CVE-2024-12797 – High-Severity OpenSSL Flaw: Update Now to Prevent MITM Attacks
2025/02/11 SecurityOnline — 無数の Web サイトやオンライン・サービスを保護するために広く使用されている、暗号化ライブラリである OpenSSL に、深刻な脆弱性が発見された。その脆弱性 CVE-2024-12797 は、従来からの X.509 証明書に代わる認証方法である、Raw Public Keys (RPK) の実装に影響するものだ。
Continue reading “OpenSSL RPK の深刻な脆弱性 CVE-2024-12797 が FIX:MITM 攻撃の可能性”Beelzebub: Open-source honeypot framework
2025/02/10 HelpNetSecurity — Beelzebub は、サイバー脅威を検出/分析するための、安全な環境を設計する OSS のハニーポット・フレームワークだ。ローコード設計によるシームレスな導入を特徴とし、高インタラクション・ハニーポットの振舞を、AI を活用してエミュレートする。
Continue reading “Beelzebub は OSS のハニーポット:LLM モジュールで高インタラクションを実現”CVE-2025-25064 (CVSS 9.8): Critical SQL Injection Bug in Zimbra Collaboration
2025/02/09 SecurityOnline — 広く使用されている OSS の電子メール/コラボレーション・プラットフォームで Zimbra Collaboration に、2つのセキュリティ脆弱性 CVE-2025-25064/CVE-2025-25065 が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データや内部ネットワーク・リソースへの不正アクセスを達成し、電子メール/カレンダー/ファイル共有/タスク管理などに深刻なリスクをもたらす。
Continue reading “Zimbra Collaboration の脆弱性 CVE-2025-25064/25065 が FIX:SQLi と SSRF”7,000 Exposed Ollama APIs Leave DeepSeek AI Models Wide Open to Attack\
2025/02/07 HackRead — 実行中の AI モデルへのアクセスを提供する、オープンな Ollama API に関連する脆弱性を、サードパーティ・リスク管理企業 UpGuard のサイバーセキュリティ研究者たちが特定した。これらのオープン API は、モデル所有者にセキュリティ上のリスクをもたらすだけではなく、DeepSeek などの特定の AI モデルの採用率と地理的分布といった、データを測定するユニークな機会も提供してしまう。
Continue reading “Ollama API と DeepSeek のブーム:どのような AI リスクが生じるのだろうか?”Apache James Mail Server Hit by Double Denial-of-Service Vulnerabilities
2024/02/06 SecurityOnline — 広く使用されている OSS ソリューション Apache James (Java Apache Mail Enterprise Server) メール・サーバーは、サービス拒否 (DoS) 攻撃に対する脆弱性が存在していることが判明した。脆弱性 CVE-2024-45626/CVE-2024-37358 の悪用に成功した攻撃者は、悪意のあるリクエストでサーバを圧倒し、電子メール・サービスの妨害を達成するとされる。
Continue reading “Apache James Mail Server の脆弱性 CVE-2024-45626/37358 が FIX:サービス拒否攻撃の可能性”F5 Warns of TLS Session Resumption Vulnerability in NGINX (CVE-2025-23419)
2025/02/05 SecurityOnline — F5 が発行したのは、人気の Web サーバ・ ソフトウェア NGINX に存在する脆弱性に関するセキュリティ・アドバイザリ警告である。この脆弱性 CVE-2025-23419 の悪用に成功した攻撃者は、クライアント証明書の認証をバイパスし、機密リソースへの不正アクセスの可能性を手にする。
Continue reading “NGINX の脆弱性 CVE-2025-23419 が FIX:TLS Session 再開の問題”2025/02/05 SecurityOnline — 人気の OSS NoSQL データベース Apache Cassandra だが、深刻な脆弱性に直面しており、機密データへの不正アクセスや不正操作が生じる可能性があるという。Cassandra の各バージョンに影響を及ぼす、3件の明確なセキュリティ上の欠陥が特定されている。したがって、このプラットフォームに依存して、ミッション・クリティカルなデータを運用する組織に、深刻な懸念が生じている。
