Hitachi Vantara Patches Critical Resource Injection Flaw in Pentaho
2025/04/18 SecurityOnline — Hitachi Vantara が発表したのは、広く利用される Pentaho Data Integration & Analytics プラットフォームに存在する、深刻な脆弱性に対処するための緊急セキュリティ・アドバイザリである。この脆弱性 CVE-2025-0756 (CVSS:9.1) は、リソース識別子の不適切な制御に起因するリソース・インジェクションを引き起こすものであり、特定の条件下ではリモート・コード実行にいたる可能性もある。
Continue reading “Hitachi Vantara の脆弱性 CVE-2025-0756 が FIX:リソース・インジェクションの可能性”RomethemeKit Elementor Plugin Flaw Enables RCE: CVE-2025-30911
2025/04/17 SecurityOnline — 30,000+ のインストール数を誇る WordPress プラグイン RomethemeKit For Elementor に発見された脆弱性により、認証済みの悪意のユーザーが、不適切な権限の取得と nonce チェックを達成し、リモート・コード実行 (RCE) に到達するという。この脆弱性 CVE-2025-30911 の CVSS スコアは 9.9 であり、Critical と評価されている。
Continue reading “WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX:低権限ユーザーによる RCE”Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE
2025/04/17 SecurityOnline — 通信/分散システム/リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。
Continue reading “Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX:SSH の欠陥と未認証での RCE”Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution
2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x/7.x/8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x/8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。
Continue reading “PHP extract() の脆弱性 CVE-N/A が FIX:レガシー関数の危険性と現代のエコシステム”Cisco Patches CVE-2025-20236: Unauthenticated RCE Flaw in Webex App via Malicious Meeting Links
20225/04/17 SecurityOnline — Cisco が発表したのは、Webex アプリに存在する深刻な脆弱性に対処する、重要なセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者に対して、悪意の会議招待リンクを介した、認証を必要としないリモート・コード実行 (RCE) が許される可能性がある。この脆弱性 CVE-2025-20236 (CVSS:8.8) は、Cisco Webex デスクトップ・アプリの複数バージョンに影響を及ぼす。
Continue reading “Cisco Webex の脆弱性 CVE-2025-20236 が FIX:悪意の会議招待リンクを介した RCE”CISA Issues Alert on SonicWall Flaw Being Actively Exploited
2025/04/17 gbhackers — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、SonicWall の脆弱性の悪用を確認したとする、重大なセキュリティ・アラートを発令した。この脆弱性 CVE-2021-20035 は、SonicWall の SMA100 Series アプライアンスに影響を及ぼすものであり、CISA の Known Exploited Vulnerabilities (KEV) カタログに登録された。
Continue reading “CISA KEV 警告 25/04/16:SonicWall の脆弱性 CVE-2021-20035 を登録”Urgent Apple Security Patch: Zero-Day Exploits Target iPhones
2025/04/16 SecurityOnline — Apple が公表したのは、macOS/iOS/iPadOS/tvOS/visionOS などで構成される、エコシステム全体を対象とする緊急セキュリティ・アップデートのリリースに関する情報である。それにより、2つのゼロデイ脆弱性が修正されたが、すでに特定の iPhone ユーザーを標的とする、極めて高度な攻撃で積極的に悪用されているという。
Continue reading “Apple のゼロデイ脆弱性 CVE-2025-31200/31201 が FIX:サイバースパイによる悪用を確認”CVE-2025-24054: Actively Exploited NTLM Hash Disclosure Vulnerability
