Critical Vulnerability Exposes Langflow Servers to Full Compromise
2025/04/11 SecurityOnline — エージェント型 AI ワークフロー構築ツールとして、人気を博す Langflow に新たに発見された脆弱性により、重大なセキュリティ・リスクが生じると懸念されている。この脆弱性 CVE-2025-3248 は、未認証のリモート攻撃者により容易に悪用され、Langflow サーバの完全な侵害を引き起こす可能性があるという。Horizon3.ai のセキュリティ研究者である Naveen Sunkavally が、この脆弱性を特定した。
Continue reading “Langflow の深刻な脆弱性 CVE-2025-3248 が FIX:未認証のリモート攻撃による完全な侵害”InstaWP Connect Plugin Exposes WordPress Sites to Critical File Inclusion Vulnerability
2025/04/11 SecurityOnline — WordPress の InstaWP Connect プラグインに深刻なセキュリティ脆弱性が確認され、このツールを使用する Web サイトに重大なリスクが生じている。この脆弱性 CVE-2025-2636 は、未認証の ローカル PHP ファイル・インクルードの脆弱性であり、その影響を受ける Web サイトを、攻撃者が完全に制御する可能性がある。
Continue reading “WordPress InstaWP の脆弱性 CVE-2025-2636 が FIX:サーバの制御を奪われる可能性”Joomla Security Alert: Critical SQL Injection & MFA Bypass Vulnerabilities Uncovered
2025/04/11 SecurityOnline — Joomla プロジェクトが発表したのは、CMS/Database パッケージに影響を及ぼす2つの深刻な脆弱性に対処する、セキュリティ・アナウンスメントである。その内容は、SQL インジェクションの脆弱性 CVE-2025-25226 と、2要素認証バイパスの脆弱性 CVE-2025-25227 である。
Continue reading “Joomla の脆弱性 CVE-2025-25226/25227 が FIX:SQLi とMFA バイパスの恐れ”Critical Vulnerability (CVE-2025-31498) Patched in c-ares DNS Library
2025/04/11 SecurityOnline — DNS (Domain Name System) は、人間が理解しやすいドメイン名を、コンピュータが理解できる数値の IP アドレスに変換するという、重要な役割を果たすものである。そして、この変換を促進する多くのアプリケーションコア核には、堅牢な非同期 DNS リゾルバ・ライブラリである c-ares が存在している。しかし、この最も信頼性の高いツールでさえ、潜在的な脆弱性を抱えている可能性があることを、先日に公開された CVE-2025-31498 が示している。
Continue reading “DNS Library “c-ares” の深刻な脆弱性 CVE-2025-31498 が FIX:use-after-free の可能性”Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
2025/04/11 gbhackers — Jenkins Docker イメージに影響を及ぼす脆弱性が新たに発見され、ネットワーク・セキュリティに関する深刻な懸念が生じている。この脆弱性は、SSH ホストキーの再利用に起因するものであり、それそ悪用する攻撃者は Jenkins ビルド・エージェントを偽装し、機密性の高いネットワーク・トラフィックを乗っ取る機会を得る。
Continue reading “Jenkins Docker の脆弱性 CVE-2025-32754/32755 が FIX:トラフィック・ハイジャックの可能性”Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed
2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。
Continue reading “WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供”NATS Server Vulnerability: Missing Access Controls in JetStream API
2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム/サービス/デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。
Continue reading “NATS Server の脆弱性 CVE-2025-30215 が FIX:JetStream API におけるアクセス制御の欠如”Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)
2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS:8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。
