Synapse Servers at Risk: Zero-Day DoS in the Wild
2025/03/27 SecurityOnline — OSS の Matrix ホームサーバ実装である Synapse に、深刻なゼロデイ脆弱性が発見された。すでに、この脆弱性は悪用されており、サービス拒否状態が引き起こされる可能性が生じている。
Continue reading “Synapse Servers の脆弱性 CVE-2025-30355 が FIX:積極的な DoS 攻撃を観測”Triple Threat in Frappe Framework: SQL Injection, RCE, and Info Disclosure Fixed in Recent Patches
2025/03/27 SecurityOnline — ERPNext などのデータベース駆動型アプリケーションを支える、フルスタック Web フレームワーク Frappe Framework に、複数の深刻なセキュリティ脆弱性が発生した。Frappe は、Python/JavaScript ベースの多用途 Web フレームワークであり、データベース・セントリックなアプリケーションの開発を簡素化する。その堅牢な機能セットにより、複雑な Web ソリューションの構築に多用されている。
Continue reading “Frappe Framework の深刻な3つの脆弱性が FIX:SQLi/RCE/情報漏洩の恐れ”WordPress Plugin CVE-2025-2563 Scores 9.8, Threatens Thousands of Membership Sites
2025/03/27 SecurityOnline — Web サイトのメンバーシップや登録フォームの作成で人気を博している、WordPress の User Registration & Membership プラグインに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-2563 の CVSS スコアは 9.8 であり、高い深刻度を示している。
Continue reading “WordPress – User Registration & Membership プラグインの脆弱性 CVE-2025-2563 が FIX:PoC も公開”CVE-2024-55963: Appsmith’s Default PostgreSQL Misconfiguration Leads to RCE, PoC Releases
2025/03/27 SecurityOnline — 先日に Rhino Security Labs が公表したのは、Appsmith 製品のデフォルト・インストールに影響を及ぼす、一連の重大な脆弱性に関する詳細な情報である。これらの脆弱性のうちで、最も深刻なものは CVE-2024-55963 であり、デフォルトで取り込まれている PostgreSQL データベースのミスコンフィグにより、未認証の攻撃者に対してリモート・コード実行を許すものである。
Continue reading “Appsmith の脆弱性 CVE-2024-55963 などが FIX:PostgreSQL ミスコンフィグと RCE PoC”CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access
2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。
Continue reading “CrushFTP の HTTP(S) Port の脆弱性 CVE-2025-2825 が FIX:現時点で悪用の報告は無し”Apache VCL Hit by SQL Injection (CVE-2024-53678) and XSS (CVE-2024-53679) Vulnerabilities
2025/03/26 SecurityOnline — Apache VCL (Virtual Computing Lab) は、カスタム・コンピューティング環境を提供するために設計された、広く使用される OSS クラウド・プラットフォームだが、深刻なセキュリティ上の欠陥に直面している。最新のアドバイザリで明らかにされた、2つの深刻な脆弱性は、SQL インジェクションとクロスサイト・スクリプティング (XSS) を引き起こすものである。
Continue reading “Apache VCL の深刻な脆弱性が FIX: SQLi CVE-2024-53678 と XSS CVE-2024-53679”IngressNightmare: Four Critical Bugs Found in 40% of Cloud Systems
2025/03/25 InfoSecurity — 人気の Ingress NGINX Controller を使用する Kubernetes ユーザーは、新たに発見された4つのリモート・コード実行 (RCE) の脆弱性 (CVSS:9.8) に対するパッチ適用を求められている。