2025/04/16 SecurityOnline — Windows の脆弱性 CVE-2025-24054 が、積極的に悪用されていると、Check Point Research が警告を発している。この新たに公開された脆弱性だが、細工された “.library-ms” ファイルを悪用する攻撃者に対して、NTLMv2-SSP ハッシュの漏洩を許すとされる。2025年3月11日の修正プログラムで、すでに Microsoft がパッチを提供している脆弱性 CVE-2025-24054 であるが、Windows のサポートが有効な全バージョンに影響を与えるものであり、その公開から2週間も経たないうちに実環境で攻撃に悪用されている。
Continue reading “Windows の脆弱性 CVE-2025-24054:NTLM ハッシュ漏洩の大規模キャンペーンが発覚”Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition
2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。
Continue reading “Firefox の脆弱性 CVE-2025-3608 が FIX:競合状態によるメモリ破壊のリスク”CISA Extends CVE Program Funding to Prevent Critical Service Disruption
2025/04/16 SecurityOnline — Cybersecurity and Infrastructure Security Agency (CISA) が発表したのは、サイバー・セキュリティ・コミュニティの基盤となるツールである、Common Vulnerabilities and Exposures (CVE) プログラムへの資金提供を延長し、その運用を継続して保護することである。この土壇場での介入により、25年の歴史を持つ脆弱性追跡システムの運用の、中断の危機が回避されたことになる。
Continue reading “CVE Program の危機が回避された:CISA から MITRE への資金提供の継続が決定”Oracle April 2025 CPU: 378 Security Patches Released
20225/04/16 SecurityOnline — 2025年4月15日に Oracle は、最新の Critical Patch Update (CPU) をリリースし、広範な製品ポートフォリオ全体をカバーする、378件のセキュリティ・パッチを提供した。この 2025年4月版の CPU が網羅するのは、データベース/ミドルウェア/クラウド/通信アプリケーションなどであり、その中にはグローバルな金融機関/通信事業者/クラウドの中核を成すものも含まれている。
Continue reading “Oracle の April 2025 クリティカル・パッチ・アップデート:378 件のセキュリティ脆弱性に対応”CVE Foundation Launched to Secure Vulnerability Tracking
2025/04/16 SecurityOnline — サイバー・セキュリティ分野における重大な転換となる、CVE (Common Vulnerabilities and Exposures) Foundation の設立が正式に発表された。この動きは、脆弱性を追跡するためのグローバルなシステムである、CVE (Common Vulnerabilities and Exposures) プログラムの独立性と安定性を、長期的に確保するという目標の現れである。この発表は、MITRE による CVE プログラム運営に対する資金提供を、米国政府 終了するという内部文書が流出した翌日に行われた。つまり、1999年から 25年間も続いた、政府による支援が打ち切られることが明らかになったわけである。
Continue reading “CVE プログラムの未来を担う CVE Foundation が発足:グローバルな脆弱性管理体制へ”Critical CVE-2025-32445 Vulnerability in Argo Events Scores CVSS 10
2025/04/16 SecurityOnline — Kubernetes 向けのイベント・ドリブンなワークフロー自動化フレームワーク Argo Events に、深刻なセキュリティ脆弱性 CVE-2025-32445 (CVSS:10.0) が発見された。
Continue reading “Argo Events の深刻な脆弱性 CVE-2025-32445 が FIX:ホスト・システム/クラスタへの特権アクセス”MITRE warns that funding for critical CVE program expires today
2025/04/16 BleepingComputer — 米国政府による CVE (Common Vulnerabilities and Exposures) および CWE (Common Weakness Enumeration) プログラムへの資金提供が、2025年4月16日で終了することを、MITRE の VP である Yosry Barsoum が発表した。それにより、世界中のサイバー・セキュリティ業界に、広範な混乱が生じる可能性があると、彼は警告している。
Continue reading “CVE プログラムに対する政府資金が終了:MITRE が懸念するセキュリティ分野への影響”Windows 11 Privilege Escalation Flaws Uncovered: CVE-2025-24076 and CVE-2025-24994