Continue reading “Kibana の脆弱性 CVE-2024-12556 が FIX:コード・インジェクションの恐れ”CVE-2025-27520: Critical BentoML Flaw Allows Full Remote Code Execution, Exploit Available
2025/04/08 SecurityOnline — AI アプリケーションやモデル推論向けに最適化された、オンライン・サービス・システムの構築に用いられる、Python ライブラリ BentoML に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-27520 (CVSS:9.8) は、攻撃者にリモート・コード実行 (RCE) を許し、影響を受けるライブラリ・バージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “BentoML の深刻な脆弱性 CVE-2025-27520 が FIX:RCE の恐れと PoC の提供”Linux Kernel Vulnerability Exposes Local Systems to Privilege Escalation, PoC Published
2025/04/07 SecurityOnline — 先日のことだが、Linux Kernel の Performance Events システム・コンポーネントに存在する、脆弱性 CVE-2023-6931 (CVSS:7.8) の技術的詳細と PoC エクスプロイト・コードを、あるセキュリティ研究者が公開した。この脆弱性は、ヒープ領域外書き込みの欠陥だと説明されており、影響を受ける Linux システムにおいて、ローカル権限昇格に悪用される可能性があるという。
Continue reading “Linux Kernel の脆弱性 CVE-2023-6931:詳細な技術情報と PoC エクスプロイト・コード”MinIO Urgently Patches High-Severity Incomplete Signature Validation Vulnerability
2025/04/07 SecurityOnline — Amazon S3 コンパチブルの高性能オブジェクト・ストレージ・サーバ MinIO が公表したのは、深刻なセキュリティ脆弱性を修正するための、パッチのリリースに関する情報である。この脆弱性 CVE-2025-31489 は、unsigned-trailer のアップロードにおける不完全な署名検証に関連するものであり、ユーザーに深刻なリスクをもたらす。
Continue reading “MinIO の脆弱性 CVE-2025-31489 が FIX:不完全な署名検証と不正オブジェクトのアップロード”pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS
2025/04/07 SecurityOnline — 広く利用されている PostgreSQL 管理ツール pgAdmin 4 だが、データベース環境に大きなリスクをもたらす、2つの深刻なセキュリティ脆弱性に対処したところである。最新リリースである、pgAdmin 4 のバージョン 9.2 では、リモート・コード実行 (RCE) 攻撃やクロスサイト・スクリプティング (XSS) 攻撃を許す可能性のある、深刻な欠陥が修正されている。したがって、ユーザーは、速やかにアップデートすべきである。
Continue reading “pgAdmin 4 の脆弱性 CVE-2025-2945/2946 が FIX:きわめて深刻な RCE と XSS”CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
2025/04/07 SecurityOnline — XZ Utils は、データ圧縮機能を提供する、広く利用されるツールとライブラリのスイートである。効率的な圧縮で知られる XZ Utils は、gzip よりも小さなファイルの作成が必要な場合で多用される。ネイティブ・ファイル・フォーマットは “.xz” だが、従来からの “.lzma” フォーマットもサポートしている。
Continue reading “XZ Utils の脆弱性 CVE-2025-31115 が FIX:マルチスレッド・デコーダーに深刻な影響”50K+ WordPress Sites Exposed: Admin Takeover via Uncanny Automator
2025/04/05 SecurityOnline — 人気の WordPress プラグイン Uncanny Automator で発見された脆弱性により、50,000 以上の Web サイトにおいて、完全な侵害の可能性が生じている。この脆弱性 CVE-2025-2075 (CVSS:8.8) 悪用する認証済の攻撃者は、サブスクライバー・レベルのアクセス権を持つだけで、その権限を管理者へと昇格できる。つまり、攻撃者は実質的に、標的サイトを完全に制御できることになる。
Continue reading “WordPress Uncanny Automator プラグインの脆弱性 CVE-2025-2075 が FIX:Admin 権限への昇格の恐れ”Malicious Python Packages on PyPI Downloaded 39,000+ Times, Steal Sensitive Data
