Ivanti 0-Day RCE Flaw Exploitation Details Revealed
2024/04/11 gbhackers — Ivanti が公表した、認証不要の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-22457 により、サイバー・セキュリティ業界全体に懸念が広がっている。この脆弱性は複数の Ivanti 製品に影響を及ぼすものであり、攻撃者に対してリモート・コード実行を許すため、企業の機密環境が危険にさらされる可能性がある。その一方で、Rapid7 の脆弱性対策チームなどの研究者たちが、この脆弱性の悪用の方法と、その修正に必要な手順について、詳細な分析結果を公開している。
Continue reading “Ivanti の脆弱性 CVE-2025-22457:APT による攻撃の解析と PoC の提供”Critical Vulnerability (CVE-2025-31498) Patched in c-ares DNS Library
2025/04/11 SecurityOnline — DNS (Domain Name System) は、人間が理解しやすいドメイン名を、コンピュータが理解できる数値の IP アドレスに変換するという、重要な役割を果たすものである。そして、この変換を促進する多くのアプリケーションコア核には、堅牢な非同期 DNS リゾルバ・ライブラリである c-ares が存在している。しかし、この最も信頼性の高いツールでさえ、潜在的な脆弱性を抱えている可能性があることを、先日に公開された CVE-2025-31498 が示している。
Continue reading “DNS Library “c-ares” の深刻な脆弱性 CVE-2025-31498 が FIX:use-after-free の可能性”Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
2025/04/11 gbhackers — Jenkins Docker イメージに影響を及ぼす脆弱性が新たに発見され、ネットワーク・セキュリティに関する深刻な懸念が生じている。この脆弱性は、SSH ホストキーの再利用に起因するものであり、それそ悪用する攻撃者は Jenkins ビルド・エージェントを偽装し、機密性の高いネットワーク・トラフィックを乗っ取る機会を得る。
Continue reading “Jenkins Docker の脆弱性 CVE-2025-32754/32755 が FIX:トラフィック・ハイジャックの可能性”SonicWall Patches Multi Vulnerabilities in NetExtender VPN Client
2025/04/10 SecurityOnline — SonicWall が発表したのは、社内ネットワークへ向けた安全なリモート・アクセスのために組織内で広く利用される、VPN ツール NetExtender Windows クライアントで発見された、3つの脆弱性に関するセキュリティ・アドバイザリである。
Continue reading “SonicWall NetExtender VPN クライアントの脆弱性 CVE-2025-23008 などが FIX:だたちにパッチを!”CISA Warns of Actively Exploited Linux Kernel Vulnerabilities (CVE-2024-53197, CVE-2024-53150)
2025/04/10 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux Kernel で新たに発見された2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加し、それぞれの脆弱性の武器化について警告を発している。
Continue reading “CISA KEV 警告 25/04/09:Linux Kernel の脆弱性 CVE-2024-53197/53150 を登録”Seven Years Later: Cisco CVE-2018-0171 Still Exposes Thousands to RCE
2024/04/10 SecurityOnline — 長年にわたり存在してきた Cisco の脆弱性 CVE-2018-0171 だが、最新の知見と実環境におけるテストにより、その全容が明らかにされた。Smart Install のリモートコード実行 (RCE) の脆弱性は、7年前に公開されたものだが、いまも 1,200台以上の Cisco デバイスが、この脆弱なサービスをインターネットに公開し続けている。この記事では、シニア・セキュリティ・コンサルタントであり、元ネットワーク・エンジニアでもある Guy Bruneau が公開した、詳細なレポートを紹介していく。
Continue reading “Cisco の脆弱性 CVE-2018-0171 は危険:7年前から公開され続ける脆弱なデバイスとは?”Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed
2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。
Continue reading “WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供”Dell Addresses Security Vulnerabilities in PowerScale OneFS