2025/04/16 SecurityOnline — Microsoft Windows に存在する2つの権限昇格の脆弱性 CVE-2025-24076/CVE-2025-24994 が、Compass Security の研究者である John Ostrowski の分析結果により明らかになった。必要な権限を持たないユーザーであっても、これらの脆弱性を悪用することで、DLL ハイジャック攻撃を引き起こしり、ローカル SYSTEM レベルの権限を取得する可能性を手にするという。
Continue reading “Windows 11 の権限昇格の脆弱性 CVE-2025-24076/24994:DLL ハイジャックの PoC”Tails 6.14.2 Released with Critical Fixes for Linux Kernel Vulnerabilities
2025/04/16 gbhackers — Tails プロジェクトが公表したのは、Linux カーネル/Perl プログラミング言語の深刻なセキュリティ脆弱性を修正した、Tails 6.14.2 の緊急リリースである。複数の脆弱性の影響を受け、システムの安全性を損なわれる可能性が生じている。したがって、この緊急リリースは、Tails のセキュリティ/プライバシー機能に依存するユーザーにとって、きわめて重要なものである。
Continue reading “Tails 6.14.2 がリリース:Linux Kernel と Perl の深刻な脆弱性に対応”PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature
2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ/セキュリティへの対応により、わずか2時間強で修復された。
Continue reading “PyPI Organizations に深刻な脆弱性:報告から2時間で修正され被害もなし”CrushFTP Hit by SSRF and Directory Traversal Vulnerabilities (CVE-2025-32102 & CVE-2025-32103)
2025/04/15 SecurityOnline — 人気のファイル転送サーバ CrushFTP は、2件の深刻なセキュリティ脆弱性が発見されたことを受け、厳しい監視に直面している。CVE-2025-32102 と CVE-2025-32103 として特定された脆弱性は、それぞれが、サーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃と、ディレクトリ・トラバーサル攻撃の脅威になり得る。
Continue reading “CrushFTP の脆弱性 CVE-2025-32102/32103 が FIX:SSRF/D Traversal の可能性”Apache Roller Vulnerability Allows Hackers to Bypass Access Controls
2025/04/15 gbhackers — 人気の OSS ブログ・サーバ Apache Roller に、新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、重要なアクセス制御を回避し、パスワード変更後であっても、アカウントへの不正アクセスを維持する可能性を持つ。
Continue reading “Apache Roller の脆弱性 CVE-2025-24859 が FIX:パスワード変更後の不正アクセス?”Fortinet Uncovers Threat Actor Persistence via Symbolic Link Exploit in FortiGate Devices
2025/04/14 SecurityOnline — サイバー・セキュリティ・コミュニティへの緊急アラートとして Fortinet が発表したのは、FortiGate アプライアンスの既知の脆弱性を悪用する、脅威キャンペーンの活発な展開に関する詳細である。このキャンペーンでは、セキュリティ・アップデート適用が実施された後であっても、不正な読み取り専用アクセスを可能にする、新たなポスト・エクスプロイトの手法が用いられている。Fortinet の CISO である Carl Windsor は、「最近のインシデントにより、既知の脆弱性が悪用されるという事例が活発に発生している。この問題が、ますます注目を集めている」と述べている。
Continue reading “Fortinet の古い脆弱性を悪用する脅威アクター:シンボリック・リンクと SSL-VPN の悪用”CVE-2025-32428: Jupyter Remote Desktop Proxy Exposes TigerVNC to Network Access
2025/04/14 SecurityOnline — Jupyter ノートブック・インターフェイス内で、XFCE などの GUI デスクトップ環境を実行する Jupyter エクステンションである Jupyter Remote Desktop Proxy に、深刻なセキュリティ脆弱性が存在することを、研究者たちが発見した。この脆弱性 CVE-2025-32428 (CVSSv4:9.0) は、Jupyter Remote Desktop Proxy と TigerVNC とを併用した場合に発生し、ネットワーク経由で意図せず VNC サービスが公開されてしまうという、本来の設計に反する事態を引き起こす。
Continue reading “Jupyter Remote Desktop Proxy の脆弱性 CVE-2025-32428 が FIX:TigerVNC との組み合わせが危険”IBM Aspera Faspex Flaw Allows Injection of Malicious JavaScript in Web UI