2025/04/04 TheHackerNews — Python Package Index (PyPI) リポジトリで配布される、機密情報を盗み出す悪意のあるライブラリは、クレジットカード・データをテストするように設計されていることを、サイバー・セキュリティ研究者たちが明らかにした。
Continue reading “PyPI から 39,000+ DL の悪意の Python パッケージ:クレカの有効性を自動的に検証”SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack
2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。
Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”Vite Development Server Flaw Allows Attackers Bypass Path Restrictions
2025/04/04 gbhackers — Vite 開発サーバに、深刻なセキュリティ脆弱性 CVE-2025-31125 が発見された。この脆弱性は、URL リクエスト処理中の不適切なパス検証に起因し、攻撃者に対してパス制限の回避を許すことで、影響を受けるサーバ上での任意のファイルへの不正アクセスを引き起こすものだ。
Continue reading “Vite 開発サーバの脆弱性 CVE-2025-31125 が FIX:ファイルへの不正アクセスと PoC”CVE-2025-2704: Critical Bug in OpenVPN Can Trigger Server Crashes
2025/04/04 SecurityOnline — OpenVPN コミュニティが発表したのは、サーバ・サイドの脆弱性 CVE-2025-2704 を修正する、重要なセキュリティ・アップデート OpenVPN 2.6.14 のリリースである。この脆弱が微武器化されると、”–tls-crypt-v2″ オプションでコンフィグされた VPN サーバが、クラッシュする可能性が生じる。
Continue reading “OpenVPN の脆弱性 CVE-2025-2704 が FIX:サーバ・クラッシュとサービス中断の恐れ”Apache Traffic Server Hit by Request Smuggling Vulnerability (CVE-2024-53868)
2025/04/04 securityonline — 広く採用されている高性能 HTTP プロキシ サーバ Apache Traffic Server (ATS) だが、リクエスト・スマグリング攻撃に対して脆弱であることが判明した。その原因である脆弱性 CVE-2024-53868 は、チャンク化されたメッセージを ATS が処理する方法に起因し、HTTP リクエスト処理に対する攻撃者の干渉を許すものだという。
Continue reading “Apache Traffic Server の脆弱性 CVE-2024-53868 が FIX:リクエスト・スマグリング攻撃の恐れ”Hackers Exploit Apache Tomcat Flaw to Hijack Servers and Steal SSH Credentials
2025/04/03 gbhackers — 新たに発見された攻撃キャンmasuペーンにより露呈した、Apache Tomcat サーバの脆弱性 CVE-2025-24813 を悪用するハッカーたちは、リソースの乗っ取りと SSH 認証情報の窃取を可能にしている。この問題の発見から 30 時間以内にボットネットを武器化した一連の攻撃は、暗号化されたペイロードと高度な永続化メカニズムを用いるものであり、Windows/Linux プラットフォームで稼働するシステムに侵入したことを、Aqua Nautilus の研究者たちが明らかにした。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-24813 への攻撃:ハッカーたちの高度な戦術を解明する”Multiple Jenkins Plugin and Core Vulnerabilities Expose Sensitive Data and Execution Paths
2025/04/03 SecurityOnline — Jenkins プロジェクトが公表したのは、Jenkins コアとプラグインに影響を及ぼす、中程度から高程度の脆弱性に関する新しいセキュリティ・アドバイザリのリリースである。これらの問題は、権限チェックの欠如や CSRF 脆弱性から、API キーとパスワードのプレーンテキスト・ストレージにまでに至るものであり、DevOps パイプラインで Jenkins を使用している、何百万ものユーザーに対して影響を及ぼすものだ。
Continue reading “Jenkins の Core/Plugin に複数の脆弱性:アップデートと緩和策の確認が必要”2025/04/03 SecurityOnline — React Router が公表したのは、React アプリケーションにおけるルーティング管理で使用される、一般的なライブラリで発見された脆弱性 CVE-2025-31137 に関する情報である。
Continue reading “React Router の CVE-2025-31137 が FIX:Web App キャッシュ汚染や WAF バイパスなどの恐れ”Rancher Users: Update Now to Fix Admin Takeover Bug (CVE-2025-23391)