2025/04/10 SecurityOnline — Dell が発表したのは、同社のスケールアウト NAS (Network-Attached Storage) オペレーティング・システム PowerScale OneFS における、複数の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性が脅威アクターにより悪用されると、影響を受けるシステムへの侵入を許すことになるという。
Continue reading “Dell PowerScale OneFS の脆弱性 CVE-2025-27690 などが FIX:速やかな対応が必須”NATS Server Vulnerability: Missing Access Controls in JetStream API
2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム/サービス/デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。
Continue reading “NATS Server の脆弱性 CVE-2025-30215 が FIX:JetStream API におけるアクセス制御の欠如”High-Severity XXE Vulnerability Found in NAKIVO Backup & Replication
2025/04/10 SecurityOnline — 広く普及しているデータ保護ソリューション NAKIVO Backup & Replication に、深刻度の高いセキュリティ脆弱性が発見された。この XML External Entity (XXE) の脆弱性 CVE-2025-32406 は、影響を受けるバージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “NAKIVO の脆弱性 CVE-2025-32406 が FIX:深刻な XXE による不正アクセスと情報漏洩”Tool Poisoning Attacks: Critical Vulnerability Discovered in Model Context Protocol (MCP)
2025/04/10 SecurityOnline — Model Context Protocol (MCP) に存在する深刻な脆弱性は、ツール・ポイズニング攻撃 (TPA:Tool Poisoning Attacks) を可能にするものだと、Invariant Labs が明らかにした。AI エージェントが利用する、無害に見えるツールを悪用する TPA により、機密データの流出/AI の挙動の乗っ取り/リモート・コード実行などが引き起こされる恐れがある。Invariant のセキュリティ・チームは、ユーザーに対して、「サードパーティの MCP サーバに接続する際には十分な注意を払い、機密情報を保護するためのセキュリティ対策を実施してほしい」と促している。
Continue reading “MCP に潜む脆弱性:AI 時代の新たな脅威として浮上するツール・ポイズニング攻撃”Windows Active Directory Vulnerability Enables Unauthorized Privilege Escalation
2024/04/09 gbhackers — Microsoft が公表したのは、Windows Active Directory Domain Services (AD DS) に存在する、高リスクのセキュリティ脆弱性 CVE-2025-29810 に対する、緊急パッチ・リリースの情報である。この脆弱性を悪用する攻撃者は、権限昇格を達成し、ネットワーク・ドメイン全体を侵害する可能性を手にする。脆弱性 CVE-2025-29810 の深刻度は、CVSS v3.1 スケールは 7.5 (Important) と評価されており、Windows Server 2016 〜 2025 Edition を使用する組織に影響が生じる。
Continue reading “Windows Active Directory DS の脆弱性 CVE-2025-29810 が FIX:権限昇格とドメイン侵害の可能性”Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)
2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS:8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。
Continue reading “Kibana の脆弱性 CVE-2024-12556 が FIX:コード・インジェクションの恐れ”Chrome Update Fixes High-Severity “Use After Free” Vulnerability
2025/04/09 SecurityOnline — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 135.0.7049.84/.85 と、Linux のバージョン 135.0.7049.84 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけて、ユーザーに公開される予定だという。この最新リリースには、深刻度の高い脆弱性への対処に重点を置いた、重要なセキュリティ修正が取り込まれている。
Continue reading “Chrome の深刻な脆弱性 CVE-2025-3066 が FIX:“Use After Free” の恐れ”PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware
2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。
