・ブローカー Apache ActiveMQ に、深刻なメモリ割り当ての脆弱性 CVE-2025-27533 が発見され、サービス拒否 (DoS) 攻撃が引き起こされる可能性が生じている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2025-27533 が FIX:メモリ割り当ての問題と DoS 攻撃”CVE-2025-46728: cpp-httplib Vulnerability Exposes Servers to Denial of Service
2025/05/07 SecurityOnline — C++11 のファイル・ヘッダーのみで構成され、セットアップの容易さで知られている、クロス・プラットフォーム HTTP/HTTPS ライブラリである cpp-httplib が、深刻なセキュリティ脆弱性に直面している。先日に確認された、脆弱性 CVE-2025-46728 を悪用する脅威アクターは、このライブラリを使用するアプリケーションに対して、サービス拒否 (DoS) 攻撃を仕掛ける可能性を手にする。
Continue reading “cpp-httplib の脆弱性 CVE-2025-46728 が FIX:メモリ枯渇と DoS 攻撃の可能性”Researchers Uncover Malware in Fake Discord PyPI Package Downloaded 11,500+ Times
2025/05/07 TheHackerNews — Python Package Index (PyPI) リポジトリ上で、無害な Discord 関連ユーティリティを装いながら、リモートアクセス型トロイの木馬 (RAT) を取り込んでいる悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。この問題のパッケージは “discordpydebug” であり、2022年3月21日に PyPI にアップロードされている。すでに、このパッケージは 11,574回もダウンロードされており、PyPI レジストリ上で引き続き提供されている。興味深いことに、このパッケージは、それ以降において更新されていない。
Continue reading “フェイク Discord パッケージと RAT:PyPI から 11,500+ のダウンロード”CVE-2025-47241: Critical Whitelist Bypass in Browser Use Exposes Internal Services
2025/05/07 SecurityOnline — AI エージェントに対してブラウザ自動化機能を提供するツール Browser Use プロジェクトに、深刻な脆弱性が存在することを、ARIMLABS.AI のセキュリティ研究者たちが明らかにした。この CVE-2025-47241 (CVSS:9.3) を悪用する攻撃者は、URL の HTTP 認証ユーザー名パートに偽のドメインを埋め込むことで、ドメイン・ホワイトリスト保護を回避していくという。
Continue reading “Browser Use の脆弱性 CVE-2025-47241 が FIX:内部サービスへの不正アクセスの恐れ”CVE-2025-24977: Critical RCE Flaw in OpenCTI Platform Exposes Infrastructure to Root-Level Attacks
2025/05/07 SecurityOnline — サイバー脅威インテリジェンスの管理に用いられる OSS ソリューション OpenCTI プラットフォームに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24977 (CVSS:9.1) を悪用する攻撃者は、ホスティング・インフラ上でコマンドを実行し、機密情報へのアクセスを可能にするという。
Continue reading “OpenCTI の脆弱性 CVE-2025-24977 が FIX:Root-Level 攻撃の可能性”Google fixes actively exploited FreeType flaw on Android
2025/05/06 BleepingComputer — Google は、Android 向けの 2025年5月セキュリティ・アップデートをリリースした。このアップデートでは、45件のセキュリティ脆弱性が修正されているが、その中には、現在も悪用されている FreeType 2 のゼロクリック・コード実行の欠陥も含まれる。FreeType は、人気の OSS フォント・レンダリング・ライブラリであり、画像の表示や、プログラムによるテキストの追加にも対応している。この脆弱性 CVE-2025-27363 は、深刻度の高い任意のコード実行を許すものであり、Facebook のセキュリティ研究者たちにより、2025年3月に発見された。
Continue reading “Google の FreeType on Android の脆弱性 CVE-2025-27363 が FIX:任意のコード実行の恐れ”Microsoft Warns of Attackers Exploiting Misconfigured Apache Pinot Installations