2025/04/14 gbhackers — 広く普及しているファイル交換ソリューション IBM Aspera Faspex 5 に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-3423 (CVSS:5.4) を悪用する攻撃者は、Web インターフェイスに悪意の JavaScript を挿入し、ユーザーの機密データを侵害する可能性を手にする。
Continue reading “IBM Aspera Faspex の脆弱性 CVE-2025-3423 が FIX:Web UI への悪意の JavaScript の挿入”Urgent: Yii 2 Vulnerability CVE-2024-58136 Under Active Exploit
2025/04/14 SecurityOnline — PHP Web アプリ・フレームワークとして人気を博す Yii 2 に、脆弱性 CVE-2024-58136 (CVSS:9.1) が発見された。この脆弱性が影響を及ぼす範囲は、バージョン 2.0.52 未満となる。Yii 2 のダウンロード数は 2,500万回を超えており、数え切れないほどの Web アプリで使用されているため、この脆弱性は、開発者やサイト管理者にとって重大な懸念事項となっている。
Continue reading “Yii 2 の脆弱性 CVE-2024-58136 が FIX:安全が確保されないリフレクションの可能性”2025/04/13 SecurityOnline — システム管理や Web 開発などの、さまざまな用途で広く使用される汎用プログラミング言語 Perl に、セキュリティ上の脆弱性が発見された。このヒープバッファ・オーバーフローの脆弱性 CVE-2024-56406 は、Perl バージョン 5.34/5.36/5.38/5.40 に影響を及ぼす。
Continue reading “Perl の脆弱性 CVE-2024-56406 が FIX:サービス拒否のおそれとコード実行の可能性”CVE-2025-32896: Apache SeaTunnel Flaw Enables Unauthenticated File Read & RCE
2025/04/13 SecurityOnline — 分散データ統合プラットフォームとして広く利用される Apache SeaTunnel に、新たな脆弱性 CVE-2025-32896 が発見された。この脆弱性を悪用する未認証の攻撃者により、任意のファイル読取りなどの、デシリアライゼーション・ベースの攻撃が実行される可能性が生じている。
Continue reading “Apache SeaTunnel の脆弱性 CVE-2025-32896 が FIX:File Read & RCE の可能性”Critical Vulnerability in Everest Forms Plugin Threatens WordPress Sites
2025/04/12 SecurityOnline — WordPress プラグイン Everest Forms で発見された深刻なセキュリティ脆弱性により、10万以上の Web サイトが潜在的なリスクにさらされている。この脆弱性 CVE-2025-3439 (CVSS:9.8) は、PHP オブジェクト・インジェクションの欠陥であり、それを悪用する未認証の攻撃者に対して、悪意のコード挿入を許すものである。
Continue reading “WordPress Everest Forms の脆弱性 CVE-2025-3439 が FIX:PHP オブジェクト・インジェクションの可能性”NVD Revamps Operations as Vulnerability Reporting Surges
2025/04/11 InfoSecurity — 内部の混乱と脆弱性のバックログの増加に揺れた激動の1年を経て、米国 NIST (National Institute of Standards and Technology) 内の NVD (National Vulnerability Database) チームはようやく安定を取り戻した。しかし、いまの NVD は、新たな課題に直面している。つまり、報告される脆弱性の急増により膨れ上がったバックログが、再建されたチームの努力を上回る勢いを見せているのだ。
Continue reading “NIST NVD が運用体制を刷新:CVE バックログの解消に向けた改革とは?”Vulnerability in OttoKit WordPress Plugin Exploited in the Wild
2025/04/11 SecurityWeek — WordPress プラグインである OttoKit の脆弱性を、脅威アクターたちが積極的に悪用しており、多くの Web サイトに深刻な侵害の可能性があると、WordPress セキュリティ企業の Wordfence が警告している。以前には SureTriggers という名称だった OttoKit:All-in-One Automation Platform は、Web サイト管理者によるタスクの自動化と、アプリケーション/Web サイト/WordPress プラグインの連携を担うプラグインである。
Continue reading “WordPress OttoKit の脆弱性 CVE-2025-3102:パッチのリリースと積極的な悪用の検出”Critical Vulnerability Exposes Langflow Servers to Full Compromise
2025/04/11 SecurityOnline — エージェント型 AI ワークフロー構築ツールとして、人気を博す Langflow に新たに発見された脆弱性により、重大なセキュリティ・リスクが生じると懸念されている。この脆弱性 CVE-2025-3248 は、未認証のリモート攻撃者により容易に悪用され、Langflow サーバの完全な侵害を引き起こす可能性があるという。Horizon3.ai のセキュリティ研究者である Naveen Sunkavally が、この脆弱性を特定した。