Continue reading “Windows CLFS の脆弱性 CVE-2025-29824:PipeMagic RAT を介したランサムウェア攻撃で悪用”Critical Vulnerabilities: CISA Alerts to Windows CLFS and Gladinet CentreStack Threats
2025/04/09 SecurityOnline — 4月8日付で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、ユーザーに対して速やかにパッチを適用するよう促している。1つ目は、Microsoft Windows Common Log File System (CLFS) の脆弱性 CVE-2025-29824 であり、2つ目は、Gladinet CentreStack の脆弱性 CVE-2025-30406 である。
Continue reading “CISA KEV 警告 25/04/08:Windows CLFS と Gladinet CentreStack の脆弱性を登録”Google fixed two actively exploited Android zero-days
2025/04/08 SecurityAffairs — Google が公表した、2025年4月の Android セキュリティ・アップデートは、62件の脆弱性に対処するものである。このアップデートには、標的型攻撃で悪用されている2件のゼロデイ脆弱性 CVE-2024-53197/CVE-2024-53150 が含まれる。脆弱性 CVE-2024-53197 は、Linux カーネルの問題であり、ALSA USB オーディオに影響を与えるものだ。悪意のデバイスにより、設定値を悪用されると、境界外メモリ・アクセスを引き起こす可能性が生じるという。
Continue reading “Android のゼロデイ脆弱性 CVE-2024-53197/53150 が FIX:実際の攻撃での悪用を確認”NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog
2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。
Continue reading “古い脆弱性は後回しに? NIST が CVE データ管理の方針転換を発表”Zoom Workplace Apps Vulnerability Enables Malicious Script Injection Through XSS Flaws
2025/04/08 gbhackers — Zoom Workplaceアプリに新たに発見された脆弱性 CVE-2025-27441/CVE-2025-27442 を悪用する攻撃者は、クロスサイト・スクリプティング (XSS) により悪意のスクリプトを挿入し、世界中の数百万人のユーザーにリスクをもたらすものだ。これらの脆弱性の CVSS スコアは 4.6 Medium と評価されているが、隣接ネットワーク上の未認証の攻撃者に対して、任意のコード実行を許し、整合性を侵害する可能性があるという。
Continue reading “Zoom Workplace の複数の脆弱性が FIX:XSS 攻撃を介した悪意のスクリプト挿入の可能性”Adobe Calls Urgent Attention to Critical ColdFusion Flaws
2025/04/08 SecurityWeek — 4月8日 (火) に Adobe がリリースしたのは、コンピュータ・システムに対するリモート制御される可能性がある、深刻な脆弱性に対する大量のセキュリティ・アップデートである。今月の Adobe Patch Tuesday は、ColdFusion/FrameMaker/Photoshop/Commerceといった企業向け製品における、合計で 54件の深刻な脆弱性に対処するものだ。
Continue reading “Adobe 製品群の 54件の深刻な脆弱性が FIX:ColdFusion/Commerce などの問題に対処”Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws
2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性1件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。
Continue reading “Microsoft 2025-04 月例アップデート:1件のゼロデイを含む 134件の脆弱性に対応”WhatsApp for Windows Flaw Could Let Hackers Sneak In Malicious Files
2025/04/08 HackRead — 先日に発行された Facebook Security のセキュリティ・アドバイザリでは、WhatsApp for Windows に影響を与える、なりすましの脆弱性 CVE-2025-30401 が取り上げられている。この脆弱性を悪用するハッカーは、無防備なユーザーへの悪意の添付ファイル送信の可能性を手にする。これらのファイルは無害に見えるが、WhatsApp アプリ内で開くと、悪意のコード実行を引き起こす可能性があるという。
Continue reading “WhatsApp for Windows の脆弱性 CVE-2025-30401 が FIX:添付ファイルに対する不正確な判定のバグ”Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager, & Other Products