2025/04/03 SecurityOnline — Rancher に、セキュリティ脆弱性 CVE-2025-23391 (CVSS :9.1) が発見された。Rancher は、オープンソースのコンテナ管理プラットフォームで、ロケーションを選ぶことなく Kubernetes を、IT 要件を満たしながら簡単に実行するため、DevOps チームに頼りにされている。その Rancher 脆弱性により、深刻なリスクがもたらされる。
Continue reading “Rancher の脆弱性 CVE-2025-23391 が FIX:管理権限の制限に関する問題”High-Severity Vulnerabilities in Bruno API Client Expose Users to Potential RCE
2025/04/03 SecurityOnline — Bruno プロジェクトが公表したセキュリティ・アドバイザリは、Bruno API クライアントに存在する深刻な脆弱性を明らかにするものであり、信頼できないソースからのコレクションをインポートする際のリスクを強調している。ファイル・システム上のフォルダに、コレクションをダイレクトに保存する Bruno は、プレーン・テキスト・マークアップ言語である Bru を用いて、API リクエストに関する情報を保存する。この方式は、Postman などのツールに代表される現状を刷新する、革新的な API クライアントとして位置付けられている。
Continue reading “Bruno API Client の脆弱性 CVE-2025-30354/30210 が FIX:RCE などの恐れ”VyOS and Debian Systems Vulnerable to Man-in-the-Middle Attacks (CVE-2025-30095)
2024/04/02 SecurityOnline — 人気の OSS ネットワーク OS である VyOS に、深刻な脆弱性 CVE-2025-30095 が発見された。この欠陥は、Dropbear ベースのコンソール・サーバでのプライベート SSH キーの再利用に起因し、アクティブな中間者 (MITM) 攻撃を可能にするものだ。なお、この脆弱性を報告したのは、Viasat の Morgan Jones である。
Continue reading “VyOS/Debian の深刻な脆弱性 CVE-2025-30095 が FIX:SSH キーの想定外の再利用”MongoDB Patches: DoS & Bypass Risks Addressed
2025/04/02 SecurityOnline — 人気のオープンソース NoSQL データベースである MongoDB が公表したのは、新たに公開された3つの脆弱性に対処するパッチのリリースである。これらの脆弱性の悪用に成功した攻撃者は、MongoDB デプロイメントに対して、サービス拒否攻撃や認証バイパス攻撃を仕掛ける可能性を手にする。
Continue reading “MongoDB の脆弱性 CVE-2025-3083/3084/3085 が FIX:サービス拒否や認証バイパスの恐れ”CVE-2025-30223 (CVSS 9.3): Critical XSS Vulnerability Discovered in Beego Framework
2025/04/02 SecurityOnline — Web アプリや API の構築で人気を博す、Go フレームワークである Beego Framework に、クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性 CVE-2025-30223 (CVSS:9.3) を悪用する攻撃者は、悪意の JavaScript コードを Web ページに挿入し、ユーザー・データやセッションを侵害する可能性を手にする。
Continue reading “Beego Framework の脆弱性 CVE-2025-30223 (CVSS:9.3) が FIX:Go 環境に深刻な XSS”CVE-2025-30065 (CVSS 10): Critical Vulnerability Discovered in Apache Parquet Java
2025/04/02 SecurityOnline — 広く使用されている OSS のカラム指向データファイル形式である Apache Parquet に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性は、Apache Parquet Java ライブラリを使用するシステムに対して、深刻なリスクをもたらす。
Continue reading “Apache Parquet Java の脆弱性 CVE-2025-30065 (CVSS 10) が FIX:任意のコード実行の恐れ”Over 1,500 PostgreSQL Servers Compromised in Fileless Cryptocurrency Mining Campaign
2025/04/01 TheHackerNews — インターネットに露出する PostgreSQL インスタンスが、進行中のキャンペーンのターゲットにされているが、その目的は、不正アクセスの取得と、暗号通貨マイナーの展開にあるという。クラウド・セキュリティ企業 Wiz によると、2024年8月の時点で Aqua Security がフラグを付けた、侵入セットの亜種による活動が検出され、PG_MEM と呼ばれるマルウェア株が展開されているという。このキャンペーンは、Wiz が JINX-0126として追跡している、脅威アクターによるものとされる。