Continue reading “Apache Cassandra の複数の深刻な脆弱性が FIX:認証バイパスや権限昇格の恐れ”DeepSeek’s popularity exploited to push malicious packages via PyPI
2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。
Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”CVE-2025-0851 (CVSS 9.8): Deep Java Library Vulnerability Allows Path Traversal Exploits
2025/02/02 SecurityOnline — ZipUtils.unzip/TarUtils.untar ユーティリティに、パス・トラバーサルの脆弱性 CVE-2025-0851 (CVSS 9.8) が発見された。これらのユーティリティは、DJL (Deep Java Library) で用いられるモデルをロードする際に、tar/zip モデル・アーカイブを抽出するために使用される。この問題は、DJL のバージョン 0.1.0〜0.31.0 に影響を及ぼすものであり、抽出プロセス中の絶対パス・トラバーサルに対する不十分な保護により発生する。
Continue reading “Deep Java Library の脆弱性 CVE-2025-0851 (CVSS 9.8) が FIX:パス・トラバーサルの恐れ”.Gov No More: Government Domains Weaponized in Phishing Surge
2025/02/02 SecurityOnline — 最近の Cofense Intelligence レポートで明らかになったのは、フィッシング・キャンペーンで .gov TLD (top-level domains) を悪用する脅威アクターが増えているという、懸念すべき傾向である。この2年間 (2022年1 月~ 2024年11月) において攻撃者たちは、複数の国々の政府 Web サイトにおいて、そこに存在する脆弱性の悪用や、悪意のコンテンツのホスト、Command and Control (C2) サーバとしての悪用、認証情報フィッシング・サイトへのユーザーのリダイレクトなどを行ってきた。
Continue reading ““.gov” は信用できない?数多くのフィッシング・キャンペーンにおける悪用の実態”PyPI adds project archiving system to stop malicious updates
2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。
Continue reading “PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止”CVE-2024-56529: mailcow Patches Session Fixation Vulnerability in Web Panel
2025/02/01 SecurityOnline — OSS メールサーバ・プラットフォームである mailcow プロジェクトは、攻撃者にユーザー・セッションを乗っ取られる可能性がある、セッションの固定化の脆弱性に対処した。
Continue reading “mailcow メールサーバの脆弱性 CVE-2024-56529 が FIX:Web Panel への不正アクセス”DeepSeek AI Leaks Over a Million Chat Logs and Sensitive Data Online
2025/01/30 HackRead — 中国の AI 企業 DeepSeek が、OpenAI のシステムに匹敵する AI モデルで名を馳せている。しかし、同社の台頭につれて、深刻なセキュリティ問題が発生している。Wiz の研究者が発見したのは、同社に関連付けられたデータベースが一般公開されており、100 万件を超えるログ・エントリ/バックエンドの詳細/ソフトウェア・キーなどが公開されている状況である。
Continue reading “DeepSeek からリークした大量のデータ:チャット・ログや機密情報が流出”CVE-2024-23953 and CVE-2024-29869: Apache Hive Patches Two Important Security Flaws
2025/01/30 SecurityOnline — 先日に Apache Hive プロジェクトが公表したのは、データ・レイク・システムへの侵害を攻撃者に許す可能性のある、2つの深刻なセキュリティ脆弱性への対処の完了である。ビッグ・データ環境の基盤として多用される Apache Hive は、大規模なデータセットに対する、SQL ベースの分析を可能にするという重要な役割を果たすものだ。その Hive Metastore (HMS) は、メタデータのセンタライズされたリポジトリとして機能するため、運用の妨害や機密情報への不正アクセスを試みる攻撃者の、主要なターゲットにされている。