Continue reading “IngressNightmare という4つの深刻な脆弱性:クラウド環境の 43% に影響”CVE-2025-0927: Public Exploit Released for Linux Kernel Privilege Escalation Bug
2025/03/25 SecurityOnline — 主として Ubuntu 22.04 ユーザーに影響を及ぼす、Linux カーネル内の重大な脆弱性について、新たに公開された SSD Disclosure のアドバイザリが詳述している。この脆弱性 CVE-2025-0927 は、HFS+ ファイル・システム実装におけるヒープ・オーバーフローの欠陥であり、影響を受けるシステム上で、攻撃者に対してローカル権限の昇格を許す可能性があるものだ。
Continue reading “Linux Kernel の脆弱性 CVE-2025-0927 が FIX:Ubuntu 22.04 ユーザーは要注意”Hackers Are Using Microsoft’s .NET MAUI to Spread Android Malware
2025/03/25 HackRead — Microsoft が新たに導入した .NET MAUI アプリ開発ツールを悪用するサイバー犯罪者が、クロス・プラットフォーム機能を備えた Android マルウェアを拡散していることを、McAfee Labs が明らかにした。
Continue reading “Microsoft の .NET MAUI を悪用する脅威アクターたち:高機能をマルウェアを量産”WordPress Plugin Vulnerability Opens Door to SQL Injection Exploits
2025/03/24 gbhackers — 人気の WordPress プラグイン GamiPress に発見された、深刻な脆弱性が悪用されると、未認証の脅威アクターによる SQL インジェクション攻撃にいたる可能性がある。この脆弱性 CVE-2024-13496 (CVSS3.1:7.5) の悪用の可能性が懸念されている。
Continue reading “WordPress GamiPress プラグインの脆弱性 CVE-2024-13496 が FIX:SQLi の恐れ”Finders Keypers: Open-source AWS KMS key usage finder
2025/03/24 HelpNetSecurity — Finders Keypers は、AWS KMS キーに関する、カレントの使用状況を分析するための OSS ツールである。AWS カスタマー管理の KMS キーと、AWS 管理の KMS キーをサポートする。
Continue reading “Finders Keypers:AWS KMS キーの使用状況を分析する OSS ツール”Urgent: Patch Your Next.js for Authorization Bypass (CVE-2025-29927)
2025/03/24 SecurityOnline — フルスタック Web アプリケーションの迅速かつ効率的な構築を支援する、人気の React フレームワーク Next.js の、深刻なセキュリティ脆弱性が対処された。世界の大企業などでも使用される Next.js は、最新の React 機能の拡張と、強力な Rust ベース JavaScript ツールの統合により、フルスタック Web アプリケーションを作成する一方で、ビルドの構築時間を大幅に短縮すると評価されている。
Continue reading “Next.js の深刻な認証バイパスの脆弱性 CVE-2025-29927 が FIX:旧バージョンのための回避策は?”Critical Vulnerability Discovered in Popular WordPress Security Plugin WP Ghost
2025/03/24 SecurityOnline — 人気の WordPress プラグイン WP Ghost に、深刻度の高いセキュリティ脆弱性が発見された。John Darrel により開発された WP Ghost は、広く使用される無料のセキュリティ/ファイアウォール・プラグインであり、そのアクティブ インストール数は 200,000 を超える。このプラグインにより追加されるセキュリティ・レイヤーには、ボットのブロックや、不正アクセスの防止などがあり、WordPress Web サイトのセキュリティ強化が推進される。
Continue reading “WordPress WP Ghost プラグインの脆弱性 CVE-2025-26909 が FIX:LFI から RCE へのチェーン”Critical Remote Code Execution Vulnerability in vLLM via Mooncake Integration
2025/03/24 SecurityOnline — LLM を用いる推論やサービスで人気のライブラリ vLLM は、先日に発見された深刻なセキュリティ脆弱性に対処した。GitHub で 43,000 を超えるスターを獲得している vLLM は、広範なユーザーを抱えているため、重要な問題に発展する可能性もある。その脆弱性 CVE-2025-29783 の CVSS スコアは 9.0 と評価されている。