Continue reading “Langflow の深刻な脆弱性 CVE-2025-3248 が FIX:未認証のリモート攻撃による完全な侵害”Fortinet: Hackers retain access to patched FortiGate VPNs using symlinks
2025/04/11 BleepingComputer — Fortinet が警告するのは、侵害された FortiGate VPN デバイスの、オリジナルの攻撃ベクターが修正された後でも、以前に存在していた読み取り専用アクセスを、脅威アクター維持できるという、ポスト・エクスプロイト手法の現状である。今週の初めに Fortinet は、FortiGuard デバイスから受信したテレメトリに基づき、FortiGate/FortiOS デバイスへの侵害を警告するメールを、顧客へ向けて送信し始めた。
Continue reading “Fortinet からの警告:2023年の攻撃で仕込まれたポスト・エクスプロイト手法の生存”AMD CPU Signature Verification Vulnerability Enables Unauthorized Microcode Execution
2025/04/11 gbhackers — AMD CPU に脆弱性が発見された。この脆弱性の悪用に成功した管理者権限を持つ攻撃者は、マイクロコードの署名検証の回避と、悪意のコード実行の可能性を手にする。脆弱性 CVE-2024-36347 (CVSS:6.4:Medium) は、AMD EPYC サーバ・プロセッサおよび、一部のコンシューマ向け Ryzen チップの、複数の世代に対して影響を及ぼす。
Continue reading “AMD CPU 署名検証の脆弱性 CVE-2024-36347 が FIX:未承認マイクロ・コードの実行”InstaWP Connect Plugin Exposes WordPress Sites to Critical File Inclusion Vulnerability
2025/04/11 SecurityOnline — WordPress の InstaWP Connect プラグインに深刻なセキュリティ脆弱性が確認され、このツールを使用する Web サイトに重大なリスクが生じている。この脆弱性 CVE-2025-2636 は、未認証の ローカル PHP ファイル・インクルードの脆弱性であり、その影響を受ける Web サイトを、攻撃者が完全に制御する可能性がある。
Continue reading “WordPress InstaWP の脆弱性 CVE-2025-2636 が FIX:サーバの制御を奪われる可能性”Joomla Security Alert: Critical SQL Injection & MFA Bypass Vulnerabilities Uncovered
2025/04/11 SecurityOnline — Joomla プロジェクトが発表したのは、CMS/Database パッケージに影響を及ぼす2つの深刻な脆弱性に対処する、セキュリティ・アナウンスメントである。その内容は、SQL インジェクションの脆弱性 CVE-2025-25226 と、2要素認証バイパスの脆弱性 CVE-2025-25227 である。
Continue reading “Joomla の脆弱性 CVE-2025-25226/25227 が FIX:SQLi とMFA バイパスの恐れ”Critical Vulnerabilities in Spotfire Products Allow Code Execution (CVE-2025-3114, CVE-2025-3115)
2025/04/11 SecurityOnline — Cloud Software Group が公開したのは、任意のコード実行やシステム侵害を許す可能性のある、Spotfire 製品の深刻な脆弱性に対するセキュリティ・アドバイザリである。このアドバイザリでは、脆弱性 CVE-2025-3114/CVE-2025-3115 ついて、詳細が説明されている。
Continue reading “Spotfire 製品群の脆弱性 CVE-2025-3114/3115 が FIX:コード実行とシステム侵害の恐れ”Arista EOS: Critical Vulnerability Exposes Cleartext Transmission (CVE-2024-12378)
2025/04/11 SecurityOnline — Arista Networks が公開したのは、同社の EOS (Extensible Operating System) に存在する、深刻な脆弱性に対処するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-12378 (CVSS:9.1) により、機密情報が平文で送信される可能性が生じる。
Continue reading “Arista EOS の脆弱性 CVE-2024-12378 が FIX:機密情報の平文送信の可能性”Ivanti 0-Day RCE Flaw Exploitation Details Revealed
2024/04/11 gbhackers — Ivanti が公表した、認証不要の深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-22457 により、サイバー・セキュリティ業界全体に懸念が広がっている。この脆弱性は複数の Ivanti 製品に影響を及ぼすものであり、攻撃者に対してリモート・コード実行を許すため、企業の機密環境が危険にさらされる可能性がある。その一方で、Rapid7 の脆弱性対策チームなどの研究者たちが、この脆弱性の悪用の方法と、その修正に必要な手順について、詳細な分析結果を公開している。