Continue reading “Apache Hive の深刻な脆弱性 CVE-2024-23953/29869 が FIX:署名の偽造と過度の資格付与”Unpatched PHP Voyager Flaws Leave Servers Open to One-Click RCE Exploits
2025/01/30 TheHackerNews — オープンソースの PHP パッケージ Voyager に、3件のセキュリティ上の欠陥が発見された。それらを悪用する攻撃者は、影響を受けるインスタンス上で、ワンクリックのリモート・コード実行を達成するという。Sonar の研究者である Yaniv Nizry は、「認証された Voyager ユーザーが、悪意のリンクをクリックすると、攻撃者はサーバ上で任意のコードを実行できる」と、今週の初めに公開した記事で述べている。
Continue reading “PHP Voyager の脆弱性 CVE-2024-55415/55416/55417:パッチ未適用の One-Click RCE”2025/01/29 SecurityOnline — Linux Kernel の eBPF (Extended Berkeley Packet Filter) フレームワークに発見された2つの脆弱性は、AF_XDP ソケットによる高性能パケット処理機能に影響を及ぼすものだ。それらの脆弱性 CVE-2024-56614/CVE-2024-56615 (CVSS:7.8) は、深刻なセキュリティ・リスクを引き起こす可能性があるとされている。この脆弱性を悪用する攻撃者は、重要な関数で整数オーバーフロー・エラーを引き起こし、境界外書き込みやメモリ破損などを可能にするとされる。
Continue reading “Linux Kernel eBPF の脆弱性 CVE-2024-56614/56615 が FIX:PoC もリリース”Password Management at Risk: Vaultwarden Vulnerabilities Expose Millions
2025/01/29 SecurityOnline — Bitwarden に替わる人気の OSS パスワード管理サーバ Vaultwarden に、複数の深刻な脆弱性が発見された。これらの脆弱性の悪用に成功した攻撃者は、管理機能への不正アクセスを達成し、任意のコードを実行することで、このプラットフォームを使用している組織内で権限を昇格させる可能性を手にする。
Continue reading “Vaultwarden パスワード管理の複数の脆弱性が FIX:速やかなアップデートが必須!”CVE-2025-22604 (CVSS 9.1): Remote Code Execution Flaw in Cacti, PoC Released
2025/01/28 SecurityOnline — Cacti が公開したセキュリティ勧告は、同社のネットワーク監視ソフトウェアに存在する、深刻な脆弱性 CVE-2025-22604 (CVSS:9.1) に対処するものだ。この脆弱性の悪用に成功した認証済みの攻撃者は、システム上でのリモート・コード実行を達成し、機密データへの不正アクセスや、ネットワーク運用妨害の可能性を手にする。
Continue reading “Cacti の RCE 脆弱性 CVE-2025-22604 (CVSS 9.1) が FIX:PoC エクスプロイトも提供”2025/01/28 SecurityOnline — Server/App/DB 管理する OSS プラットフォームである Coolify で、3つの深刻なセキュリティ脆弱性が発見された。これらの脆弱性 CVE-2025-22612/CVE-2025-22611/CVE-2025-22609 の悪用に成功した攻撃者は、リモート コード実行 (RCE) を達成し、影響を受けるシステムを完全に制御する可能性を手にする。
Continue reading “Coolify の深刻な脆弱性 CVE-2025-22609/22611/22612 が FIX:CVSS スコアは 10.0”Authentication Bypass in Deepin D-Bus Proxy Service (CVE-2025-23222): A Critical Design Flaw Exposed
2025/01/28 SecurityOnline — Deepin デスクトップ環境の dde-api-proxy サービスに、重大なセキュリティ脆弱性 CVE-2025-23222 (CVSS:8.4) が発見され、SUSE セキュリティ・チームの Matthias Gerstner から、詳細なレポートが公開されている。このレポートが浮き彫りにするのは、Deepin の認証メカニズムにおける設計上の重大な欠陥である。この脆弱性の悪用に成功したローカルの攻撃者は、権限を昇格させ、不正な操作を実行するとされる。