Continue reading “vLLM の深刻な RCE 脆弱性 CVE-2025-29783 が FIX:Mooncake 統合で問題が拡大”Nuxt Users Beware: CVE-2025-27415 Opens the Door to Cache Poisoning Attacks
2025/03/24 SecurityOnline — 人気の Nuxt フレームワークで発見された脆弱性により、攻撃者に対して CDN キャッシュ・ポイズニングを許し、フルスタックの Vue.js アプリケーションへのアクセスが妨害される可能性が生じている。この Nuxt の脆弱性 CVE-2025-27415 (CVSS:7.5) は、バージョン 3.0.0〜3.16.0 未満に影響を及ぼす。
Continue reading “Nuxt の脆弱性 CVE-2025-27415 が FIX:CDN ポイズニングによる DoS 攻撃の可能性”CVE-2025-27888: Apache Druid Flaw Opens Door to SSRF and XSS Risks in Real-Time Analytics Platforms
2025/03/23 SecurityOnline —Apache が明らかにしたのは、OLAP ダッシュボードや高速集計 API の強化に広く使用されている、リアルタイム分析データベース Apache Druid に存在する深刻なセキュリティ脆弱性に関する情報である。
Continue reading “Apache Druid の脆弱性 CVE-2025-27888 が FIX:SSRF/XSS などの可能性”Impact, Root Cause of GitHub Actions Supply Chain Hack Revealed
2025/03/21 SecurityWeek — GitHub Actions “tj-actions/changed-files” は、ファイルやディレクトリの変更を追跡するために、23,000 以上のリポジトリで積極的に使用されているアクションである。先週末のことだが、この GitHub Actions に発生した攻撃により、CI/CD シークレットをダンプしてログを作成するように設計された、悪意のスクリプトが実行されたことが判明した。
Continue reading “GitHub Actions の脆弱性 CVE-2025-30154/CVE-2025-30066:サプライチェーン攻撃の可能性を考える”JumpServer Flaws Allow Attackers to Bypass Authentication and Gain Full Control
2025/03/21 gbhackers — Fit2Cloud により開発され、広く使用されている、OSS の PAM (Privileged Access Management) ツール JumpServer に、重大なセキュリティ脆弱性があることが判明した。一連の脆弱性 CVE-2023-43650/CVE-2023-43652/CVE-2023-46123 を悪用する攻撃者は、認証バイパスを達成し、JumpServer インフラの完全な制御の可能性を手にする。その点を強調するのが、SonarSource の脆弱性調査チームである。
Continue reading “JumpServer の深刻な脆弱性3件が FIX:完全な制御の奪取の恐れ”Tomcat RCE Vulnerability Exploited in the Wild – Mitigation Steps Outlined
2025/03/21 gbhackers — 先日から注目を集めている Apache Tomcat の脆弱性 CVE-2025-24813 は、認証を必要としないリモート・コード実行 (RCE) および、深刻な情報漏洩、悪意のコンテンツの挿入に悪用される可能性があるため、サイバー・セキュリティ専門家たちの間で、先日から懸念を引き起こしている。この脆弱性は、2025年3 月10日の時点で情報が公開され、パッチが提供されたが、脅威アクターたちによる脆弱なサーバの悪用の試みが、すでに発生している。
Continue reading “Apache Tomcat の RCE の脆弱性 CVE-2025-24813:検出された悪用と問題点の整理”Coinbase was primary target of recent GitHub Actions breaches
2025/03/21 BleepingComputer — 最近の GitHub Actions への連鎖型のサプライ・チェーン攻撃により、数百のリポジトリのシークレットが侵害されているが、その主要なターゲットは Coinbase であると、研究者たちが断定している。Palo Alto Unit 42 と Wiz の最新レポートによると、この綿密に計画された攻撃は、悪意のコードが reviewdog/action-setup@v1 GitHub Action に挿入されたときから始まっているという。この侵害の発生の方法は不明であるが、脅威アクターはアクションを変更して、CI/CD シークレットと認証トークンを、GitHub Actions ログにダンプした。
