Popular Python Logging Library Vulnerable to Remote Code Execution (CVE-2025-27607)
2025/03/09 SecurityOnline — JSON ログの生成に用いられる、人気の Python ライブラリ “python-json-logger” で深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、ライブラリがインストールされているシステム上で、任意のコード実行の機会を手にする。
Continue reading “Python ライブラリ “python-json-logger” の脆弱性 CVE-2025-27607 が FIX:PoC も提供”PHP-CGI RCE Flaw Exploited in Attacks on Japan’s Tech, Telecom, and E-Commerce Sectors
2025/03/07 TheHackerNews — 2025年1月以降から、日本の組織を主な標的とする悪意のキャンペーンが確認されている。現時点において、その背後にいる脅威アクターの正体は不明だ。2025年3月6日に公開された技術レポートで、「攻撃者は、Windows 上の PHP-CGI 実装に存在するリモート・コード実行 (RCE) の脆弱性 CVE-2024-4577 を悪用し、被害者マシンでイニシャル・アクセスを獲得していた。続いて、一般に公開されている Cobalt Strike kit である TaoWu のプラグインを利用し、侵害後の攻撃活動を行っていた」と、Cisco Talos の研究員である Chetan Raghuprasad は述べている。
Continue reading “PHP-CGI の脆弱性 CVE-2024-4577 を悪用:日本の技術/通信/e コマースへの攻撃を観測”CSRF and Open Redirect: Jenkins Patches Major Vulnerabilities
2025/03/06 SecurityOnline — 人気の OSS 自動化サーバ Jenkins が発行したのは、複数の脆弱性に対処するセキュリティ・アドバイザリであり、その対象としては、暗号化されたシークレットの露出やクロスサイト・リクエスト・フォージェリ (CSRF) の欠陥などがある。この、2025年3月5日にリリースされたアドバイザリは、Jenkins のバージョン 2.499 以前以下/LTS 2.492.1 以下に影響を及ぼす、3つの脆弱性について詳述している。
Continue reading “Jenkins の脆弱性 CVE-2025-27622/27623 などが FIX:CSRF/オープンリダイレクトの恐れ”https://gbhackers.com/apache-airflow-misconfigurations-leak-login-credentials/
2025/03/06 gbhackers —Apache Airflow のミスコンフィグに関する最近の調査により、ログイン認証情報/API キー/クラウド・サービスのアクセス・トークンなどを攻撃者に対して露出する、深刻な脆弱性の存在が明らかになった。このワークフロー・プラットフォームにおけるミスコンフィグの主な原因は、安全が確保されないコーディング手法や、古いバージョンの使用などにあり、金融/医療/e コマース業界などでの、データ・セキュリティ侵害につながるものだ。つまり、AWS/Slack/PayPal の認証情報や、内部データベースの認証情報が、適切に保護されていない状態になっていた。
Continue reading “Apache Airflow のミスコンフィグ:認証情報の漏洩と AWS/Slack/PayPal などへの影響”CVE-2025-25012 (CVSS 9.9): Critical Code Execution Vulnerability Patched in Elastic Kibana
2025/03/05 SecurityOnline — Elastic におけるデータの探索と視覚化のプラットフォーム Kibana の、深刻な脆弱性に対処するセキュリティ・アップデートがリリースされた。この脆弱性 CVE-2025-25012 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行の可能性を手にする。
Continue reading “Elastic Kibana の脆弱性 CVE-2025-25012 (CVSS 9.9) が FIX:任意のコード実行の可能性”CVE-2025-26776 (CVSS 10) in Chaty Pro Plugin Exposes Thousands of WordPress Sites to Takeover
2025/03/05 SecurityOnline — WordPress プラグイン Chaty Pro で発見された、深刻な脆弱性を悪用する攻撃者は、Web サイトの完全な乗っ取りの機会を手にする。このプラグインは、Web サイトへの訪問者が、WhatsApp や Facebook Messenger などの各種プラットフォーム経由で接続するための、チャット・ボタンを提供するものだ。その Chaty Pro に深刻なセキュリティ上の欠陥が確認され、推定で 18,000 件のアクティブ・インストールへの影響が懸念されている。