Continue reading “Deepin D-Bus における認証バイパスの脆弱性 CVE-2025-23222:特権昇格の可能性”CVE-2024-56626 & CVE-2024-56627: Critical Linux Kernel SMB Server Bugs Uncovered, PoC Published
2025/01/27 SecurityOnline — Linux カーネル・サーバ内の SMB モジュールである KSMBD に、2つの重大な脆弱性 CVE-2024-56626/CVE-2024-56627 が存在することが、セキュリティ研究者の Jordy Zomer により発見された。これらの脆弱性の悪用に成功した攻撃者は、脆弱なシステムを制御する可能性を手にする。
Continue reading “Linux Kernel SMB サーバの深刻な脆弱性 CVE-2024-56626/56627 が FIX:PoC も公開”Bitwarden makes it harder to hack password vaults without MFA
2025/01/27 BleepingComputer — OSS パスワード・マネジャーである Bitwarden が発表したのは、2FA で保護されていないアカウントに対する、新たなセキュリティ対策だ。具体的には、セキュリティ・レイヤーを追加し、アカウントへのアクセスを許可する前に、ユーザーによる認証を求めるというものだ。
Continue reading “Bitwarden の新たなセキュリティ対策:2FA 未設定のアカウント向けのハッキング防止策”CVE-2024-55573 & CVE-2024-53923: Centreon Hit by Critical SQL Injection Flaws
2025/01/27 SecurityOnline — 人気のオープンソース IT 監視ツール Centreon がリリースした緊急セキュリティ・アップデートは、2つの深刻な SQL インジェクション脆弱性 CVE-2024-55573/CVE-2024-53923 に対処するためのものだ。これらの脆弱性の悪用に成功した認証済みの攻撃者は、脆弱なシステム上で高権限を用いて、悪意のコード実行の可能性を手にする。
Continue reading “Centreon の SQLi 脆弱性 CVE-2024-55573/53923 が FIX:直ちにアップデートを!”Multiple Git flaws led to credentials compromise
2025/01/27 SecurityAffairs — Git クレデンシャル・プロトコルに複数の脆弱性が存在することが、GMO Flatt Security のセキュリティ研究者である RyotaK により明らかにされた。これらの脆弱性は、Git 認証情報取得プロトコルにおけるメッセージの不適切な処理に起因し、ユーザー認証情報へのアクセスを、攻撃者に許す可能性があるという。
Continue reading “Git に CVE-2025-23040 などの複数の脆弱性:認証情報の漏洩の可能性”Brave Desktop Browser Vulnerability Lets Malicious Sites Appear Trusted
2025/01/27 HackRead — 人気の Brave ブラウザに発見された、深刻なセキュリティ脆弱性を悪用する Web サイトによりユーザーが騙され、信頼できるソースとやり取りしていると信じ込まされている状況が判明した。この脆弱性 CVE-2025-23086 (CWE-60) は、Brave デスクトップ版の 1.70.x 〜 1.73.x に影響を及ぼすものだ。
Continue reading “Brave の脆弱性 CVE-2025-23086 がFIX:オリジン URL 表示の問題”2025/01/27 SecurityOnline — 信頼性が高くスケーラブルな検索プラットフォームで知られる、Apache Solr プロジェクトがリリースしたのは、2件の深刻な脆弱性に対処するセキュリティ・アップデートである。脆弱性 CVE-2024-52012/CVE-2025-24814 が影響を及ぼす範囲は、Apache Solr のバージョン 6.6 〜 9.7 となる。
Continue reading “Apache Solr の脆弱性 CVE-2024-52012/24814 が FIX:ただちにパッチを!”Podman and Buildah Vulnerable to Container Breakout – CVE-2024-11218
2025/01/26 SecurityOnline — 人気のコンテナ・ツールである Podman と Buildah に、深刻な脆弱性 CVE-2024-11218 (CVSS:8.6) が発見された。この脆弱性の悪用に成功した攻撃者は、コンテナ・エスケープを達成し、ホスト・システム上の機密情報へのアクセスを可能にするという。この脆弱性は競合状態に起因するものであり、”–jobs=2″ フラグを使用して、悪意の Containerfile を構築する際に発生する。それにより攻撃者は、RUN 命令の “–mount” フラグを悪用して、ホスト上のコンテンツをコンテナに公開できるようになる。