Continue reading “GitHub Actions の侵害:最初のターゲットとして狙われたのは Coinbase”Critical WordPress Plugin Vulnerability Exposes Over 40,000 Websites to Code Execution Attacks
2025/03/20 SecurityOnline — WordPress の人気プラグイン Age Gate に、深刻な脆弱性 CVE-2025-2505 (CVSS:9.8) が発見された。この脆弱性により、40,000 以上の Web サイトに、認証を必要としないリモート・コード実行の可能性が生じている。
Continue reading “WordPress Age Gate Plugin の深刻な脆弱性 CVE-2025-2505 が FIX:RCE の可能性”CVE-2025-0755: MongoDB C Driver Vulnerability Could Lead to Buffer Overflow
2025/03/19 SecurityOnline — MongoDB が公表したのは、C Driver ライブラリで発見された脆弱性に関する情報である。脆弱性 CVE-2025-0755 (CVSS:8.4) は、このライブラリ内の bson_append 関数に影響を及ぼすものであり、悪用によりバッファ・オーバーフロー攻撃が引き起こされ、アプリケーション・クラッシュの可能性が生じるという。
Continue reading “MongoDB C Driver の脆弱性 CVE-2025-0755 が FIX:バッファ・オーバーフローとクラッシュ”2025/03/18 SecurityOnline — Node.js 向けの XML デジタル署名/暗号化ライブラリである xml-crypto に、2つの深刻な脆弱性が発見された。毎週 110万回以上ダウンロードを誇る、このライブラリの脆弱性を放置すると、XML 署名検証を利用するアプリケーションに広範な影響が生じる。
Continue reading “Node.js ライブラリ xml-crypto の脆弱性 CVE-2025-29774/29775 が FIX:IoC も提供”Google Releases Major Update for Open Source Vulnerability Scanner
2025/03/18 SecurityWeek — 3月18日 (火) に Google が発表したのは、OSS 開発者向けに無料で提供される、脆弱性スキャナー OSV-Scanner のアップデート版のリリースである。2021 年に立ち上げられた OSS 脆弱性データベースのフロントエンドとして、2022 年に導入された OSV-Scanner は、開発者が詳細なバグレポートを提供することで、OSS エコシステムのセキュリティを向上させるものだ。
Continue reading “Google の OSS 脆弱性スキャナー:OSV-Scanner のアップデート版がリリース”Multiple Security Vulnerabilities Plague PHP, Exposing Applications to Risk
2025/03/17 SecurityOnline — PHP プログラミング言語で一連のセキュリティ脆弱性が発見され、Web アプリケーションに対する攻撃が懸念されている。この脆弱性は、PHP の HTTP ストリーム・ラッパーに影響を及ぼし、情報漏洩からサービス拒否に至るまでのリスクをもたらす。
Continue reading “PHP に存在する5つの深刻な脆弱性が FIX:DOS 状態やリクエスト・スマグリングなどの恐れ”CVE-2025-27591: Privilege Escalation Vulnerability Found in Below Linux Tool
2025/02/17 SecurityOnline — Linux におけるシステム・データの記録/表示のためのツール Below に、権限昇格の脆弱性が発見された。この脆弱性 CVE-2025-27591 (CVSS:7.8) が影響を及ぼす範囲は、バージョン v0.9.0 未満となる。
Continue reading “Linux Below Tool の脆弱性 CVE-2025-27591 が FIX:root 権限昇格の恐れ”Severe Apache Camel Exploit (CVE-2025-29891) Disclosed – Technical Details and PoC Released
2025/03/17 SecurityOnline — Apache Camel に発見された、深刻度の高い脆弱性 CVE-2025-29891 の悪用に成功した攻撃者は、悪意のヘッダーの挿入を達成し、アプリケーションの動作を操作する機会を手にする。この、広く使用される HTTP コンポーネントに影響を及ぼす脆弱性により、開発者の速やかな対応が促される。