Continue reading “Ivanti の脆弱性 CVE-2025-22457:APT による攻撃の解析と PoC の提供”Critical Vulnerability (CVE-2025-31498) Patched in c-ares DNS Library
2025/04/11 SecurityOnline — DNS (Domain Name System) は、人間が理解しやすいドメイン名を、コンピュータが理解できる数値の IP アドレスに変換するという、重要な役割を果たすものである。そして、この変換を促進する多くのアプリケーションコア核には、堅牢な非同期 DNS リゾルバ・ライブラリである c-ares が存在している。しかし、この最も信頼性の高いツールでさえ、潜在的な脆弱性を抱えている可能性があることを、先日に公開された CVE-2025-31498 が示している。
Continue reading “DNS Library “c-ares” の深刻な脆弱性 CVE-2025-31498 が FIX:use-after-free の可能性”Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic
2025/04/11 gbhackers — Jenkins Docker イメージに影響を及ぼす脆弱性が新たに発見され、ネットワーク・セキュリティに関する深刻な懸念が生じている。この脆弱性は、SSH ホストキーの再利用に起因するものであり、それそ悪用する攻撃者は Jenkins ビルド・エージェントを偽装し、機密性の高いネットワーク・トラフィックを乗っ取る機会を得る。
Continue reading “Jenkins Docker の脆弱性 CVE-2025-32754/32755 が FIX:トラフィック・ハイジャックの可能性”SonicWall Patches Multi Vulnerabilities in NetExtender VPN Client
2025/04/10 SecurityOnline — SonicWall が発表したのは、社内ネットワークへ向けた安全なリモート・アクセスのために組織内で広く利用される、VPN ツール NetExtender Windows クライアントで発見された、3つの脆弱性に関するセキュリティ・アドバイザリである。
Continue reading “SonicWall NetExtender VPN クライアントの脆弱性 CVE-2025-23008 などが FIX:だたちにパッチを!”CISA Warns of Actively Exploited Linux Kernel Vulnerabilities (CVE-2024-53197, CVE-2024-53150)
2025/04/10 SecurityOnline — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Linux Kernel で新たに発見された2つの脆弱性を、Known Exploited Vulnerabilities (KEV) カタログに追加し、それぞれの脆弱性の武器化について警告を発している。
Continue reading “CISA KEV 警告 25/04/09:Linux Kernel の脆弱性 CVE-2024-53197/53150 を登録”Seven Years Later: Cisco CVE-2018-0171 Still Exposes Thousands to RCE
2024/04/10 SecurityOnline — 長年にわたり存在してきた Cisco の脆弱性 CVE-2018-0171 だが、最新の知見と実環境におけるテストにより、その全容が明らかにされた。Smart Install のリモートコード実行 (RCE) の脆弱性は、7年前に公開されたものだが、いまも 1,200台以上の Cisco デバイスが、この脆弱なサービスをインターネットに公開し続けている。この記事では、シニア・セキュリティ・コンサルタントであり、元ネットワーク・エンジニアでもある Guy Bruneau が公開した、詳細なレポートを紹介していく。
Continue reading “Cisco の脆弱性 CVE-2018-0171 は危険:7年前から公開され続ける脆弱なデバイスとは?”Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed
2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。
Continue reading “WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX:PoC も提供”Dell Addresses Security Vulnerabilities in PowerScale OneFS
2025/04/10 SecurityOnline — Dell が発表したのは、同社のスケールアウト NAS (Network-Attached Storage) オペレーティング・システム PowerScale OneFS における、複数の脆弱性に対処するセキュリティ・アドバイザリである。これらの脆弱性が脅威アクターにより悪用されると、影響を受けるシステムへの侵入を許すことになるという。
Continue reading “Dell PowerScale OneFS の脆弱性 CVE-2025-27690 などが FIX:速やかな対応が必須”NATS Server Vulnerability: Missing Access Controls in JetStream API