Continue reading “Podman/Buildah の脆弱性 CVE-2024-11218 が FIX:ただちにパッチ適用を!”CVE-2024-50050: Critical Security Flaw in Meta’s Llama-Stack Framework
2025/01/25 SecurityOnline — Generative AI (GenAI) アプリケーションの構築と展開において、人気を博している OSS フレームワーク Meta Llama-Stack に、深刻な脆弱性 CVE-2024-50050 が存在することを、Oligo Research チームが報告した。pyzmq ライブラリの、安全が確保されない使用による生じる、この脆弱性を悪用するリモートの攻撃者は、任意のコード実行を達成し、AI モデルのホスティング/データの整合性/システムのセキュリティに対して、重大なリスクをもたらすという。
Continue reading “Meta Llama-Stack の脆弱性 CVE-2024-50050 が FIX:PoC も提供”Critical Flaw CVE-2024-53299 in Apache Wicket: Memory Leak Flaw Exposes Web Apps to DoS Attacks
2025/01/25 SecurityOnline — 人気の Java ベースの Web App フレームワーク Apache Wicket に、きわめて深刻な脆弱性 CVE-2024-53299 が存在することが判明した。この脆弱性の悪用に成功した攻撃者は、意図的にメモリ・リークをトリガーし、影響を受ける Web アプリケーションに対してサービス拒否 (DoS) 攻撃を仕掛けられることが分かった。
Continue reading “Apache Wicket の深刻な脆弱性 CVE-2024-53299 が FIX:DoS 攻撃の恐れ”CVE-2024-43707: Kibana Patches High Severity Vulnerability Exposing Sensitive Information
2025/01/23 SecurityOnline — データ視覚化/探索のための OSS ツール Kibana がリリースしたセキュリティ・アップデートは、2つの脆弱性 CVE-2024-43707/CVE-2024-43710 に対処するものだ。すべてのユーザーに推奨されるのは、これらの脆弱性が修正されたバージョン 8.15.0へと、直ちにアップグレードすることである。
Continue reading “Kibana の脆弱性 CVE-2024-43707/43710 が FIX:情報漏えい/SSRF の可能性”phpMyAdmin Patches XSS Vulnerabilities in Latest Release
2025/01/23 SecurityOnline — MySQL/MariaDB データベース管理で人気を博す、Web ベースツールである phpMyAdmin は、最新リリースであるバージョン 5.2.2 で、2件クロス・サイト・スクリプティング (XSS) の脆弱性に対処した。“Check tables” の脆弱性 CVE-2025-24530 および “Insert” 機能の脆弱性 CVE-2025-24529 を悪用する攻撃者は、アプリケーションに対する悪意のスクリプト挿入を達成し、ユーザー・アカウントや機密情報などのデータに、不正アクセスする可能性を手にする。
Continue reading “phpMyAdmin の XSS の脆弱性 CVE-2025-24529 が FIX:ただちにアップデートを!”Cisco warns of denial of service flaw with PoC exploit code
2025/01/22 BleepingComputer — Cisco がリリースしたセキュリティ・アップデートは、すでに PoC エクスプロイト・コードが公開されている、ClamAV の脆弱性 CVE-2025-20128 を修正するものだ。脆弱性 CVE-2025-20128 の原因は、Object Linking and Embedding 2 (OLE2) 復号ルーチンにおけるヒープベース・バッファ・オーバーフローの欠陥にある。この脆弱性の悪用に成功した未認証のリモートの攻撃者は、脆弱性のあるデバイス上でサービス拒否 (DoS) 状態を引き起こせるという。
Continue reading “Cisco ClamAV の DoS 脆弱性 CVE-2025-20128 が FIX:すでに PoC が提供”2025/01/21 SecurityOnline — 世界中で 8,743以上の販売実績を誇る、WordPress のプレミアム広告テーマ AdForest に、深刻な脆弱性 CVE-2024-12857 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、認証メカニズムを完全バイパスする可能性を手にする。