Continue reading “Apache Camel の脆弱性が CVE-2025-29891 が FIX:メッセージ・ヘッダー・インジェクションと PoC”CVE-2025-22954 (CVSS 10): Koha Library Systems at High Risk, Patch Immediately
2025/03/17 SecurityOnline — 広く使用されている OSS ライブラリ管理システムである Koha に、深刻な SQL インジェクションの脆弱性 CVE-2025-22954 (CVSS:10) が発見された。この脆弱性は、”lateissues-export.pl” に存在し、攻撃者に対して任意の SQL インストラクションの挿入を許すものである。脆弱な関数 GetLateOrMissingIssues (C4/Serials.pm 内) は、適切にサニタイズされていない supplyerid/serialid パラメータを介して、SQL インジェクションの影響を受けてしまう。
Continue reading “Koha Library の SQLi 脆弱性 CVE-2025-22954 (CVSS 10) が FIX:機密データの読取/変更/削除”CVE-2025-27407 (CVSS 9.1): Critical GraphQL-Ruby Flaw Exposes Millions to RCE
2025/03/17 SecurityOnline — 人気の graphql-ruby gem に発見された深刻な脆弱性 CVE-2025-27407 により、何百万ものアプリケーションが、リモート・ コード実行のリスクにさらされている。このライブラリのダウンロード数は 1億3,600万回を超え、広範囲で利用されているため、潜在的な影響の大きさが懸念されている。
Continue reading “GraphQL-Ruby の脆弱性 CVE-2025-27407 (CVSS 9.1) が FIX:悪意のスキーマの取り込みと RCE”Fake “Security Alert” issues on GitHub use OAuth app to hijack accounts
2025/03/16 BleepingComputer — 偽のセキュリティ通知を手段とする、大規模なフィッシング攻撃の標的として、約 12,000 の GitHub リポジトリが狙われている。この偽アラートを悪用する攻撃者は、開発者を騙して悪意の OAuth アプリを承認させ、アカウントやコードの完全な制御権を獲得する。その、偽のセキュリティ通知に含まれるメッセージは、「セキュリティ警告:異常なアクセス試行:ユーザーの GitHub アカウントへのログイン試行が、新しい場所またはデバイスから行われたことを検知する」というものだ。
Continue reading “GitHub リポジトリ 12,000 件が標的:偽のセキュリティ通知を悪用するフィッシング攻撃”Popular GitHub Action “tj-actions/changed-files” Compromised (CVE-2025-30066)
2025/03/15 SecurityOnline — GitHub Action “tj-actions/changed-files” は、広く使用されている ソフトウェア・ワークフローのためのものだが、新たに検出された深刻なセキュリティ・インシデントが懸念を生じている。セキュリティ侵害を積極的に調査する Step Security は、ユーザーに警告を発し、速やかに是正措置を取るよう促している。このインシデントを追跡するコードとして、公式に CVE-2025-30066 が採番されている。
Continue reading “GitHub Action の脆弱性 CVE-2025-30066:侵害によるシークレット漏洩と是正の手順”CVE-2025-26701 (CVSS 10): Percona PMM OVA Users at Risk of Unauthorized Access
2025/03/14 SecurityOnline — Percona Monitoring and Management (PMM) の、Open Virtual Appliance (OVA) に深刻なセキュリティ脆弱性が発見され、そのデータベース環境に深刻なリスクが生じている。この脆弱性 CVE-2025-26701 (CVSS:10.o) の悪用に成功した攻撃者は、不正なルート・アクセスを達成し、機密性の高いシステム認証情報を漏洩させる可能性を得るという。
Continue reading “Percona PMM OVA の脆弱性 CVE-2025-26701 (CVSS 10) が FIX:ルート認証情報の漏洩”Grafana Flaws Likely Targeted in Broad SSRF Exploitation Campaign