2025/05/06 SecurityWeek — Kubernetes のセキュリティについて Microsoft が実施した調査により、Apache Pinot のミスコンフィグのあるインスタンスを、脅威アクターたちが標的にしていることが明らかになった。Apache Pinot は、大規模なデータセットを高速かつ低レイテンシでクエリできるように設計された、OSS のリアルタイム分析プラットフォームである。それが評価され、Walmart/Uber/Slack/LinkedIn/Wix/Stripe などの世界有数の企業で、Pinot は使用されている。
Continue reading “Apache Pinot のミスコンフィグ:Kubernetes との組み合わせで生じる欠陥への攻撃 – Microsoft”Malicious Go Modules Deliver Disk-Wiping Linux Malware in Advanced Supply Chain Attack
2025/05/03 TheHackerNews — サイバー・セキュリティ研究者たちが発見した、3つの悪意のある Go モジュールは、次段階のペイロードを取得する難読化コードにより、Linux システムのプライマリ・ディスクを永久に上書きし、起動不能にする可能性があるものだ。それらのパッケージ名は、以下の通りである:
CVE-2025-46619: LFI Vulnerability Affects Multiple Versions of Couchbase Server for Windows
2025/05/02 SecurityOnline — 高性能でインタラクティブなアプリケーション向けに設計され、広く利用されている NoSQL ドキュメント・データベース Couchbase Server に、深刻な脆弱性 CVE-2025-46619 (CVSS:8.7) が発見された。この、Windows 版 Couchbase Server に影響を及ぼす、ローカル・ファイル・インクルード (LFI:Local File Inclusion) の脆弱性を悪用する攻撃者は、機密性の高いシステム・ファイルへのアクセスを手にする可能性があるという。
Continue reading “Couchbase Server for Windows の脆弱性 CVE-2025-46619 が FIX:システム・ファイル・アクセスの可能性”How to Automate CVE and Vulnerability Advisory Response with Tines
2025/05/02 TheHackerNews — ワークフロー・オーケストレーションと AI プラットフォームのチームが運営する、Tines ライブラリに収録されるのは、あらかじめ構築されたワークフローであり、コミュニティのセキュリティ専門家たちが共有してきたも のである。それらの全ては、Community Edition を通じて提供されており、無料でのインポート/デプロイが可能だ。
Continue reading “脆弱性対応のためのワークフロー・オーケストレーション:Tines を活用する効率化ガイド”Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands
2025/05/02 gbhackers — Python Package Index (PyPI) に公開された7つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。
Continue reading “PyPI に7つの悪意のパッケージ:Gmail SMTP への信用を悪用する新たな手口”CVE-2025-32444 (CVSS 10): Critical RCE Flaw in vLLM’s Mooncake Integration Exposes AI Infrastructure
2025/05/01 SecurityOnline — 高性能の推論と LLM の提供に利用される人気の OSS ライブラリ vLLM に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-32444 (CVSS:10.0) は、Mooncake 統合を利用したデプロイメントにおいて、深刻なリモートコード実行 (RCE) のリスクを生じるという。
Continue reading “vLLM の脆弱性 CVE-2025-32444 (CVSS 10) が FIX:Mooncake 統合時の RCE”Apache ActiveMQ Vulnerability Lets Remote Hackers Execute Arbitrary Code
2025/05/01 gbhackers — Apache ActiveMQ の .NET Message Service (NMS) ライブラリに、深刻な脆弱性 CVE-2025-29953 (CVSS:8.1) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、パッチ未適用のシステム上で任意のコード実行の可能性を手にする。この脆弱性が影響を及ぼす範囲は、最新のセキュリティ更新プログラムが適用される以前の、すべての ActiveMQ バージョンとなる。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2025-29953 が FIX:デシリアライズ・エラーによる RCE”Zimbra Collaboration GraphQL Flaw Lets Hackers Steal User Information