Continue reading “WordPress AdForest Theme の脆弱性 CVE-2024-12857 が FIX:認証バイパスの可能性”CVE-2025-23083: Node.js Vulnerability Exposes Sensitive Data and Resources
2025/01/21 SecurityOnline — Node.js プロジェクトがリリースしたのは、攻撃者に対してワーカー権限のバイパスを許す可能性の、深刻度の高い欠陥などの、いくつかのセキュリティ脆弱性に対処するアップデートである。
Continue reading “Node.js の脆弱性 CVE-2025-23083 などが FIX:機密のデータ/リソースへの不正アクセス”Fleet: Open-source platform for IT and security teams
2025/01/21 HelpNetSecurity — Fleet は、何千台ものコンピューターを管理する IT/Security チーム向けに提供される OSS プラットフォームである。そのために、API/GitOps/Webhook/YAML コンフィグレーションと、シームレスに連携するように設計されている。
Continue reading “Fleet は IT/Security チームのための OSS ツール:パッチ適用から MDM にいたるサービス”Critical Apache Ambari Security Vulnerabilities Discovered: What You Need to Know
2025/01/21 SecurityOnline — 人気の Hadoop 管理プラットフォーム Apache Ambari に存在する深刻な脆弱性により、リモート・コード実行やデータ侵害の可能性が生じている。先日に Apache Software Foundation が発表したのは、Hadoop クラスターの管理に使用されるプラットフォーム Apache Ambari に影響を及ぼす、3件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性の深刻度は Moderate 〜 Important であり、機密データへの不正にアクセスや、悪意のコード実行を、攻撃者に許すものだとされる。
Continue reading “Apache Ambari の脆弱性 CVE-2025-23195/23196 などが FIX:RCE などの可能性”Yubico Addresses Authentication Bypass Vulnerability CVE-2025-23013 in pam-u2f Package
2025/01/16 SecurityOnline — セキュリティ・キーおよび認証ソリューションの、大手プロバイダである Yubico が公開したセキュリティ勧告は、同社の OSS パッケージ pam-u2f に存在する認証バイパスの脆弱性 CVE-2025-23013 に対応するものだ。
Continue reading “Yubico pam-u2f の脆弱性 CVE-2025-23013 が FIX:認証バイパスの可能性”CVE-2024-52281: Rancher Vulnerability Exposes Users to Stored XSS Attacks
2025/01/16 SecurityOnline — Kubernetes の導入に広く使用さる OSS コンテナ管理プラットフォーム Rancher に、深刻な脆弱性 CVE-2024-52281 (CVSS:8.9) が発見された。この蓄積型クロス・サイト・スクリプティング (XSS) の欠陥を悪用する攻撃者は、任意の JavaScript コードの実行を達成し、プロダクション環境を重大なリスクにさらす可能性を手にする。
Continue reading “Rancher の蓄積型 XSS の脆弱性 CVE-2024-52281 が FIX:ただちにパッチを!”CVE-2024-9636: Popular WordPress Plugin ComboBlocks Exposes Thousands of Sites to Complete Takeover
2025/01/16 SecurityOnline — WordPress のプラグインである ComboBlocks (旧 Post Grid) に、深刻な脆弱性 CVE-2024-9636 (CVSS:9.8) が発見された。Web サイトのデザインと機能を強化するプラグインとして人気の ComboBlocks を使用している、4万以上の Web サイトが、この脆弱性による完全な乗っ取りの危険に晒されている。この脆弱性の悪用に成功した未認証の攻撃者は、管理者としてアカウントを登録し、影響を受ける Web サイトを完全に制御する可能性を手にする。