2025/03/13 SecurityWeek — 複数の人気プラットフォームにおける、SSRF (Server-Side Request Forgery) を狙う大規模な攻撃の前に、Grafana のパス・トラバーサル脆弱性が悪用されたと、脅威インテリジェンス企業 GreyNoise が報告している。2月の広範から3月の初旬にかけて急増した、SSRF の脆弱性を組織的に悪用するキャンペーンにおいて、Zimbra/GitLab/DotNetNuke/VMware/ColumbiaSoft/Ivanti/BerriAI/OpenBMCS 製品を標的とする 400 以上の IP が観測された。
Continue reading “大規模な SSRF キャンペーンを検出:Grafana のパストラバーサルが偵察に使われている?”GitHub Uncovers New ruby-saml Vulnerabilities Allowing Account Takeover Attacks
2025/03/13 TheHackerNews — オープンソースの ruby-saml ライブラリに、深刻大度の高いセキュリティ上の2つの脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、Security Assertion Markup Language (SAML) 認証プロテクションを回避する可能性を手にする。
Continue reading “ruby-saml の脆弱性 CVE-2025-25291/25292 が FIX:SAML 認証プロテクション回避の可能性”Keras Deep Learning Framework Hit by Arbitrary Code Execution Vulnerability (CVE-2025-1550)
2025/03/13 SecurityOnline — マルチ・バックエンドの Deep Learning Framework として広く使用されている Keras に、セキュリティ脆弱性 CVE-2025-1550 (CVSS:7.3) が発見された。この脆弱性が悪用されると、任意のコード実行につながる可能性があるという。
Continue reading “Keras Deep Learning の脆弱性 CVE-2025-1550 が FIX:任意のコード実行の恐れ”GitLab Urgently Patches Critical Authentication Bypass Flaws – CVE-2025-25291 & CVE-2025-25292
2025/03/12 SecurityOnline — GitLab が発表したのは、Community Edition (CE)/Enterprise Edition (EE) に存在するセキュリティ脆弱性を修正するための、新しいバージョン 17.9.2/17.8.5/17.7.7 のリリースである。このリリースは、深刻な認証バイパス脆弱性などの、さまざまなセキュリティ問題に対処するものだ。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-25291/25292 などが FIX:SAML 認証バイパスの恐れ”CVE-2025-27017: Apache NiFi Vulnerability Exposes MongoDB Credentials
2025/03/12 SecurityOnline — 世界中の数多くの組織で利用される、人気のデータフロー自動化ツール Apache NiFi に、セキュリティ脆弱性 CVE-2025-27017 が発見された。この脆弱性の悪用により、機密性の高い MongoDB 認証情報への不正アクセスの可能性が生じるという。その影響の範囲は、Apache NiFi のバージョン 1.13.0 〜 2.2.0 となる。
Continue reading “Apache NiFi の脆弱性 CVE-2025-27017 が FIX:MongoDB 資格情報の漏洩の可能性”CVE-2025-26319 (CVSS 9.8): Flowise Open-Source Platform Vulnerable to File Upload Exploit, No Patch
2025/03/12 SecurityOnline — AI エージェント構築に使用される、人気の OSS プラットフォーム Flowise に存在する深刻な脆弱性 CVE-2025-26319 (CVSS:9.8) を、セキュリティ研究者である Dor Attias が発見した。この脆弱性の悪用に成功した未認証の攻撃者は、Flowise サーバに任意のファイルをアップロードし、リモート・コード実行やサーバの完全な侵害を引き起こす機会を得る。
Continue reading “Flowise の脆弱性 CVE-2025-26319 (CVSS 9.8) : 未パッチの状況で PoC が提供される”Apache Camel Vulnerability (CVE-2025-27636) Exposes Applications to RCE, PoC Releases
2025/03/12 SecurityOnline — 先日に修正された Apache Camel Java ライブラリの脆弱性 CVE-2025-27636 だが、セキュリティ研究者たちによる精査が行われ、Akamai Security Intelligence Group が詳細な分析を提供している。最初のレポートでは、その深刻さが軽視されていたようであり、リモート・コード実行を含む壊滅的な結果という可能性が、Akamai の分析では強調されている。