Continue reading “WordPress Chaty Pro の脆弱性 CVE-2025-26776 (CVSS:10) が FIX:数千のサイトに乗っ取りの可能性”CVE-2025-27507 (CVSS 9.0): ZITADEL Users at Risk of Account Takeover
2025/03/05 SecurityOnline — OSS の ID/Access 管理ソリューションである ZITADEL プロジェクトが発行したのは、同プロジェクトの管理 API に存在する、複数の深刻な Insecure Direct Object Reference (IDOR) の脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27507 (CVSS:9.0) の悪用に成功した認証済みのユーザーは、機密性の高い設定を変更することで、ユーザー・アカウントへの不正アクセスの可能性を手にする。
Continue reading “ZITADEL の脆弱性 CVE-2025-27507 (CVSS 9.0) が FIX:LDAP ログイン試行のリダイレクト”CVE-2025-1080: LibreOffice Patches Security Flaw Allowing Arbitrary Script Execution
2025/03/05 SecurityOnline — The Document Foundation が発表したのは、任意のスクリプトを実行する攻撃者に対して、LibreOffice の悪用を許す脆弱性に対処する、セキュリティ・アップデートのリリースである。この脆弱性 CVE-2025-1080 (CVSS:7.2) が影響を及ぼす範囲は、LibreOffice のバージョン 24.8.5/25.2.1 未満となる。
Continue reading “LibreOffice の脆弱性 CVE-2025-1080 が FIX:悪意のマクロ実行の可能性”Open-source tool ‘Rayhunter’ helps users detect Stingray attacks
2025/03/05 BleepingComputer — Electronic Frontier Foundation (EFF) は、IMSI Catchers/Stingrays とも呼ばれる CSS (cell-site simulators) の検出のために設計された、Rayhunter という無料の OSS Tool をリリースした。Stingray デバイスは、正規のセル・タワーを模倣することで、モバイル・デバイスを騙して接続させ、機密データの窃取/正確な位置情報の不正取得/通信の傍受などを達成するものだ。
Continue reading “Rayhunter は OSS Sec Tool:IMSI Catchers/Stingrays と呼ばれる CSS を検出”Fix Inventory: Open-source cloud asset inventory tool
2025/03/05 HelpNetSecurity — Fix Inventory は、クラウド・インフラ・アカウントの、コンプライアンスとセキュリティ・リスクを検出するための OSS だ。クラウド・ネイティブ環境向けにゼロから構築されており、AWS/Google Cloud/Azure/DigitalOcean/Hetzner/Kubernetes/GitHub などの、300 を超えるクラウド・サービスを幅広くサポートしている。
Continue reading “Fix Inventory は OSS のクラウド・アセット・インベントリ:断片化されたクラウド環境を統合する”Vim Users Warned: Crafted TAR Files Could Trigger Code Execution (CVE-2025-27423)
2025/03/04 SecurityOnline — 人気のテキスト・エディタである Vim で発見された脆弱性 CVE-2025-27423 (CVSS 7.1) は、悪用に成功した攻撃者に対して、任意のコード実行をゆるす可能性があるものだ。この脆弱性は、Vim に同梱されている、tar アーカイブの表示/編集のために提供される、tar.vim プラグイン内に存在する。
Continue reading “Vim の脆弱性 CVE-2025-27423 が Fix:悪意の TAR ファイルによるコード実行の恐れ”CVE-2025-0912: Critical Flaw Exposes Over 100,000 WordPress Donation Sites to RCE
2025/03/04 SecurityOnline — WordPress で人気を誇る、ドネーション・プラグイン GiveWP に深刻なセキュリティ脆弱性が発見され、10 万以上の Web サイトが重大なリスクにさらされている。この脆弱性 CVE-2025-0912 は、CVSS スコアが 9.8 と評価され、最も深刻度の高い部類に入る。