Continue reading “WordPress ComboBlocks の脆弱性 CVE-2024-9636 が FIX:4万件のサイトが危険な状態に”Cyber Insights 2025: Open Source and Software Supply Chain Security
2025/01/15 SecurityWeek — RapidFort の CEO である Mehran Farimani は、「これまでの 10年間を経て、Open Source Software (OSS) は主要な脅威ベクターとなった。その理由は、500万を超える OSS パッケージが提供されているという、きわめて単純な数字にある」と説明する。Endor Labs の Chief Security Advisor である Chris Hughes は、「これまでの 10年間で、OSS の採用は飛躍的に増加しており、減速の兆候は見られない。現時点において OSS は、最新のコードベースの約 90% に存在し、それらのコードベースの 70~80% を占めている」と指摘する。
Continue reading “2025年のセキュリティを考える:OSS とソフトウェア・サプライチェーンに注目すべきだ”Critical Vulnerability in Rasa Framework Enables Remote Code Execution (CVE-2024-49375)
2025/01/15 SecurityOnline — 人気のオープンソース・フレームワークである Rasa に、深刻な脆弱性 CVE-2024-49375 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、悪意を持って細工したデルをリモートから読み込むことで、リモート・コード実行 (RCE:Remote Code Execution) の可能性を手にする。Rasa は、テキスト/音声ベースの会話型 AI アプリケーション開発に使用されており、そのダウンロード数は 2500万件以上を記録し、機械学習の導入における重要な基盤となっている。
Continue reading “Rasa フレームワークの脆弱性 CVE-2024-49375 が FIX:RCE の可能性”2025/01/15 SecurityOnline — 機械学習のデモや Web アプリ開発で人気を博す、Python ライブラリ Gradio において、深刻な脆弱性 CVE-2025-23042 (CVSS:9.1) に対するパッチが適用された。この脆弱性が悪用されると、Access Control List (ACL) のバイパスが生じ、機密ファイルが暴露する恐れがある。
Continue reading “Gradio の脆弱性 CVE-2025-23042 が FIX:機密ファイルの漏洩に至る可能性”CVE-2024-9042: Code Execution Vulnerability Found in Kubernetes Windows Nodes
2025/01/15 SecurityOnline — Kubernetes の Windows Worker Nodes に影響をおよぼす、新たな脆弱性 CVE-2024-9042 (CVSS:5.9) が発見された。この脆弱性の悪用に成功した攻撃者は、ノードの “/logs” エンドポイントの悪用を達成し、ホストマシン上での任意のコマンド実行の可能性を手にする。
Continue reading “Kubernetes の Windows Nodes の脆弱性 CVE-2024-9042:任意のコード実行の可能性”CVE-2024-12365: Popular WordPress Caching Plugin Exposes Millions of Sites to Attack
2025/01/15 SecurityOnline — 人気の W3 Total Cache プラグインで発見された深刻度の高い脆弱性により、100 万を超える WordPress Web サイトが危険にさらされている。W3 Total Cache は、Web サイトのパフォーマンスを向上させ、検索エンジンを最適化するためのプラグインである。このプラグインに存在する、脆弱性 CVE-2024-12365 (CVSS:8.5)を悪用する攻撃者は、機密データへの不正にアクセスを達成し、内部システムへ向けた攻撃を仕掛ける可能性を手にする。
Continue reading “WordPress W3 Total Cache の脆弱性 CVE-2024-12365 が FIX:ただちにパッチを!”Linux Kernel Privilege Escalation Vulnerability (CVE-2024-27397) Exploited: PoC Released
2025/01/13 SecurityOnline — Linux Kernel の netfilter nf_tables コンポーネントに存在する、脆弱性 CVE-2024-27397 (CVSS:7.0) に関する詳細な分析と PoC エクスプロイト・コードが、セキュリティ研究者である liona24 により提供された。この use-after-free の脆弱性は、バージョン 4.1 〜 6.8 に影響を及ぼすものであり、ローカル権限昇格を引き起こす可能性を持つという。