2025/04/30 gbhackers — Zimbra Collaboration Suite (ZCS) に存在する深刻なクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2025-32354 により、メール・サーバとユーザー・データに悪用のリスクが生じている。この脆弱性の影響が及ぶ範囲はバージョン 9.0 〜 10.1 であり、その悪用に成功した攻撃者は、認証済みセッションの乗っ取りや、パスワード/連絡先/メールの内容などの機密情報の窃取を可能にするという。
Continue reading “Zimbra Collaboration の CSRF 脆弱性 CVE-2025-32354 が FIX:GraphQL の欠陥が甚大な被害を招く”High-Severity DoS Vulnerability Found in PowerDNS DNSdist (CVE-2025-30194)
2025/04/30 SecurityOnline — PowerDNS チームが公開したのは、同社の DNS ロード・バランサーである DNSdist に存在する、サービス拒否 (DoS) 脆弱性 CVE-2025-30194 (CVSS:7.5) に関するセキュリティ・アドバイザリである。この脆弱性は、DNS over HTTPS (DoH) の nghttp2 プロバイダーが設定されているバージョン 1.9.0〜1.9.8 に影響を及ぼし、悪意の DoH エクスチェンジにより悪用される可能性がある。
Continue reading “PowerDNS DNSdist の脆弱性 CVE-2025-30194 が FIX:サービス拒否の可能性”Rancher Releases Patch for CVE-2024-22031 Privilege Escalation Vulnerability
2025/04/30 SecurityOnline — SUSE Rancher セキュリティ・チームが発行したのは、人気の OSS コンテナ管理プラットフォーム Rancher の複数バージョンに影響を与える、新たな脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-22031 (CVSS:8.6) を悪用する攻撃者は、Kubernetes クラスター間での権限昇格を達成し、コンテナ化されたアプリケーションを本番環境で実行するエンタープライズ環境に対して、深刻なリスクをもたらすという。
Continue reading “Rancher の脆弱性 CVE-2024-22031 が FIX:プロジェクトの名前空間の衝突による権限昇格”CVE-2025-21756: How a Tiny Linux Kernel Bug Led to a Full Root Exploit, PoC Releases
2025/04/29 SecurityOnline — Linux Kernel の vsock サブシステムに影響を与える、解放後使用 (UAF) の脆弱性 CVE-2025-21756 の全容が、セキュリティ研究者である Michael Hoefler の分析で、を明らかになった。当初は、vsock_remove_sock() の動作を数行で変更する単純なコード調整から始まり、最終的には、ローカル権限昇格 (LPE) とカーネル・コード実行へと至るものだという。
Continue reading “Linux Kernel の脆弱性 CVE-2025-21756 が FIX:完全な Root アクセスと PoC エクスプロイト”Apache Tomcat Security Update Fixes DoS and Rewrite Rule Bypass Flaws
2025/04/29 SecurityOnline — Apache Software Foundation が発表したのは、広く使用されている OSS Java サーブレット・コンテナである Apache Tomcat の、複数のバージョンに影響を与える2 つの脆弱性に対処する重要なアップデートのリリースである。これらの脆弱性 CVE-2025-31650/CVE-2025-31651 に対して、パッチを適用せずに放置すると、サービス拒否状態やセキュリティ・ルールのバイパスにつながる可能性がある。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-31650/31651 が FIX:DoS とルール・バイパスの恐れ”Critical Flaw Exposes Linux Security Blind Spot: io_uring Bypasses Detection
2025/04/28 SecurityOnline — ARMO の研究者たちが、Linux ランタイム・セキュリティ・ツールに存在する、深刻な脆弱性を発見した。明らかにされたのは、従来の監視ソリューションでは検知されないルート・キットの動作を、io_uring インターフェイスが可能にするという仕組みである。この発見が示すのは、Falco/Tetragon などに加えて、Microsoft Defender for Endpoint などの広く使用されている多くのツールが、このメカニズムを悪用する攻撃を、検知できないという現実である。
Continue reading “Linux セキュリティ・ツールの盲点:検出不能な io_uring のみを用いる攻撃とは?”React Router Vulnerabilities CVE-2025-43864 and CVE-2025-43865 Expose Web Applications to Attack