2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム/サービス/デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。
Continue reading “NATS Server の脆弱性 CVE-2025-30215 が FIX:JetStream API におけるアクセス制御の欠如”High-Severity XXE Vulnerability Found in NAKIVO Backup & Replication
2025/04/10 SecurityOnline — 広く普及しているデータ保護ソリューション NAKIVO Backup & Replication に、深刻度の高いセキュリティ脆弱性が発見された。この XML External Entity (XXE) の脆弱性 CVE-2025-32406 は、影響を受けるバージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “NAKIVO の脆弱性 CVE-2025-32406 が FIX:深刻な XXE による不正アクセスと情報漏洩”Tool Poisoning Attacks: Critical Vulnerability Discovered in Model Context Protocol (MCP)
2025/04/10 SecurityOnline — Model Context Protocol (MCP) に存在する深刻な脆弱性は、ツール・ポイズニング攻撃 (TPA:Tool Poisoning Attacks) を可能にするものだと、Invariant Labs が明らかにした。AI エージェントが利用する、無害に見えるツールを悪用する TPA により、機密データの流出/AI の挙動の乗っ取り/リモート・コード実行などが引き起こされる恐れがある。Invariant のセキュリティ・チームは、ユーザーに対して、「サードパーティの MCP サーバに接続する際には十分な注意を払い、機密情報を保護するためのセキュリティ対策を実施してほしい」と促している。
Continue reading “MCP に潜む脆弱性:AI 時代の新たな脅威として浮上するツール・ポイズニング攻撃”Windows Active Directory Vulnerability Enables Unauthorized Privilege Escalation
2024/04/09 gbhackers — Microsoft が公表したのは、Windows Active Directory Domain Services (AD DS) に存在する、高リスクのセキュリティ脆弱性 CVE-2025-29810 に対する、緊急パッチ・リリースの情報である。この脆弱性を悪用する攻撃者は、権限昇格を達成し、ネットワーク・ドメイン全体を侵害する可能性を手にする。脆弱性 CVE-2025-29810 の深刻度は、CVSS v3.1 スケールは 7.5 (Important) と評価されており、Windows Server 2016 〜 2025 Edition を使用する組織に影響が生じる。
Continue reading “Windows Active Directory DS の脆弱性 CVE-2025-29810 が FIX:権限昇格とドメイン侵害の可能性”Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)
2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS:8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。
Continue reading “Kibana の脆弱性 CVE-2024-12556 が FIX:コード・インジェクションの恐れ”Chrome Update Fixes High-Severity “Use After Free” Vulnerability
2025/04/09 SecurityOnline — Chrome の Stable チャネルで公表されたのは、Windows/Mac のバージョン 135.0.7049.84/.85 と、Linux のバージョン 135.0.7049.84 へのアップデートに関する情報である。このアップデートは、今後の数日から数週かけて、ユーザーに公開される予定だという。この最新リリースには、深刻度の高い脆弱性への対処に重点を置いた、重要なセキュリティ修正が取り込まれている。
Continue reading “Chrome の深刻な脆弱性 CVE-2025-3066 が FIX:“Use After Free” の恐れ”PipeMagic Trojan Exploits Windows Zero-Day Vulnerability to Deploy Ransomware
2025/04/09 TheHackerNews — Microsoft が明らかにしたのは、Windows Common Log File System (CLFS) に影響を及ぼす、すでに修正済みのセキュリティ脆弱性を、ゼロデイとして悪用するランサムウェア・グループが、標的を絞り込んだ攻撃を仕掛けていることだ。同社は、「この標的には、米国の IT 分野および不動産業界や、ベネズエラの金融業界、スペインのソフトウェア企業、サウジアラビアの小売業界などが含まれる」と述べている。
Continue reading “Windows CLFS の脆弱性 CVE-2025-29824:PipeMagic RAT を介したランサムウェア攻撃で悪用”
IoT OT Security News 
You must be logged in to post a comment.