Continue reading “PostgreSQL のインスタンス 1,500+ を悪用:XMRig をファイルレスで展開するキャンペーンとは?”CVE-2025-27095: Token Theft Flaw in JumpServer Exposes Kubernetes Clusters to Unauthorized Access
2025/04/01 SecurityOnline — JumpServer で発見された、新たな脆弱性 CVE-2025-27095 により、トークン漏洩が発生し、Kubernetes クラスターが潜在的な侵害に直面する事態となっている。この問題は、Web ブラウザー経由で、SSH/RDP/Kubernetes/Database/RemoteApp 環境へのアクセスの保護に広く採用されている、オープンソースの Privileged Access Management (PAM) プラットフォームである、JumpServer の複数のバージョンに影響を及ぼす。
Continue reading “JumpServer の脆弱性 CVE-2025-27095 が FIX:Kubernetes に影響を及ぼすトークン漏洩”Hackers abuse WordPress MU-Plugins to hide malicious code
2025/03/31 BleepingComputer — WordPress の mu-plugins (Must-Use Plugins) ディレクトリを悪用するハッカーたちは、検出を回避しながら、すべてのページで悪意のコードを秘密裏に実行している。この攻撃の手法は、2025年2月に Sucuri のセキュリティ研究者により発見されたものである。その後も、この手法を採用する比率は上昇しており、いまのアクターたちは、このフォルダーを悪用することで、3種類の悪意のコードを実行している。
Continue reading “WordPress MU-Plugins の問題点:悪意のコードを実行する3種類のペイロードとは?”Exegol: Open-source hacking environment
2025/03/31 HelpNetSecurity — コミュニティ主導のハッキング環境において、ハッキング・セットアップを迅速かつ安全に展開するユーザーにとって、Exegol は有用である。この Exegol 環境は、ペンテスター/CTF プレーヤー/バグバウンティ・ハンター/研究者/防御担当者などの、初心者と経験豊富なユーザーを対象に作られている。
Continue reading “Exegol は OSS のハッキング環境:Docker 内での安全な調査/研究を実現”New Ubuntu Linux Vulnerabilities Let Attackers Exploit Kernel Components
2025/03/31 gbhackers — Ubuntu Linux で発見された、一連の新たなセキュリティ脆弱性により、カーネルの悪用リスクに関する懸念が生じている。Qualys Threat Research Unit (TRU) の研究者たちが、Ubuntu の非特権ユーザー名前空間制限に影響を与える、3つの深刻な重バイパスを発見した。それにより、特定の条件下において、攻撃者にカーネル・コンポーネントの悪用を許すことになり得る。
Continue reading “Ubuntu Linux の脆弱性 CVE-N/A:非特権ユーザー名前空間の問題と Qualys のサポート”Apache Tomcat Vulnerability Exploited to Execute Malicious Arbitrary Code on Servers
2025/03/31 gbhackers — Apache Tomcat サーバに存在する、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-24813 が積極的に悪用されている。この脆弱性の悪用に成功した攻撃者は、未認証の HTTP PUT リクエストを介して悪意のファイルをアップロードし、その後 GET リクエストでデシリアライゼーションをトリガーし、任意のコード実行を引き起こす可能性を手にする。
Continue reading “Apache Tomcat の RCE 脆弱性 CVE-2025-24813:積極的な悪用と PoC の提供”CVE-2025-2294 Targets WordPress Plugin with 90,000+ Active Installs
2025/03/30 SecurityOnline — WordPress の Kubio AI Page Builder プラグインに発見された、深刻なセキュリティ脆弱性により、この人気のツールを使用する Web サイトに重大なリスクが生じている。
Continue reading “WordPress Kubio AI Page Builder の脆弱性 CVE-2025-2294 が FIX:任意の PHP コード実行の恐れ”2025/03/28 SecurityOnline — LinkedIn でオリジナルが開発された、高スループット/低レイテンシの OLAP データストア Apache Pinot は、データ・ドリブンな意思決定のためのリアルタイム分析を提供するように設計されている。その Pinot において、先日に発見された脆弱性 CVE-2024-56325 により、影響を受けるバージョンを実行しているシステムに深刻なリスクが生じている。