Continue reading “WordPress GiveWP の脆弱性 CVE-2025-0912 が FIX:未認証での PHP インジェクション”Flaws in Rancher (CVE-2025-23388 & CVE-2025-23389) Expose Kubernetes Environments to Attacks
2025/03/03 SecurityOnline — OSS コンテナ管理プラットフォームである Rancher に存在する、2つの深刻な脆弱性に対処するセキュリティ・アドバイザリが、SUSE からリリースされた。この脆弱性 CVE-2025-23388/CVE-2025-23389 の悪用に成功した攻撃者は、サービス拒否 (DoS) 攻撃を開始し、ユーザーになりすます可能性を手にする。
Continue reading “Rancher の脆弱性 CVE-2025-23388/23389 が FIX:Kubernetes 環境でのサービス拒否などの恐れ”CVE-2024-47051 (CVSS 9.1): Critical RCE and File Deletion Flaws Expose 200,000+ Organizations
2025/03/02 SecurityOnline — Mautic プロジェクトが公開した、脆弱性 CVE-2024-47051 (CVSS:9.1) は、バージョン 5.2.3 以下に存在する深刻な欠陥である。この脆弱性の悪用に成功した攻撃者は、リモート・コード実行 (RCE) と任意のファイル削除を可能にするという。マーケティングの自動化に Mautic を活用している企業にとって、この脆弱性は深刻なセキュリティ脅威をもたらす。
Continue reading “Mautic の脆弱性 CVE-2024-47051 (CVSS 9.1) が FIX:200,000+ の組織に RCE の恐れ”CVE-2025-27110: ModSecurity Vulnerability Leaves Web Applications Exposed
2025/02/28 SecurityOnline — 人気のオープンソース WAF (Web Application Firewall) である ModSecurity に、新たな脆弱性 CVE-2025-27110 (CVSSv4:7.9) が発見された。この脆弱性が影響を及ぼす範囲は、libmodsecurity3 バージョン 3.0.13 であり、無数の Web アプリケーションが、攻撃に対して脆弱になる可能性が生じる。具体的に言うと、HTML エンティティの先頭にゼロを埋め込んだ、悪意のあるペイロードをエンコードさせることで、攻撃者はセキュリティ・ルールを回避できるという。
Continue reading “ModSecurity の脆弱性 CVE-2025-27110 が FIX:難読化された攻撃が可能に?”Gradle Build Automation Tool Vulnerable to Privilege Escalation (CVE-2025-27148)
2025/02/27 SecurityOnline — ソフトウェア・アプリケーションの構築/テスト/デプロイに使用される、人気の OSS 自動ビルド・ツール Gradle に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-27148 (CVSS:8.8) の悪用に成功したローカル攻撃者は、侵害したシステム上での権限昇格の可能性を手にする。
Continue reading “Gradle の脆弱性 CVE-2025-27148 が FIX:macOS の旧バージョンが危険”Account Takeover Vulnerability Found in Better Auth Library
2025/02/07 SecurityOnline — 人気の TypeScript 認証フレームワーク Better Auth ライブラリに、深刻なセキュリティ脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、セキュリティ対策を回避し、ユーザー・アカウント乗っ取りの可能性を手にする。
Continue reading “Better Auth Library のオープン・リダイレクトの脆弱性が FIX:CVE は未採番”LibreOffice Flaws Allow Attackers to Run Malicious Files on Windows
2025/02/27 gbhackers — 広く使用されている OSS オフィス・スイート LibreOffice に存在する、深刻度の高いセキュリティ脆弱性 CVE-2025-0514 が修正された。そのハイパーリンク処理メカニズムを悪用する攻撃者が、Windows システム上で悪意のファイル実行を達成する可能性があることを、研究者たちが発見した。
Continue reading “LibreOffice の脆弱性 CVE-2025-0514 が FIX:悪意の Windows ファイル実行の恐れ”CVE-2025-0475 & CVE-2025-0555: GitLab’s High-Risk Patch Now
