Critical Vulnerabilities: CISA Alerts to Windows CLFS and Gladinet CentreStack Threats
2025/04/09 SecurityOnline — 4月8日付で米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2件の深刻な脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加し、ユーザーに対して速やかにパッチを適用するよう促している。1つ目は、Microsoft Windows Common Log File System (CLFS) の脆弱性 CVE-2025-29824 であり、2つ目は、Gladinet CentreStack の脆弱性 CVE-2025-30406 である。
Continue reading “CISA KEV 警告 25/04/08:Windows CLFS と Gladinet CentreStack の脆弱性を登録”Google fixed two actively exploited Android zero-days
2025/04/08 SecurityAffairs — Google が公表した、2025年4月の Android セキュリティ・アップデートは、62件の脆弱性に対処するものである。このアップデートには、標的型攻撃で悪用されている2件のゼロデイ脆弱性 CVE-2024-53197/CVE-2024-53150 が含まれる。脆弱性 CVE-2024-53197 は、Linux カーネルの問題であり、ALSA USB オーディオに影響を与えるものだ。悪意のデバイスにより、設定値を悪用されると、境界外メモリ・アクセスを引き起こす可能性が生じるという。
Continue reading “Android のゼロデイ脆弱性 CVE-2024-53197/53150 が FIX:実際の攻撃での悪用を確認”NIST Defers Pre-2018 CVEs to Tackle Growing Vulnerability Backlog
2025/04/08 InfoSecurity — NIST (National Institute of Standards and Technology) の正式発表によると、2018年1月1日以前に公開された、すべての CVE に対して、NVD 上で “Deferred” (保留) としてマークされることが決定したようだ。このステータスが付与された CVE は、CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) に登録されない限り、詳細情報の更新の優先順位が下げられる。
Continue reading “古い脆弱性は後回しに? NIST が CVE データ管理の方針転換を発表”Zoom Workplace Apps Vulnerability Enables Malicious Script Injection Through XSS Flaws
2025/04/08 gbhackers — Zoom Workplaceアプリに新たに発見された脆弱性 CVE-2025-27441/CVE-2025-27442 を悪用する攻撃者は、クロスサイト・スクリプティング (XSS) により悪意のスクリプトを挿入し、世界中の数百万人のユーザーにリスクをもたらすものだ。これらの脆弱性の CVSS スコアは 4.6 Medium と評価されているが、隣接ネットワーク上の未認証の攻撃者に対して、任意のコード実行を許し、整合性を侵害する可能性があるという。
Continue reading “Zoom Workplace の複数の脆弱性が FIX:XSS 攻撃を介した悪意のスクリプト挿入の可能性”Adobe Calls Urgent Attention to Critical ColdFusion Flaws
2025/04/08 SecurityWeek — 4月8日 (火) に Adobe がリリースしたのは、コンピュータ・システムに対するリモート制御される可能性がある、深刻な脆弱性に対する大量のセキュリティ・アップデートである。今月の Adobe Patch Tuesday は、ColdFusion/FrameMaker/Photoshop/Commerceといった企業向け製品における、合計で 54件の深刻な脆弱性に対処するものだ。
Continue reading “Adobe 製品群の 54件の深刻な脆弱性が FIX:ColdFusion/Commerce などの問題に対処”Microsoft April 2025 Patch Tuesday fixes exploited zero-day, 134 flaws
2025/04/08 BleepingComputer — 今日は Microsoft の April 2025 Patch Tuesday の日だ。今回のパッチでは、134件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、現時点で悪用されているゼロデイ脆弱性1件が含まれる。なお、今回の月例パッチでは、Critical レベルの脆弱性が 11件も修正されているが、そこにはリモートコード実行の脆弱性も含まれている。
Continue reading “Microsoft 2025-04 月例アップデート:1件のゼロデイを含む 134件の脆弱性に対応”WhatsApp for Windows Flaw Could Let Hackers Sneak In Malicious Files
2025/04/08 HackRead — 先日に発行された Facebook Security のセキュリティ・アドバイザリでは、WhatsApp for Windows に影響を与える、なりすましの脆弱性 CVE-2025-30401 が取り上げられている。この脆弱性を悪用するハッカーは、無防備なユーザーへの悪意の添付ファイル送信の可能性を手にする。これらのファイルは無害に見えるが、WhatsApp アプリ内で開くと、悪意のコード実行を引き起こす可能性があるという。
Continue reading “WhatsApp for Windows の脆弱性 CVE-2025-30401 が FIX:添付ファイルに対する不正確な判定のバグ”Fortinet Warns of Multiple Vulnerabilities in FortiAnalyzer, FortiManager, & Other Products
2025/04/08 gbhackers — Fortinet が公表したのは、FortiAnalyzer/FortiManager/FortiOS/FortiProxy/FortiVoice/FortiWeb/FortiSwitch などの製品群で発見された、複数の脆弱性の詳細と修正に関するリリースである。これらの脆弱性は、ログ出力の不適切なフィルタリングから、未確認のパスワード変更や、認証情報に対する不十分なセキュリティ保護にいたる多様なものである。すでに Fortinet は、アップデートと対策をリリースし、一連の脆弱性に対処している。