Continue reading “Apache Pinot の脆弱性 CVE-2024-56325 が FIX:容易に悪用できる認証バイパス”CVE-2025-30353: Directus Vulnerability Exposes Sensitive Data in Webhook Trigger Flows
2025/03/28 SecurityOnline — SQL データベース・コンテンツの管理のための、Real-Time API とApp Dashboard である Directus に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-30353 (CVSS:8.6) の悪用に成功した攻撃者は、機密データへの不正アクセスの可能性を手にする。
Continue reading “Directus の深刻な脆弱性 CVE-2025-30353 が FIX:Webhook トリガーによる機密データの漏洩”Cloudflare open sources OPKSSH to bring Single Sign-On to SSH
2025/03/28 HelpNetSecurity — OPKSSH は IdP (identity providers) との緊密な統合により、信頼できるサードパーティであっても介在をすることで、合理的かつ安全性の高い方法で SSH 認証を管理するものだ。今週に、OpenPubkey プロジェクト傘下に位置するかたちで、OPKSSH は 正式にオープンソース化された。OpenPubkey 自体は、2023 年に Linux Foundation のオープンソース・イニシアチブになったが、これまでの OPKSSH はクローズド・ソースだった。
Continue reading “Cloudflare の OPKSSH が OSS として提供:SSH に Single Sign-On がやってくる”GLPI ITSM Tool Flaw Allows Attackers to Inject Malicious SQL Queries
2025/03/28 gbhackers — 広く使用されているオープンソースの ITSM (IT Service Management) ツールである GLPI に、深刻な SQL インジェクション脆弱性が発見された。この脆弱性 CVE-2025-24799 は、GLPI におけるユーザー入力の処理方法に起因する。この脆弱性が悪用されると、データベースのクエリ操作が未認証のリモート攻撃者に許され、データ盗難/改ざん/リモート・コード実行などの深刻な被害が生じるという。
Continue reading “GLPI の SQLi 脆弱性 CVE-2025-24799 が FIX:データ漏えいや RCE に至る可能性”Infostealer campaign compromises 10 npm packages, targets devs
2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。
Continue reading “npm パッケージに仕込まれた情報窃取型マルウェア:暗号通貨関連の機密情報を流出?”Millions at Risk: PoC Exploit Releases for Vite Arbitrary File Read Flaw (CVE-2025-30208)
2025/03/27 SecurityOnline — 数百万もの最新 Web アプリを支える、超高速フロントエンド・ビルド・ツール Vite に、ファイル・アクセス制御バイパスの脆弱性が発見された。この脆弱性により、任意のファイル・コンテンツが、ブラウザに公開されてしまう可能性が生じている。この脆弱性 CVE-2025-30208 を悪用する攻撃者は、ファイル・システムの制限をバイパスし、機密情報へのアクセスの可能性を手にする。
Continue reading “Vite の脆弱性 CVE-2025-30208 が FIX:任意のファイル読み取りの PoC も登場”Mozilla warns Windows users of critical Firefox sandbox escape flaw
2025/03/27 BleepingComputer — Mozilla がリリースした Firefox 136.0.4 は、Windows システム上の Web ブラウザのサンドボックスにおいて、攻撃者にエスケープを許す深刻なセキュリティ欠陥を修正するものだ。Mozilla 開発者の Andrew McCreight は、「この脆弱性 CVE-2025-2857 は、誤ったハンドルによるサンドボックス・エスケープの可能性を示すものだ」と説明している。
Continue reading “Firefox のサンドボックス・エスケープの脆弱性 CVE-2025-2857 が FIX:Chrome の問題に類似?”Synapse Servers at Risk: Zero-Day DoS in the Wild
2025/03/27 SecurityOnline — OSS の Matrix ホームサーバ実装である Synapse に、深刻なゼロデイ脆弱性が発見された。すでに、この脆弱性は悪用されており、サービス拒否状態が引き起こされる可能性が生じている。
Continue reading “Synapse Servers の脆弱性 CVE-2025-30355 が FIX:積極的な DoS 攻撃を観測”Triple Threat in Frappe Framework: SQL Injection, RCE, and Info Disclosure Fixed in Recent Patches