2025/04/28 SecurityOnline — React Router チームが公開したのは、フレームワーク・モードで実行されるアプリケーションに影響を及ぼす、2つの脆弱性 CVE-2025-43864/CVE-2025-43865 に対処するためのアドバイザリである。React Router は、約 1,400万回/週のペースでダウンロードされ、広範なアプリケーションで利用されるため、これらの脆弱性は整合性と可用性に深刻なリスクをもたらすと懸念されている。
Continue reading “React Router の脆弱性 CVE-2025-43864/43865 が FIX:ポイズニングとスプーフィング”GoSearch: Open-source OSINT tool for uncovering digital footprints
2025/04/28 HelpNetSecurity — GoSearch が提供するものは、Hudson Rock のサイバー犯罪データベースのデータを取り入れ、サイバー犯罪との関連性に示す詳細な情報である。また、BreachDirectory.org と ProxyNova のデータベースも活用し、ユーザー名に関連付けられたプレーン・テキストやハッシュ化されたパスワードなどの、侵害されたデータへの広範なアクセスを提供している。不要な複雑さを避け、信頼性の高い結果を求める捜査官にとって、GoSearch は最適なツールとなっている。
Continue reading “GoSearch は OSS の OSINT ツール:Hudson Rock などのデータを解析/視覚化”Critical FastCGI Library Flaw Exposes Embedded Devices to Code Execution
2025/04/28 gbhackers — ライトウェイトな Web サーバ通信のコア・コンポーネントである、FastCGI ライブラリに発見された深刻な脆弱性 CVE-2025-23016 により、多数の組み込みデバイスや IoT デバイスにリモート・コード実行の脅威が生じている。
Continue reading “FastCGI Library の脆弱性 CVE-2025-23016 が FIX:ヒープ・オーバーフローの恐れ”Brave’s Cookiecrumbler tool taps community to help block cookie notices
2025/04/27 BleepingComputer — Brave の Cookiecrumbler という新しいツールが、オープンソース化された。このツールは、大規模言語モデル (LLM) を用いて Cookie 同意通知を検出し、コミュニティ主導のレビューに基づき、サイトの機能に支障をきたさない通知をブロックするものだ。
Continue reading “Brave の Cookiecrumbler が OSS 化:AI を用いて Cookie 同意通知をブロック”CVE-2025-43859: Request Smuggling Vulnerability in Python’s h11 HTTP Library
2025/04/27 SecurityOnline — Python で記述され、最小限の機能だけを持ち、I/O に依存しない、HTTP/1.1 プロトコル・ライブラリ h11 に、深刻な脆弱性 CVE-2025-43859 (CVSS:9.1) が発見された。この脆弱性により、不適切なコンフィグやバグのある HTTP プロキシと連携するアプリケーションにおいて、h11 に対するリクエスト・スマグリング攻撃の可能性が生じている。
Continue reading “Python の h11 HTTP Library の脆弱性 CVE-2025-43859 が FIX:リクエスト・スマグリングの恐れ”WooCommerce Users Targeted by Fake Security Vulnerability Alerts
2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。
Continue reading “WooCommerce 管理者を標的とする偽のセキュリティ警告:フェイク・パッチへの誘導に要注意”Redis Vulnerability Exposes Servers to Denial-of-Service Attacks
2024/04/24 SecurityOnline — 広く利用される OSS のインメモリ・データ・ストア Redis に、深刻な脆弱性が発見された。この脆弱性を悪用する未認証の攻撃者により、サーバ・メモリの枯渇と、サービス拒否 (DoS) 状態が引き起こされる可能性がある。脆弱性 CVE-2025-21605 (CVSS:7.5) は、Redis のバージョン 2.6 以降に影響を及ぼすものだ。
Continue reading “Redis の脆弱性 CVE-2025-21605 が FIX:サービス拒否 (DoS) 攻撃の可能性”Multiple Cisco Tools at Risk from Erlang/OTP SSH Remote Code Execution Flaw