2025/02/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、すべてのセルフ・マネージド GitLab インストールを、バージョン 17.9.1/17.8.4/17.7. 6へと、直ちにアップグレードするよう求めている。この緊急対応の要請は、機密性の高いユーザー・データを漏洩する可能性のある、深刻度の高いクロス・サイト・スクリプティング (XSS) などの、複数の脆弱性の発見を受けてのものとなる。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-0475/0555 などが FIX:XSS の恐れ”OpenSSF Releases Security Baseline for Open Source Projects
2025/02/26 SecurityWeek — 2025年2月25 (火) に、Linux Foundation の Open Source Security Foundation (OpenSSF) が発表したのは、オープンソース・ソフトウェアにおける最低限のセキュリティ要件の確立を目的とするプロジェクトのイニシャル・リリースである。
Continue reading “OpenSSF が Security Baseline をリリース:ベスト・プラクティス実装のためのガイダンス”CVE-2024-12084 & CVE-2024-12085: Rsync Flaws Allow Hackers to Take Over Servers, PoC Published
2025/02/25 SecurityOnline — 広く使用されるファイル同期 /データ転送ツール Rsync に、一連の高リスクの脆弱性が発見された。Rsync に存在する5つの深刻な脆弱性 CVE-2024-12084/12085/12086/12087/12088 に関する、技術的な詳細と PoC エクスプロイトを公開したのは、Google Cloud Vulnerability Research のセキュリティ研究者 Simon Scannell/Pedro Gallegos/Jasiel Spelman である。
Continue reading “Rsync の脆弱性 CVE-2024-12084/12085 などが FIX:アカウント乗っ取りと PoC のリリース”CVE-2025-24752: Massive WordPress Plugin Vulnerability Exposes Millions to XSS Attacks
2025/02/25 SecurityOnline — 広く使用されている WordPress プラグイン Essential Addons for Elementor に、深刻度の高いセキュリティ上の欠陥が発見され、200 万を超える Web サイトが危険にさらされているという。この脆弱性 CVE-2025-24752 の悪用に成功した攻撃者は、無防備なユーザーのブラウザに有害なスクリプトを挿入できる、反射型クロス・サイト・スクリプティング (XSS) の可能性を手にする。
Continue reading “WordPress プラグイン Essential Addons for Elementor の脆弱性 CVE-2025-24752 が FIX:XSS の可能性”OpenH264 Codec Vulnerability (CVE-2025-27091): Remote Code Execution Possible
2025/02/25 SecurityOnline — Cisco が公表したのは、OpenH264 コーデック・ライブラリの深刻度の高い脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27091 (CVSSv4:8.6) の悪用に成功したリモートの攻撃者は、ヒープ・オーバーフローをトリガーし、任意のコード実行の機会を得るという。
Continue reading “OpenH264 コーデックの脆弱性 CVE-2025-27091 が FIX:深刻な RCE の可能性”GRUB2 Bootloader Vulnerabilities Expose Millions of Systems to Attacks
2025/02/25 SecurityOnline — 数多くの Linux ディストリビューションで使用される人気のブートローダー GRUB2 に、一連の深刻な脆弱性が発見された。これらの脆弱性を悪用する攻撃者は、セキュリティ対策を回避しながら、世界中の何百万ものシステムを危険にさらす可能性を手にする。
Continue reading “GRUB2 ブートローダーの複数の脆弱性:さまざまな Linux システムに深刻な影響”CVE-2025-1128: Everest Forms Plugin Exposes 100,000+ WordPress Sites to Complete Takeover
2025/02/24 SecurityOnline — 人気の WordPress プラグイン Everest Forms で発見された、深刻なセキュリティ脆弱性 CVE-2025-1128 (CVSS:9.8:Critical) により、10 万以上の Web サイトが侵害のリスクに直面していることが判明した。この脆弱性の悪用に成功した未認証の攻撃者は、任意のファイルのアップロード/リモート・コードの実行/重要なコンフィグ・ファイルの削除などを達成し、サイト全体の乗っ取りの可能性を手にする。