2025/04/08 gbhackers — Fortinet が公表したのは、FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiVoice/FortiWeb/FortiSwitch などの製品群で発見された、複数の脆弱性の詳細と修正に関するリリースである。これらの脆弱性は、ログ出力の不適切なフィルタリングから、未確認のパスワード変更や、認証情報に対する不十分なセキュリティ保護にいたる多様なものである。すでに Fortinet は、アップデートと対策をリリースし、一連の脆弱性に対処している。
Continue reading “Fortinet の複数の脆弱性が FIX:FortiAnalyzer/FortiManager/FortiOS などの欠陥に対応”CVE-2025-27520: Critical BentoML Flaw Allows Full Remote Code Execution, Exploit Available
2025/04/08 SecurityOnline — AI アプリケーションやモデル推論向けに最適化された、オンライン・サービス・システムの構築に用いられる、Python ライブラリ BentoML に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-27520 (CVSS:9.8) は、攻撃者にリモート・コード実行 (RCE) を許し、影響を受けるライブラリ・バージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “BentoML の深刻な脆弱性 CVE-2025-27520 が FIX:RCE の恐れと PoC の提供”Pexip Issues Urgent Security Update to Address Critical Vulnerabilities
2025/04/08 SecurityOnline — セルフホスト型ビデオ会議プロバイダーである Pexip が発表したのは、Infinity プラットフォームに存在する深刻な脆弱性を詳述するセキュリティ情報である。その内容は、深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2024-12084 と、サービス拒否の脆弱性 CVE-2025-32095/CVE-2025-30080 に関するものである。
Continue reading “Pexip の脆弱性 CVE-2024-12084 などが FIX:境界外書き込みとサービス拒否の恐れ”PoC Released for CVE-2025-3155: Yelp Flaw Can Expose SSH Keys on Ubuntu Systems
2025/04/08 SecurityOnline — Ubuntu デスクトップにプリインストールされる GNOME ユーザーのための、ヘルプ・アプリケーション Yelp に脆弱性 CVE-2025-3155 が発見された。この脆弱性は、Yelp が URIスキームである “ghelp://” を処理する方法に起因している。
Continue reading “Yelp の脆弱性 CVE-2025-3155:URI スキームを悪用する情報窃取 PoC”CISA Warns of CrushFTP Vulnerability Exploitation in the Wild
2025/04/08 InfoSecurity — 米国のサイバーセキュリティ最高機関である CISA は、ファイル転送ソリューションの CrushFTP に存在する重大な脆弱性が、実際に悪用されていることを明らかにした。CVE-2025-31161 として追跡されている、この認証バイパスの脆弱性は、2025年4月7日付で CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。
Continue reading “CISA KEV 警告 25/04/07:CrushFTP の脆弱性 CVE-2025-31161/2825 を登録”MediaTek’s April 2025 Security Bulletin: Critical WLAN Vulnerability Exposes Chipsets
2025/04/07 SecurityOnline — MediaTek が公表したのは、2025年4月の製品セキュリティ速報であり、様々なチップセットに影響を与えるセキュリティ脆弱性の詳細を解説するものだ。この速報が対象とするのは、スマートフォン/タブレット/AIoT デバイス/スマートディスプレイ/スマートプラットフォーム/OTT デバイス/コンピュータービジョン/オーディオ/テレビなどに使用されている、チップセットの脆弱性である。
Continue reading “MediaTek チップセットの複数の脆弱性が FIX:April 2025 セキュリティ速報”Linux Kernel Vulnerability Exposes Local Systems to Privilege Escalation, PoC Published
2025/04/07 SecurityOnline — 先日のことだが、Linux Kernel の Performance Events システム・コンポーネントに存在する、脆弱性 CVE-2023-6931 (CVSS:7.8) の技術的詳細と PoC エクスプロイト・コードを、あるセキュリティ研究者が公開した。この脆弱性は、ヒープ領域外書き込みの欠陥だと説明されており、影響を受ける Linux システムにおいて、ローカル権限昇格に悪用される可能性があるという。