2024/04/24 gbhackers — Cisco が発行したのは、Erlang/OTP の SSH サーバを使用する製品群に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に関する、重要なアドバイザリ (cisco-sa-erlang-otp-ssh-xyZZy) である。この脆弱性 CVE-2025-32433 (CVSS:10.0) の悪用に成功した未認証の攻撃者は、脆弱なデバイス上で任意のコード実行を達成し、企業のネットワーク/クラウド・インフラ/通信システムにリスクをもたらす。
Continue reading “Cisco 製品群に影響を及ぼす Erlang/OTP SSH の脆弱性 CVE-2025-32433:暫定アドバイザリが公開”GitLab Releases Security Update to Patch XSS and Account Takeover Flaws
2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.11.1/17.10.5/17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。
Continue reading “GitLab の XSS の脆弱性 CVE-2025-1763/2443 などが FIX:XSS によるアカウント乗っ取りの恐れ”Grafana Patches CVE-2025-3260 and More in Critical Security Update
2025/04/24 SecurityOnline — Grafana Labs が公表したのは、複数の製品バージョンにまたがる、セキュリティ・アップデートのリリースである。このアップデートでは、Grafana OSS/Enterprise エディションに影響を及ぼす、深刻度が High 脆弱性1件と、Medium の脆弱性2件が修正されている。最も深刻な脆弱性 CVE-2025-3260 (CVSS:8.3:High) に関しては、最小権限のユーザーであっても、それを悪用することで、ダッシュボードに対する不正なアクセスや変更の機会を得るという。
Continue reading “Grafana の脆弱性 CVE-2025-3260/2703/3454 が FIX:ダッシュボード権限バイパスなどの恐れ”Critical Meshtastic RCE Vulnerability (CVE-2025-24797) Requires Urgent Update
2025/04/21 SecurityOnline — 携帯電話やインターネットによる接続に依存することなく長距離/低消費電力の通信を可能にする、OSS の LoRa メッシュ・ネットワーク・プラットフォーム Meshtastic に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24797 (CVSS:9.4) は、ファームウェア・バージョン 2.6.2 未満を実行するデバイスにおいて、未認証のリモートコード実行 (RCE) を許すものである。
Continue reading “Meshtastic の深刻な脆弱性 CVE-2025-24797 が FIX:不正なメッシュ・パケットによる RCE”Critical PyTorch Vulnerability Allows Hackers to Run Remote Code
2025/04/21 gbhackers — OSS 機械学習フレームワークとして広く利用される PyTorch に、新たに発見された深刻な脆弱性 CVE-2025-32434 を悪用する攻撃者は、AI モデルをロードするシステム上で、任意のコード実行の可能性を手にする。この問題は、”weights_only=True” などのセキュリティ対策が有効化されている場合にも起こり得る。
Continue reading “PyTorch の深刻な脆弱性 CVE-2025-32434 が FIX:セキュリティ対策の不備によるコード実行”Rogue npm Packages Mimic Telegram Bot API to Plant SSH Backdoors on Linux Systems
2025/04/19 TheHackerNews — npmレジストリ内に存在し、人気の Telegram ボット・ライブラリを装いながら、SSH バックドアとデータ窃取の機能を隠し持つ3つの悪意のパッケージを、サイバー・セキュリティ研究者たちが発見した。
Continue reading “npm に潜む悪意のパッケージを発見:Telegram Bot API を装い SSH バックドアを展開”GitHub Enterprise Server Vulnerabilities Expose Risk of Code Execution and Data Leaks
2025/04/19 SecurityOnline — GitHub がリリースしたのは、GitHub Enterprise Server に存在する、複数の脆弱性に対処するセキュリティ・アップデートである。これらの脆弱性には、攻撃者に対して任意のコード実行を許す可能性のある、深刻度の高い脆弱性が含まれている。GitHub Enterprise Server を使用する組織に対して、強く推奨されるのは、これらのパッチを速やかに適用し、システムを保護することだ。
Continue reading “GitHub Enterprise の脆弱性 CVE-2025-3509 などが FIX:コード実行や認証バイパスなどの可能性”CVE-2024-53141: Linux Kernel Flaw Enables Privilege Escalation, PoC Releases