Continue reading “Apache Camel の脆弱性 CVE-2025-27636 が FIX:PoC とスキャン・スクリプトの提供”North Korean Lazarus hackers infect hundreds via npm packages
2025/03/11 BleepingComputer — npm (node package manager) で発見された6つの悪意のパッケージだが、悪名高い北朝鮮のハッカー集団 Lazarus にリンクしていたことが特定された。これらの 330 回もダウンロードされたパッケージは、アカウント認証情報の窃取/侵害済みシステムへのバックドア展開/機密性の高い暗号通貨情報の抽出などのために設計されていた。このキャンペーンを発見した Socket Research Team によると、一連の悪意のパッケージは、以前から知られている Lazarus のサプライ・チェーン・オペレーションにリンクしていたという。
Continue reading “npm リポジトリ汚染:Lazarus にリンクする6つの悪意のパッケージを発見”2025/03/11 SecurityOnline — 人気の WordPress プラグイン HUSKY (旧 WOOF:WooCommerce Products Filter Professional)に重大な脆弱性が発見され、10 万以上のオンライン・ストアが完全に侵害される危険にさらされている。この脆弱性 CVE-2025-1661 (CVSS:9.8) の悪用に成功した未認証の攻撃者は、影響を受けるサーバ上で任意のファイルを操作し、データ侵害/サイト改竄に加えて、システムを完全に制御する可能性を得る。
Continue reading “WordPress HUSKY (WOOF) の脆弱性 CVE-2025-1661 が FIX:任意の PHP コードの挿入と実行”CVE-2025-26865: Apache OFBiz Vulnerability Could Lead to Remote Code Execution
2025/03/11 SecurityOnline — 先日に Apache OFBiz eCommerce プラグインで発見された脆弱性を悪用する攻撃者は、脆弱なサーバ上で任意のコード実行の機会を手にする。この脆弱性 CVE-2025-26865 は、テンプレート・エンジンで使用される特殊要素の不適切な無効化に起因し、深刻度は Important に分類されている。
Continue reading “Apache OFBiz の脆弱性 CVE-2025-26865 が FIX:リモートコード実行の恐れ”CVE-2025-24813 Flaw in Apache Tomcat Exposes Servers to RCE, Data Leaks: Update Immediately
2025/03/10 SecurityOnline — Apache Tomcat に、深刻な脆弱性 CVE-2025-24813 が発見された。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行/機密情報の漏洩/データの破損などを引き起こす機会を手にする。Apache Software Foundation は、緊急のセキュリティ・アドバイザリを発行し、影響を受けるバージョンのユーザーに対して速やかな更新を促している。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-24813 が FIX:RCE/情報漏洩/データ破損などの恐れ”CVE-2024-56325 (CVSS 9.8): Authentication Bypass Vulnerability Discovered in Apache Pinot
2025/03/10 SecurityOnline — LinkedIn と Uber により開発が始まった、高性能リアルタイム OLAP データストア Apache Pinot は、低レイテンシ分析に依存する組織にとって重要なツールとなっている。その Pinot で、新たに発見された認証バイパス脆弱性 CVE-2024-56325 (CVSS:9.8) により、認証を必要としないリモート攻撃者が、影響を受けるシステムに不正アクセスするという、深刻なセキュリティ上の懸念が生じている。
Continue reading “Apache Pinot の脆弱性 CVE-2024-56325 (CVSS 9.8) が FIX:深刻な認証バイパスの恐れ”Popular JavaScript Library ‘Axios’ Exposes Millions to Server-Side Vulnerabilities (CVE-2025-27152)