Continue reading “Linux Netfilter の権限昇格の脆弱性 CVE-2024-27397:PoC エクスプロイトが登場”Credit Card Skimmer campaign targets WordPress via database injection
2025/01/13 SecurityAffairs — WordPress の CMS データベース・テーブルに、悪意の JavaScript を挿入して電子商取引サイトを狙う、ステルス型のクレジットカード・スキマー・キャンペーンについて、Sucuri の研究者たちが警告している。この攻撃者は、悪意のコードを WordPress の wp_options テーブルに隠し、widget_block に難読化された JavaScript を挿入してファイル・スキャンを回避し、持続性を維持しているという。
Continue reading “WordPress のデータベースに侵入:新手のクレジットカード・スキマーが発覚”Node.js to Issue CVE for End-of-Life Versions
2025/01/09 SecurityOnline — Node.js プロジェクトが発表したのは、サポートが終了したバージョン (EOL:End-of-Life) に対して、CVE を発行するという方針である。これは、ユーザーに最新状態の維持を促し、セキュリティ強化する、重要な取り組みである。Node.js の公式発表には、「Node.js 上で構築されたアプリケーションの、セキュリティと信頼性の確保に全力を尽くしている。この取り組みの一環として、ユーザーがセキュリティ・リスクに関する情報を常に把握できるよう、定期的に手段を見直している」と記されている。
Continue reading “Node.js の新たな試みによるセキュリティの強化:EoL バージョンに対する CVE の発行”Unpatched Vulnerabilities in Fancy Product Designer Plugin Put 20,000+ Websites at Risk
2025/01/09 SecurityOnline — WordPress のプレミアム・プラグインである Fancy Product Designer に、深刻な脆弱性 CVE-2024-51919/CVE-2024-51818 が存在することが、Patchstack のセキュリティ研究者である Rafie Muhammad により発見された。このプラグインは Radykal が開発したものであり、WooCommerce での製品カスタマイズ用に設計され、ユーザーに対して自由なデザインとパーソナライズを提供している。この Fancy Product Designer に、深刻なセキュリティ上の欠陥が発見されたことで、20,000 以上の WordPress サイトがリスクにさらされている。
Continue reading “WordPress Fancy Product Designer の脆弱性 CVE-2024-51919/51818:20,000以上のサイトが未パッチ!”Apache OpenMeetings Users Urged to Patch Critical Flaw – CVE-2024-54676 (CVSS 9.8)
2025/01/08 SecurityOnline — ビデオ会議などのコラボレーションで人気を博す、OSS プラットフォーム Apache OpenMeetings で、深刻なセキュリティ脆弱性 CVE-2024-54676 (CVSS:9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なシステム上で任意のコード実行を達成し、機密データの窃取やサービスの中断などを引き起こす可能性を手にする。
Continue reading “Apache OpenMeetings の脆弱性 CVE-2024-54676 (CVSS 9.8) が FIX:ただちにパッチを!”CVE-2024-5594 (CVSS 9.1): Critical Vulnerability in OpenVPN Enables Code Execution
2025/01/08 SecurityOnline — OSS の VPN である OpenVPN は、2024年6月21日にリリースされた OpenVPN 2.6.11 に存在する、3つの重大な脆弱性に対してパッチを適用した。これらの脆弱性 CVE-2024-5594/CVE-2024-4877/CVE-2024-28882 に関する当初の発表では、セキュリティ修正についてのみ言及されていたが、最近になって深刻度も開示された。
Continue reading “OpenVPN の脆弱性 CVE-2024-5594/4877/28882 の詳細情報が開示:ただちにアップデートを!”
IoT OT Security News 
You must be logged in to post a comment.