2025/04/18 SecurityOnline — Linux Kernel の脆弱性 CVE-2024-53141 (CVSS:7.8) に関する、技術的詳細と PoC エクスプロイトを、あるセキュリティ研究者が公開した。この脆弱性は、netfilter サブシステムの ipset コンポーネントにおける、深刻な境界外アクセス (OOB:out-of-bounds) の欠陥であり、bitmap_ip_uadt 関数の微妙なバグに起因する。そのため、脅威アクターに対して、強力なエクスプロイト・チェーンが提供され、権限昇格/KASLR バイパスに加えて、完全なカーネル・レベルでのコード実行の可能性が生じる。
Continue reading “Linux Kernel の脆弱性 CVE-2024-53141:権限昇格と RCE の PoC がリリース”RomethemeKit Elementor Plugin Flaw Enables RCE: CVE-2025-30911
2025/04/17 SecurityOnline — 30,000+ のインストール数を誇る WordPress プラグイン RomethemeKit For Elementor に発見された脆弱性により、認証済みの悪意のユーザーが、不適切な権限の取得と nonce チェックを達成し、リモート・コード実行 (RCE) に到達するという。この脆弱性 CVE-2025-30911 の CVSS スコアは 9.9 であり、Critical と評価されている。
Continue reading “WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX:低権限ユーザーによる RCE”Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE
2025/04/17 SecurityOnline — 通信/分散システム/リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。
Continue reading “Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX:SSH の欠陥と未認証での RCE”Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution
2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x/7.x/8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x/8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。
Continue reading “PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム”Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
Continue reading “Firefox の脆弱性 CVE-2025-3608 が FIX:競合状態によるメモリ破壊のリスク”Critical CVE-2025-32445 Vulnerability in Argo Events Scores CVSS 10
2025/04/16 SecurityOnline — Kubernetes 向けのイベント・ドリブンなワークフロー自動化フレームワーク Argo Events に、深刻なセキュリティ脆弱性 CVE-2025-32445 (CVSS:10.0) が発見された。
Continue reading “Argo Events の深刻な脆弱性 CVE-2025-32445 が FIX:ホスト・システム/クラスタへの特権アクセス”Tails 6.14.2 Released with Critical Fixes for Linux Kernel Vulnerabilities
2025/04/16 gbhackers — Tails プロジェクトが公表したのは、Linux カーネル/Perl プログラミング言語の深刻なセキュリティ脆弱性を修正した、Tails 6.14.2 の緊急リリースである。複数の脆弱性の影響を受け、システムの安全性を損なわれる可能性が生じている。したがって、この緊急リリースは、Tails のセキュリティ/プライバシー機能に依存するユーザーにとって、きわめて重要なものである。
Continue reading “Tails 6.14.2 がリリース:Linux Kernel と Perl の深刻な脆弱性に対応”PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature
2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ/セキュリティへの対応により、わずか2時間強で修復された。
Continue reading “PyPI Organizations に深刻な脆弱性:報告から2時間で修正され被害もなし”Apache Roller Vulnerability Allows Hackers to Bypass Access Controls