Continue reading “Linux Kernel の脆弱性 CVE-2023-6931:詳細な技術情報と PoC エクスプロイト・コード”MinIO Urgently Patches High-Severity Incomplete Signature Validation Vulnerability
2025/04/07 SecurityOnline — Amazon S3 コンパチブルの高性能オブジェクト・ストレージ・サーバ MinIO が公表したのは、深刻なセキュリティ脆弱性を修正するための、パッチのリリースに関する情報である。この脆弱性 CVE-2025-31489 は、unsigned-trailer のアップロードにおける不完全な署名検証に関連するものであり、ユーザーに深刻なリスクをもたらす。
Continue reading “MinIO の脆弱性 CVE-2025-31489 が FIX:不完全な署名検証と不正オブジェクトのアップロード”Bitdefender GravityZone Console Hit by Critical PHP Deserialization Vulnerability
2024/04/07 SecurityOnline — Bitdefender GravityZone Console に発見された脆弱性の影響を受けるシステムに、深刻なリスクがもたらされる可能性があるという。この脆弱性 CVE-2025-2244 (CVSSv4:9.5) は、PHP における安全が確保されないデシリアライゼーションに起因する。
Continue reading “Bitdefender GravityZone Console の脆弱性 CVE-2025-2244 が FIX:任意のコマンド実行にいたる恐れ”2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。
Continue reading “CISA KEV 警告 25/04/04:Ivanti CS/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を登録”pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS
2025/04/07 SecurityOnline — 広く利用されている PostgreSQL 管理ツール pgAdmin 4 だが、データベース環境に大きなリスクをもたらす、2つの深刻なセキュリティ脆弱性に対処したところである。最新リリースである、pgAdmin 4 のバージョン 9.2 では、リモート・コード実行 (RCE) 攻撃やクロスサイト・スクリプティング (XSS) 攻撃を許す可能性のある、深刻な欠陥が修正されている。したがって、ユーザーは、速やかにアップデートすべきである。
Continue reading “pgAdmin 4 の脆弱性 CVE-2025-2945/2946 が FIX:きわめて深刻な RCE と XSS”CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
2025/04/07 SecurityOnline — XZ Utils は、データ圧縮機能を提供する、広く利用されるツールとライブラリのスイートである。効率的な圧縮で知られる XZ Utils は、gzip よりも小さなファイルの作成が必要な場合で多用される。ネイティブ・ファイル・フォーマットは “.xz” だが、従来からの “.lzma” フォーマットもサポートしている。
Continue reading “XZ Utils の脆弱性 CVE-2025-31115 が FIX:マルチスレッド・デコーダーに深刻な影響”Unpatched Dell PowerProtect Systems Vulnerable to Remote Compromise
2025/04/07 SecurityOnline — Dell の PowerProtect Data Domain システムに、深刻なセキュリティ脆弱性が発見され、システム侵害のリスクが生じている。この脆弱性 CVE-2025-29987 は、Data Domain Operating System (DD OS) のバージョン 8.3.0.15 以下を使用する、Dell PowerProtect Data Domain に存在する。 問題の原因は、アクセス制御の不十分な粒度にあるとされる。
Continue reading “Dell PowerProtect の脆弱性 CVE-2025-29987 が FIX:ルート権限での任意のコマンド実行の恐れ”AMD Ryzen AI Software Update Addresses Multi Security Vulnerabilities
2025/04/06 SecurityOnline — AMD が発表したのは、Ryzen AI ソフトウェアに存在する複数のセキュリティ脆弱性に対処するための、アップデート・リリースの情報である。AMD Ryzen AI プロセッサを搭載した PC において、AI 推論を最適化して展開するように設計さる Ryzen AI ソフトウェアは、AMD XDNA アーキテクチャに組み込まれた Neural Processing Unit (NPU) 上でアプリケーションを実行する。新たに発見された脆弱性の悪用に成功したローカル攻撃者は、権限昇格/境界外書込に加えて、任意のコード実行の可能性を手にする。
Continue reading “AMD Ryzen AI Software の複数の脆弱性が FIX:RCE にいたる恐れ”50K+ WordPress Sites Exposed: Admin Takeover via Uncanny Automator