Continue reading “WordPress Everest Forms Plugin の脆弱性 CVE-2025-1128 が FIX:サイト乗っ取りの可能性”CVE-2024-56171 & CVE-2025-24928: Libxml2 Flaws Could Lead to Code Execution
2025/02/23 SecurityOnline — XML 解析ライブラリ Libxml2 は、GNOME プロジェクト向けに開発され、Linux/Windows/macOS/Unix ベース・システムなどの、各種プラットフォームで広範に利用されるものだ。
Continue reading “Libxml2 の脆弱性 CVE-2024-56171/CVE-2025-24928 などが FIX:コード実行の可能性”CVE-2024-56000 (CVSS 9.8): Account Takeover Flaw in KLEO WordPress Theme
2025/02/21 SecurityOnline — WordPress の KLEOテーマに発見された、深刻な脆弱性を悪用する攻撃者は、ユーザー・アカウント乗っ取りの可能性を得るという。この KLEO テーマの脆弱性 CVE-2024-56000 (CVSS:9.8) は、カスタム要素とショートコード提供のためにバンドルされる、K Elements プラグインに影響を及ぼすものだ。WordPress エコシステムで 23,000 を超える販売数を誇る KLEO は、最も人気のあるプレミアム BuddyPress テーマの1つである。
Continue reading “WordPress KLEO Theme の脆弱性 CVE-2024-56000 (CVSS 9.8) が FIX:アカウント乗っ取りの可能性”Secure Boot Bypass: U-Boot Vulnerabilities Expose Embedded Devices
2025/02/20 SecurityOnline — エンベデッド・デバイス向けの人気ブートローダーである U-Boot が公表したのは、デバイスのセキュリティを侵害する可能性のある、複数の脆弱性に対処する重要なアップデートのリリースである。
Continue reading “U-Boot の複数の深刻な脆弱性が FIX:セキュア ブートの回避とコード実行の可能性”PRevent: Open-source tool to detect malicious code in pull requests
2025/02/20 HelpNetSecurity — ユーザー組織におけるソフトウェア開発ライフサイクルの一環として、悪意のコードの検出に有益となる OSS ツールが、Apiiro のセキュリティ研究者たちによりリリースされた。それらは、プルリクエストに対するスキャナーである PRevent と、悪意のコードを検出するルールセットSemgrep、静的コード用の分析ツール Opengrep で構成されている。
Continue reading “PRevent という OSS SecTool:GitHub プルリクエストで悪意のコードをスキャン”CVE-2025-1272: Fedora Linux Kernel Flaw Leaves Systems Vulnerable
2025/02/19 SecurityOnline — Fedora Linux に発見されたセキュリティ上の脆弱性により、システムが攻撃に対して脆弱になる可能性がある。この脆弱性 CVE-2025-1272 (CVSS:7.7) が影響を及ぼす範囲は、バージョン 6.12 以降の Linux カーネルのロックダウン・モードである。この重要なセキュリティ機能は、機密性の高いカーネル・リソースへのアクセス制限のために設計されているが、Fedora Linux ディストリビューションでは警告なしにデフォルトで無効化されてことが判明した。
Continue reading “Fedora Linux の CVE-2025-1272 が FIX:カーネル保護機能の欠落が判明”Kunai: Open-source threat hunting tool for Linux
2025/02/19 HelpNetSecurity — Kunai が、他と一線を画しているのは、単純なイベント生成にとどまらない能力である。ほとんどのセキュリティ監視ツールは、システムコールやカーネル関数のフックに依存しているが、Kunai はホスト上のイベントを相関させて分析情報を提供するという、より高度なアプローチを採用している。つまり、イベントの数は少なくなるが、意味のあるイベントが増え、ノイズやログ取り込みの負担が軽減される。それと同時に、システム・アクティビティに対する、より詳細な可視性が実現する。Kunai の開発者である Quentin Jerome は、このように Help Net Security に語っている。