2025/04/15 gbhackers — 人気の OSS ブログ・サーバ Apache Roller に、新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、重要なアクセス制御を回避し、パスワード変更後であっても、アカウントへの不正アクセスを維持する可能性を持つ。
Continue reading “Apache Roller の脆弱性 CVE-2025-24859 が FIX:パスワード変更後の不正アクセス?”CVE-2025-32428: Jupyter Remote Desktop Proxy Exposes TigerVNC to Network Access
2025/04/14 SecurityOnline — Jupyter ノートブック・インターフェイス内で、XFCE などの GUI デスクトップ環境を実行する Jupyter エクステンションである Jupyter Remote Desktop Proxy に、深刻なセキュリティ脆弱性が存在することを、研究者たちが発見した。この脆弱性 CVE-2025-32428 (CVSSv4:9.0) は、Jupyter Remote Desktop Proxy と TigerVNC とを併用した場合に発生し、ネットワーク経由で意図せず VNC サービスが公開されてしまうという、本来の設計に反する事態を引き起こす。
Continue reading “Jupyter Remote Desktop Proxy の脆弱性 CVE-2025-32428 が FIX:TigerVNC との組み合わせが危険”Urgent: Yii 2 Vulnerability CVE-2024-58136 Under Active Exploit
2025/04/14 SecurityOnline — PHP Web アプリ・フレームワークとして人気を博す Yii 2 に、脆弱性 CVE-2024-58136 (CVSS:9.1) が発見された。この脆弱性が影響を及ぼす範囲は、バージョン 2.0.52 未満となる。Yii 2 のダウンロード数は 2,500万回を超えており、数え切れないほどの Web アプリで使用されているため、この脆弱性は、開発者やサイト管理者にとって重大な懸念事項となっている。
Continue reading “Yii 2 の脆弱性 CVE-2024-58136 が FIX:安全が確保されないリフレクションの可能性”2025/04/13 SecurityOnline — システム管理や Web 開発などの、さまざまな用途で広く使用される汎用プログラミング言語 Perl に、セキュリティ上の脆弱性が発見された。このヒープバッファ・オーバーフローの脆弱性 CVE-2024-56406 は、Perl バージョン 5.34/5.36/5.38/5.40 に影響を及ぼす。
Continue reading “Perl の脆弱性 CVE-2024-56406 が FIX:サービス拒否のおそれとコード実行の可能性”CVE-2025-32896: Apache SeaTunnel Flaw Enables Unauthenticated File Read & RCE
2025/04/13 SecurityOnline — 分散データ統合プラットフォームとして広く利用される Apache SeaTunnel に、新たな脆弱性 CVE-2025-32896 が発見された。この脆弱性を悪用する未認証の攻撃者により、任意のファイル読取りなどの、デシリアライゼーション・ベースの攻撃が実行される可能性が生じている。
Continue reading “Apache SeaTunnel の脆弱性 CVE-2025-32896 が FIX:File Read & RCE の可能性”Critical Vulnerability in Everest Forms Plugin Threatens WordPress Sites
2025/04/12 SecurityOnline — WordPress プラグイン Everest Forms で発見された深刻なセキュリティ脆弱性により、10万以上の Web サイトが潜在的なリスクにさらされている。この脆弱性 CVE-2025-3439 (CVSS:9.8) は、PHP オブジェクト・インジェクションの欠陥であり、それを悪用する未認証の攻撃者に対して、悪意のコード挿入を許すものである。
Continue reading “WordPress Everest Forms の脆弱性 CVE-2025-3439 が FIX:PHP オブジェクト・インジェクションの可能性”Vulnerability in OttoKit WordPress Plugin Exploited in the Wild
2025/04/11 SecurityWeek — WordPress プラグインである OttoKit の脆弱性を、脅威アクターたちが積極的に悪用しており、多くの Web サイトに深刻な侵害の可能性があると、WordPress セキュリティ企業の Wordfence が警告している。以前には SureTriggers という名称だった OttoKit:All-in-One Automation Platform は、Web サイト管理者によるタスクの自動化と、アプリケーション/Web サイト/WordPress プラグインの連携を担うプラグインである。
Continue reading “WordPress OttoKit の脆弱性 CVE-2025-3102:パッチのリリースと積極的な悪用の検出”
IoT OT Security News 
You must be logged in to post a comment.