2025/04/05 SecurityOnline — 人気の WordPress プラグイン Uncanny Automator で発見された脆弱性により、50,000 以上の Web サイトにおいて、完全な侵害の可能性が生じている。この脆弱性 CVE-2025-2075 (CVSS:8.8) 悪用する認証済の攻撃者は、サブスクライバー・レベルのアクセス権を持つだけで、その権限を管理者へと昇格できる。つまり、攻撃者は実質的に、標的サイトを完全に制御できることになる。
Continue reading “WordPress Uncanny Automator プラグインの脆弱性 CVE-2025-2075 が FIX:Admin 権限への昇格の恐れ”SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack
2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。
Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”Vite Development Server Flaw Allows Attackers Bypass Path Restrictions
2025/04/04 gbhackers — Vite 開発サーバに、深刻なセキュリティ脆弱性 CVE-2025-31125 が発見された。この脆弱性は、URL リクエスト処理中の不適切なパス検証に起因し、攻撃者に対してパス制限の回避を許すことで、影響を受けるサーバ上での任意のファイルへの不正アクセスを引き起こすものだ。
Continue reading “Vite 開発サーバの脆弱性 CVE-2025-31125 が FIX:ファイルへの不正アクセスと PoC”2025/04/04 SecurityOnline — Cisco が公表したのは、同社の Enterprise Chat and Email (ECE) 製品と Meraki MX/Z Series デバイスに存在する、脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性により、サービス拒否 (DoS) 攻撃が発生する可能性があるという。
Continue reading “Cisco の ECE/Meraki の脆弱性 CVE-2025-20139/20212 が FIX:サービス拒否の恐れ”Halo ITSM Vulnerability Lets Attackers Inject Malicious SQL Code
2025/04/04 gbhackers — クラウド/オンプレミス環境に広く導入されている、 IT サポート管理ソフトウェア Halo ITSM に、深刻なセキュリティ上の欠陥が発見された。この脆弱性により、攻撃者は悪意の SQL コードの挿入を達成する。その結果として、認証情報や社内文書などの機密データなどを取り込む IT サポート・チケットの管理に、Halo ITSM を利用する組織に大きな脅威が生じる。
Continue reading “Halo ITSM の SQLi の脆弱性 CVE-N/A が FIX:PoC リクエストが提供”CVE-2025-2704: Critical Bug in OpenVPN Can Trigger Server Crashes
2025/04/04 SecurityOnline — OpenVPN コミュニティが発表したのは、サーバ・サイドの脆弱性 CVE-2025-2704 を修正する、重要なセキュリティ・アップデート OpenVPN 2.6.14 のリリースである。この脆弱が微武器化されると、”–tls-crypt-v2″ オプションでコンフィグされた VPN サーバが、クラッシュする可能性が生じる。
Continue reading “OpenVPN の脆弱性 CVE-2025-2704 が FIX:サーバ・クラッシュとサービス中断の恐れ”Apache Traffic Server Hit by Request Smuggling Vulnerability (CVE-2024-53868)
2025/04/04 securityonline — 広く採用されている高性能 HTTP プロキシ サーバ Apache Traffic Server (ATS) だが、リクエスト・スマグリング攻撃に対して脆弱であることが判明した。その原因である脆弱性 CVE-2024-53868 は、チャンク化されたメッセージを ATS が処理する方法に起因し、HTTP リクエスト処理に対する攻撃者の干渉を許すものだという。
Continue reading “Apache Traffic Server の脆弱性 CVE-2024-53868 が FIX:リクエスト・スマグリング攻撃の恐れ”Hackers Exploit Apache Tomcat Flaw to Hijack Servers and Steal SSH Credentials
2025/04/03 gbhackers — 新たに発見された攻撃キャンmasuペーンにより露呈した、Apache Tomcat サーバの脆弱性 CVE-2025-24813 を悪用するハッカーたちは、リソースの乗っ取りと SSH 認証情報の窃取を可能にしている。この問題の発見から 30 時間以内にボットネットを武器化した一連の攻撃は、暗号化されたペイロードと高度な永続化メカニズムを用いるものであり、Windows/Linux プラットフォームで稼働するシステムに侵入したことを、Aqua Nautilus の研究者たちが明らかにした。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-24813 への攻撃:ハッカーたちの高度な戦術を解明する”SonicWall Firewall Vulnerability Enables Unauthorized Access