Continue reading “Kunai という脅威ハンティング・ツール:イベント相関のための高度なアプローチとは?”CVE-2024-52577 (CVSS 9.5): Apache Ignite Vulnerability Could Allow Remote Code Execution
2025/02/18 SecurityOnline — 高性能コンピューティング用の人気の OSS 分散データベース Apache Ignite に、深刻度の高い脆弱性が発見された。この脆弱性 CVE-2024-52577 (CVSSv4:9.5) の悪用に成功したリモートの攻撃者は、脆弱な Ignite サーバ上で任意のコード実行の可能性を手にする。
Continue reading “Apache Ignite の脆弱性 CVE-2024-52577 (CVSS 9.5) が FIX:RCE の可能性”CVE-2025-26519 Exposes Applications Using musl libc to Remote Code Execution
2025/02/18 SecurityOnline — 組み込みシステムや、リソースが限られた環境で多用される、ライトウェイト C スタンダード・ライブラリ musl libc に深刻な脆弱性が発見された。その脆弱性 CVE-2025-26519 (CVSS 8.1) の悪用に成功した攻撃者は、脆弱なシステムで任意のコード実行の可能性を手にする。この脆弱性は、iconv() 関数内の入力制御における、範囲外書き込みプリミティブに起因する。
Continue reading “musl libc の脆弱性 CVE-2025-26519 が FIX:任意のコード実行の可能性”90,000 Sites at Risk: Jupiter X Core RCE Vulnerability (CVE-2025-0366)
2025/02/18 SecurityOnline — 90,000 を超えるアクティブ・インストールを誇る、人気の Jupiter X Core WordPress プラグインに脆弱性 CVE-2025-0366 が発見され、修正された。この脆弱性の悪用に成功した認証済の攻撃者は、脆弱なサイト上でリモート・コード実行 (RCE) の可能性を得るという。
Continue reading “WordPress Jupiter X Core プラグインの脆弱性 CVE-2025-0366 が FIX:RCE の恐れ”New OpenSSH flaws expose SSH servers to MiTM and DoS attacks
2025/02/18 BleepingComputer — OpenSSH が公表したのは、MitM (machine-in-the-middle) とサービス拒否の、2つの脆弱性に対処するセキュリティ・アップデートのリリースである。この脆弱性のうちの1つは 10年以上も前に混入したものである。この2つの脆弱性を発見した Qualys は、OpenSSH のメンテナーたちに対して、その悪用の可能性を実証したという。
Continue reading “OpenSSH の脆弱性 CVE-2025-26465/26466 が FIX:MiTM と DoS 攻撃の可能性”Linux Kernel 6.14 rc3 Released With The Fixes for Critical Issues
2025/02/17 gbhackers — Linus Torvalds が発表したのは、Linux Kernel 6.14-rc3 のリリースである。このリリースは、次期カーネル・バージョン 6.14 の安定化に向けた、重要なマイルストーンになるという。このリリース・キャンディデートでは、アーキテクチャの脆弱性に対処し、ドライバー開発を効率化するための、ライトウェイトな “Faux Bus” フレームワークが導入されている。
Continue reading “Linux Kernel 6.14 rc3 がリリース:いくつかの弱点の修正とドライバー開発の簡素化”LibreOffice Vulnerabilities (CVE-2024-12425 & CVE-2024-12426): PoCs Released, Patch ASAP
2025/02/17 SecurityOnline — LibreOffice に存在する2つの脆弱性を、Codean Labs のサイバー・セキュリティ研究者たちが発見した。これらの脆弱性の悪用に成功した攻撃者は、環境変数やコンフィグ・ファイルに関連する、任意の書き込みやリモート・データの抽出が可能になる。任意のファイル書き込みの脆弱性 CVE-2024-12425 と、リモート・ファイル読み取りの脆弱性 CVE-2024-12426 は、基本的にユーザーの操作を必要としないため、デスクトップ/サーバ環境での悪用の可能性が高くなる。
Continue reading “LibreOffice の脆弱性 CVE-2024-12425/12426 が FIX:深刻な情報漏洩と PoC のリリース”CVE-2024-12562: Critical s2Member Pro Flaw Leaves Millions of WordPress Sites Vulnerable