2025/03/10 SecurityOnline — 広く使用されている JavaScript ライブラリ Axios に、新たな脆弱性が発見された。この脆弱性 CVE-2025-27152 (CVSSv4:7.7) の悪用により、サーバサイド・リクエスト・フォージェリ (SSRF) や認証情報漏洩のリスクに、何百万ものユーザーがさらされるという。
Continue reading “Axios JavaScript Library の深刻な脆弱性 CVE-2025-27152 が FIX:SSRF と PoC エクスプロイト”CVE-2025-27509 (CVSS 9.3): Fleet Patches Critical SAML Authentication Vulnerability
2025/03/10 SecurityOnline — IT/Security の運用で広く使用される、OSS プラットフォームの Fleet が公表したのは、SAML 認証に深刻な影響を及ぼす脆弱性 CVE-2025-27509 (CVSSv4:9.3) に対処するための、重要なセキュリティ・アップデートのリリースである。 この欠陥の悪用に成功した攻撃者は、認証アサーションの偽造を達成し、システム管理上の侵害を引き起こす可能性を得る。
Continue reading “Fleet の脆弱性 CVE-2025-27509 (CVSS 9.3) が FIX:SAML レスポンスに関する不適切な検証”Laravel Framework Flaw Allows Attackers to Execute Malicious JavaScript
2025/03/10 gbhackers — Laravel フレームワークで発見された深刻な脆弱性 CVE-2024-13918 は、バージョン 11.9.0 〜11.35.1 に影響を及ぼすものだ。アプリケーションがデバッグ・モードで実行されているときに、エラー・ページでリクエスト・パラメータが適切にエンコードされないことに起因する問題であり、反射型クロスサイト・スクリプティング (XSS) を引き起こす可能性があるという。Github のレポートによると、この脆弱性 CVE-2024-13918 の CVSS スコアは 8.0 であり、高深刻度だと評価されている。
Continue reading “Laravel の深刻な XSS の脆弱性 CVE-2024-13918 が FIX:PoC も公開”Over 1000 Malicious Packages Found Exploiting Open-Source Platforms
2025/03/10 HackRead — FortiGuard Labs の調査により、1,000 件以上の悪意のパッケージが検出されたが、それらは少ないファイル数を特徴とし、不審なインストールや、隠された API などを介して攻撃を行うものであるという。システムを侵害するためにサイバー犯罪者が使用する悪意のソフトウェア・パッケージや、手法および監視および分析を、2024年11月から Fortinet の FortiGuard Labs は推進してきた。同社は、主たる傾向や攻撃手法を特定し、この進化する脅威に関する貴重な洞察を提供している。
Continue reading “悪意の OSS パッケージを分析:1,000件以上に共通する特徴/戦術/手口とは? – Fortinet”1.08M Downloads at Risk: Volt Fixes Severe RCE Vulnerability (CVE-2025-27517)
2025/03/09 SecurityOnline — Livewire で広く採用され、ダウンロード数が 108 万回を超える Functional API の Volt が、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-27517 に対する、パッチ適用を発表した。Volt を使用する開発者は、PHP ロジックと Blade テンプレートを単一ファイル・コンポーネント内でシームレスに統合できる。ただし、そのためのリクエスト処理メカニズムで発見された欠陥により、深刻なセキュリティ・リスクが生じている。
Continue reading “Volt の RCE 脆弱性 CVE-2025-27517 が FIX:任意の PHP コード実行の可能性”Apache Traffic Server Patches Multiple Security Vulnerabilities
2025/03/09 SecurityOnline — Apache Traffic Server プロジェクトがリリースしたのは、人気の Web プロキシ・キャッシュの複数バージョンに影響を及ぼす、いくつかのセキュリティ脆弱性に対処するためのアップデートである。これらの脆弱性は、リクエスト・スマグリングから不適切なアクセス制御にまで至るものであり、対象ソフトウェアに依存するネットワークのセキュリティとパフォーマンスに影響を及ぼす可能性がある。
Continue reading “Apache Traffic の複数の脆弱性が FIX:リクエスト・スマグリングなどの恐れ”
IoT OT Security News 
You must be logged in to post a comment.