2025/03/27 SecurityOnline — ERPNext などのデータベース駆動型アプリケーションを支える、フルスタック Web フレームワーク Frappe Framework に、複数の深刻なセキュリティ脆弱性が発生した。Frappe は、Python/JavaScript ベースの多用途 Web フレームワークであり、データベース・セントリックなアプリケーションの開発を簡素化する。その堅牢な機能セットにより、複雑な Web ソリューションの構築に多用されている。
Continue reading “Frappe Framework の深刻な3つの脆弱性が FIX:SQLi/RCE/情報漏洩の恐れ”WordPress Plugin CVE-2025-2563 Scores 9.8, Threatens Thousands of Membership Sites
2025/03/27 SecurityOnline — Web サイトのメンバーシップや登録フォームの作成で人気を博している、WordPress の User Registration & Membership プラグインに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-2563 の CVSS スコアは 9.8 であり、高い深刻度を示している。
Continue reading “WordPress – User Registration & Membership プラグインの脆弱性 CVE-2025-2563 が FIX:PoC も公開”CVE-2024-55963: Appsmith’s Default PostgreSQL Misconfiguration Leads to RCE, PoC Releases
2025/03/27 SecurityOnline — 先日に Rhino Security Labs が公表したのは、Appsmith 製品のデフォルト・インストールに影響を及ぼす、一連の重大な脆弱性に関する詳細な情報である。これらの脆弱性のうちで、最も深刻なものは CVE-2024-55963 であり、デフォルトで取り込まれている PostgreSQL データベースのミスコンフィグにより、未認証の攻撃者に対してリモート・コード実行を許すものである。
Continue reading “Appsmith の脆弱性 CVE-2024-55963 などが FIX:PostgreSQL ミスコンフィグと RCE PoC”CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access
2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。
Continue reading “CrushFTP の HTTP(S) Port の脆弱性 CVE-2025-2825 が FIX:現時点で悪用の報告は無し”Apache VCL Hit by SQL Injection (CVE-2024-53678) and XSS (CVE-2024-53679) Vulnerabilities
2025/03/26 SecurityOnline — Apache VCL (Virtual Computing Lab) は、カスタム・コンピューティング環境を提供するために設計された、広く使用される OSS クラウド・プラットフォームだが、深刻なセキュリティ上の欠陥に直面している。最新のアドバイザリで明らかにされた、2つの深刻な脆弱性は、SQL インジェクションとクロスサイト・スクリプティング (XSS) を引き起こすものである。
Continue reading “Apache VCL の深刻な脆弱性が FIX: SQLi CVE-2024-53678 と XSS CVE-2024-53679”IngressNightmare: Four Critical Bugs Found in 40% of Cloud Systems
2025/03/25 InfoSecurity — 人気の Ingress NGINX Controller を使用する Kubernetes ユーザーは、新たに発見された4つのリモート・コード実行 (RCE) の脆弱性 (CVSS:9.8) に対するパッチ適用を求められている。
Continue reading “IngressNightmare という4つの深刻な脆弱性:クラウド環境の 43% に影響”CVE-2025-0927: Public Exploit Released for Linux Kernel Privilege Escalation Bug
2025/03/25 SecurityOnline — 主として Ubuntu 22.04 ユーザーに影響を及ぼす、Linux カーネル内の重大な脆弱性について、新たに公開された SSD Disclosure のアドバイザリが詳述している。この脆弱性 CVE-2025-0927 は、HFS+ ファイル・システム実装におけるヒープ・オーバーフローの欠陥であり、影響を受けるシステム上で、攻撃者に対してローカル権限の昇格を許す可能性があるものだ。
Continue reading “Linux Kernel の脆弱性 CVE-2025-0927 が FIX:Ubuntu 22.04 ユーザーは要注意”
IoT OT Security News 
You must be logged in to post a comment.