2025/02/17 SecurityOnline — WordPress の人気プラグイン s2Member Pro に、深刻なセキュリティ脆弱性が発見され、数百万の Web サイトに影響が及ぶ可能性があるという。この脆弱性 CVE-2024-12562 (CVSS:9.8) の悪用に成功した未認証の攻撃者には、脆弱なサイトへの悪意の PHP オブジェクト・インジェクションが許される可能性が生じる。
Continue reading “WordPress s2Member Pro の脆弱性 CVE-2024-12562 が FIX:PHP オブジェクト挿入の可能性”CVE-2022-31631 (CVSS 9.1): Critical PHP Flaw Exposes Websites to SQL Injection Attacks
2025/02/16 SecurityOnline — PHP で発見された深刻な脆弱性により、Web サイトやアプリケーションが SQL インジェクション攻撃にさらされる可能性が生じている。ユーザーに対して、強く推奨されるのは、可能な限り早急に、最新バージョンへと PHP を更新することだ。
Continue reading “PHP の深刻な脆弱性 CVE-2022-31631 (CVSS 9.1) が FIX:SQLite との不整合から SQLi にいたる恐れ”Mailcow Patches Password Reset Poisoning Vulnerability (CVE-2025-25198)
2025/02/16 SecurityOnline — 人気の OSS メール・サーバ・スイート Mailcow が公表したのは、攻撃者によるユーザー・アカウントの乗っ取りが生じ得る、深刻な脆弱性に対処するパッチのリリースである。この脆弱性 CVE-2025-25198 (CVSS:7.1:High) は、パスワード・リセット・ポイズニングに関係するものだという。
Continue reading “Mailcow の脆弱性 CVE-2025-25198 が FIX:パスワード・リセット・ポイズニングの恐れ”CVE-2024-32838 (CVSS 9.4): Critical SQL Injection Flaw Threatens Apache Fineract Users
2025/02/13 SecurityOnline — デジタル金融サービスのコア・バンキング・システムの構築に使用される、人気の OSS プラットフォーム Apache Fineract に、深刻なセキュリティ脆弱性が発見された。その脆弱性 CVE-2024-32838 は、金融機関とユーザーに深刻なリスクをもたらすが、Fineract サービスの重要なユーザーである、銀行口座を持たない人々や、銀行口座を十分に利用できない人々に対して、顕著な影響が生じることになる。
Continue reading “Apache Fineract の脆弱性 CVE-2024-32838 (CVSS 9.4) が FIX:深刻な SQLi の恐れ”XSS Flaw in Apache Atlas (CVE-2024-46910) Puts Data Governance at Risk
2025/02/13 SecurityOnline — Hadoop などのエンタープライズ・ データ・エコシステムで広く使用される、OSS のガバナンス/メタデータ管理ツール Apache Atlas に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-46910 を悪用する攻撃者は、クロス・サイト・スクリプティング (XSS) 攻撃を仕掛け、他のユーザーになりすます可能性があるため、データ・ガバナンスとセキュリティに重大なリスクをもたらすという。
Continue reading “Apache Atlas の XSS 脆弱性 CVE-2024-46910 が FIX:データ・ガバナンス弱体化の恐れ”GitLab Patches High-Severity XSS Flaw (CVE-2025-0376) and Other Security Flaws in Latest Release
2025/02/12 SecurityOnline — GitLab が発行したセキュリティ・アドバイザリは、深刻度の高いクロス・サイト・スクリプティング (XSS) などの脆弱性に対処するものであり、ユーザーに対して速やかな更新を促すものである。GitLab Community Edition (CE)/Enterprise Edition (EE) のバージョン 17.8.2/17.7.4/17.6.5 を対象とする、今回のアップデートに取り込まれたのは、合計で9件のセキュリティ問題に対する修正である。
Continue reading “GitLab の深刻な XSS の脆弱性 CVE-2025-0376 などが FIX:その他の6件の欠陥にも対応”CVE-2025-24016 (CVSS 9.9): Critical RCE Vulnerability Discovered in Wazuh Server