2025/04/03 gbhackers — SonicWall ファイアウォールに影響を及ぼす、認証バイパスの脆弱性 CVE-2024-53704 の悪用を、Bishop Fox の研究者たちが実証した。この深刻な脆弱性を悪用するリモート攻撃者は、アクティブな SSL VPN セッションを乗っ取り、ユーザーの認証情報を必要とせずに、不正なネットワーク・アクセスを可能にするという。SonicWall デバイスにネットワーク・セキュリティ依存する組織において、この脆弱性に対するパッチが未適用の場合には、深刻なリスクが生じることになる。
Continue reading “SonicWall Firewall の脆弱性 CVE-2024-53704:90日間の猶予を経て PoC が公開”Google’s Quick Share for Windows Vulnerability Allows Remote Code Execution
2025/04/03 gbhackers — Google が Windows 向けに提供する、ファイル転送ユーティリティ Quick Share に、新たな脆弱性が発見されたことを、SafeBreach Labs のサイバー・セキュリティ研究者たちが明らかにした。この問題には、標的デバイスでのコード実行を攻撃者に許す、きわめて深刻な欠陥も含まれる。今週に公開された調査結果が浮き彫りにするのは、2024年に Google がパッチ適用を報告した後にも、この広く使用されるツールにリスクが存在することだ。
Continue reading “Google の Quick Share for Windows の脆弱性:Mobile と PC をつなぐシステムの難しさとは?”Attackers are leveraging Cisco Smart Licensing Utility static admin credentials (CVE-2024-20439)
2025/04/03 HelpNetSecurity — 2025年3月31日の時点で CISA は、Cisco Smart License Utility Manager (CSLU) における静的認証情報の脆弱性 CVE-2024-20439 が、攻撃者により悪用されていることを確認し、KEV (Known Exploited Vulnerabilities) カタログに追加した。Cisco サイドも、CSLU ソフトウェアの情報漏えいの脆弱性である、 CVE-2024-20439 と CVE-2024-20440 のセキュリティ・アドバイザリを更新することで、この問題に対応した。同社は、「2025年3月の時点で、Cisco PSIRT (Product Security Incident Response Team) は、この脆弱性に対する悪用の試行を確認した」と述べている。
Continue reading “Cisco Smart Licensing Utility の脆弱性 CVE-2024-20439:CISA KEV 登録までの経緯を整理”CVE-2025-31334: WinRAR Flaw Enables Mark-of-the-Web Bypass and Arbitrary Code Execution
2025/04/03 SecurityOnline — 世界で5億人以上のユーザーを抱える、ファイル圧縮ツールである WinRAR で、新たな脆弱性が発見された。この欠陥を悪用する攻撃者は、Windows にセキュリティ警告を出させずに、悪意のコード実行の機会を手にする。この、Mark-of-the-Web (MotW) バイパス脆弱性の CVE-2025-31334 (CVSS:6.8) は、WinRAR のバージョン 7.11 未満に影響を及ぼすものであり、実際の攻撃シナリオで悪用される可能性があるとされる。
Continue reading “WinRAR の脆弱性 CVE-2025-31334 が FIX:MotW バイパスとコード実行の可能性”Verizon Call Filter App Vulnerability Exposed Call Log Data of Customers
2025/04/03 gbhackers — Verizon で発見された、iOS 向け Call Filter アプリの脆弱性により、顧客の通話履歴への不正アクセスが可能になった。必要とされる技術的知識を持つ人であれば、この欠陥を悪用することで、Verizon の電話番号の着信通話データ (タイムスタンプ付き) を取得し、プライバシーとセキュリティに深刻なリスクを引き起こせる。
Continue reading “Verizon – Call Filter App の脆弱性:通話ログなどのメタデータを漏洩”Multiple Jenkins Plugin and Core Vulnerabilities Expose Sensitive Data and Execution Paths
2025/04/03 SecurityOnline — Jenkins プロジェクトが公表したのは、Jenkins コアとプラグインに影響を及ぼす、中程度から高程度の脆弱性に関する新しいセキュリティ・アドバイザリのリリースである。これらの問題は、権限チェックの欠如や CSRF 脆弱性から、API キーとパスワードのプレーンテキスト・ストレージにまでに至るものであり、DevOps パイプラインで Jenkins を使用している、何百万ものユーザーに対して影響を及ぼすものだ。
Continue reading “Jenkins の Core/Plugin に複数の脆弱性:アップデートと緩和策の確認が必要”
IoT OT Security News 
You must be logged in to post a comment.