2025/02/11 SecurityOnline — OSS セキュリティ・ ソリューションの大手プロバイダー Wazuh が発行したのは、同社のプラットフォームに影響を及ぼす、リモート・コード実行の脆弱性に関する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2025-24016 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱な Wazuh サーバの完全な制御を奪う機会を手にする。
Continue reading “Wazuh Server の脆弱性 CVE-2025-24016 (CVSS 9.9) が FIX:PoC もリリース”CVE-2024-12366: Prompt Injection in PandasAI Enables Full System Compromise
2025/02/11 SecurityOnline — SinaptikAI が提供する OSS の AI 搭載データ分析ライブラリ PandasAI で、新たに公開されたセキュリティ脆弱性により、プロンプト・インジェクション攻撃によるリモート・コード実行 (RCE) の可能性が生じることが判明した。この脆弱性 CVE-2024-12366 を悪用する攻撃者は、自然言語プロンプトを操作して任意の Python コードを実行し、システム侵害を引き起こす機会を手にする。
Continue reading “PandasAI の脆弱性 CVE-2024-12366 が FIX:Python コードの実行”2025/02/11 SecurityOnline — Linux システムにおける、X.509 証明書ベースのユーザー・ログインに広く使用されている、PAM-PKCS#11 ログイン・モジュールに、複数の深刻なセキュリティ脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、認証メカニズムをバイパスし、システムへの不正アクセスを達成し、権限を昇格させる機会を手にする。
Continue reading “Linux PAM-PKCS#11 の脆弱性 CVE-2025-24032/24531 が FIX:認証バイパスの恐れ”CVE-2024-12797 – High-Severity OpenSSL Flaw: Update Now to Prevent MITM Attacks
2025/02/11 SecurityOnline — 無数の Web サイトやオンライン・サービスを保護するために広く使用されている、暗号化ライブラリである OpenSSL に、深刻な脆弱性が発見された。その脆弱性 CVE-2024-12797 は、従来からの X.509 証明書に代わる認証方法である、Raw Public Keys (RPK) の実装に影響するものだ。
Continue reading “OpenSSL RPK の深刻な脆弱性 CVE-2024-12797 が FIX:MITM 攻撃の可能性”Beelzebub: Open-source honeypot framework
2025/02/10 HelpNetSecurity — Beelzebub は、サイバー脅威を検出/分析するための、安全な環境を設計する OSS のハニーポット・フレームワークだ。ローコード設計によるシームレスな導入を特徴とし、高インタラクション・ハニーポットの振舞を、AI を活用してエミュレートする。
Continue reading “Beelzebub は OSS のハニーポット:LLM モジュールで高インタラクションを実現”CVE-2025-25064 (CVSS 9.8): Critical SQL Injection Bug in Zimbra Collaboration
2025/02/09 SecurityOnline — 広く使用されている OSS の電子メール/コラボレーション・プラットフォームで Zimbra Collaboration に、2つのセキュリティ脆弱性 CVE-2025-25064/CVE-2025-25065 が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データや内部ネットワーク・リソースへの不正アクセスを達成し、電子メール/カレンダー/ファイル共有/タスク管理などに深刻なリスクをもたらす。
Continue reading “Zimbra Collaboration の脆弱性 CVE-2025-25064/25065 が FIX:SQLi と SSRF”7,000 Exposed Ollama APIs Leave DeepSeek AI Models Wide Open to Attack\
2025/02/07 HackRead — 実行中の AI モデルへのアクセスを提供する、オープンな Ollama API に関連する脆弱性を、サードパーティ・リスク管理企業 UpGuard のサイバーセキュリティ研究者たちが特定した。これらのオープン API は、モデル所有者にセキュリティ上のリスクをもたらすだけではなく、DeepSeek などの特定の AI モデルの採用率と地理的分布といった、データを測定するユニークな機会も提供してしまう。
Continue reading “Ollama API と DeepSeek のブーム:どのような AI リスクが生じるのだろうか?”
IoT OT Security News 
You must be logged in to post a comment.