Continue reading “Fortinet の複数の脆弱性が FIX:FortiAnalyzer/FortiManager/FortiOS などの欠陥に対応”CVE-2025-27520: Critical BentoML Flaw Allows Full Remote Code Execution, Exploit Available
2025/04/08 SecurityOnline — AI アプリケーションやモデル推論向けに最適化された、オンライン・サービス・システムの構築に用いられる、Python ライブラリ BentoML に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-27520 (CVSS:9.8) は、攻撃者にリモート・コード実行 (RCE) を許し、影響を受けるライブラリ・バージョンを使用するシステムに重大なリスクをもたらす。
Continue reading “BentoML の深刻な脆弱性 CVE-2025-27520 が FIX:RCE の恐れと PoC の提供”Pexip Issues Urgent Security Update to Address Critical Vulnerabilities
2025/04/08 SecurityOnline — セルフホスト型ビデオ会議プロバイダーである Pexip が発表したのは、Infinity プラットフォームに存在する深刻な脆弱性を詳述するセキュリティ情報である。その内容は、深刻なヒープバッファ・オーバーフローの脆弱性 CVE-2024-12084 と、サービス拒否の脆弱性 CVE-2025-32095/CVE-2025-30080 に関するものである。
Continue reading “Pexip の脆弱性 CVE-2024-12084 などが FIX:境界外書き込みとサービス拒否の恐れ”PoC Released for CVE-2025-3155: Yelp Flaw Can Expose SSH Keys on Ubuntu Systems
2025/04/08 SecurityOnline — Ubuntu デスクトップにプリインストールされる GNOME ユーザーのための、ヘルプ・アプリケーション Yelp に脆弱性 CVE-2025-3155 が発見された。この脆弱性は、Yelp が URIスキームである “ghelp://” を処理する方法に起因している。
Continue reading “Yelp の脆弱性 CVE-2025-3155:URI スキームを悪用する情報窃取 PoC”CISA Warns of CrushFTP Vulnerability Exploitation in the Wild
2025/04/08 InfoSecurity — 米国のサイバーセキュリティ最高機関である CISA は、ファイル転送ソリューションの CrushFTP に存在する重大な脆弱性が、実際に悪用されていることを明らかにした。CVE-2025-31161 として追跡されている、この認証バイパスの脆弱性は、2025年4月7日付で CISA (Cybersecurity and Infrastructure Security Agency) の KEV (Known Exploited Vulnerabilities) カタログに追加された。
Continue reading “CISA KEV 警告 25/04/07:CrushFTP の脆弱性 CVE-2025-31161/2825 を登録”MediaTek’s April 2025 Security Bulletin: Critical WLAN Vulnerability Exposes Chipsets
2025/04/07 SecurityOnline — MediaTek が公表したのは、2025年4月の製品セキュリティ速報であり、様々なチップセットに影響を与えるセキュリティ脆弱性の詳細を解説するものだ。この速報が対象とするのは、スマートフォン/タブレット/AIoT デバイス/スマートディスプレイ/スマートプラットフォーム/OTT デバイス/コンピュータービジョン/オーディオ/テレビなどに使用されている、チップセットの脆弱性である。
Continue reading “MediaTek チップセットの複数の脆弱性が FIX:April 2025 セキュリティ速報”Linux Kernel Vulnerability Exposes Local Systems to Privilege Escalation, PoC Published
2025/04/07 SecurityOnline — 先日のことだが、Linux Kernel の Performance Events システム・コンポーネントに存在する、脆弱性 CVE-2023-6931 (CVSS:7.8) の技術的詳細と PoC エクスプロイト・コードを、あるセキュリティ研究者が公開した。この脆弱性は、ヒープ領域外書き込みの欠陥だと説明されており、影響を受ける Linux システムにおいて、ローカル権限昇格に悪用される可能性があるという。
Continue reading “Linux Kernel の脆弱性 CVE-2023-6931:詳細な技術情報と PoC エクスプロイト・コード”MinIO Urgently Patches High-Severity Incomplete Signature Validation Vulnerability
2025/04/07 SecurityOnline — Amazon S3 コンパチブルの高性能オブジェクト・ストレージ・サーバ MinIO が公表したのは、深刻なセキュリティ脆弱性を修正するための、パッチのリリースに関する情報である。この脆弱性 CVE-2025-31489 は、unsigned-trailer のアップロードにおける不完全な署名検証に関連するものであり、ユーザーに深刻なリスクをもたらす。
Continue reading “MinIO の脆弱性 CVE-2025-31489 が FIX:不完全な署名検証と不正オブジェクトのアップロード”Bitdefender GravityZone Console Hit by Critical PHP Deserialization Vulnerability
2024/04/07 SecurityOnline — Bitdefender GravityZone Console に発見された脆弱性の影響を受けるシステムに、深刻なリスクがもたらされる可能性があるという。この脆弱性 CVE-2025-2244 (CVSSv4:9.5) は、PHP における安全が確保されないデシリアライゼーションに起因する。
Continue reading “Bitdefender GravityZone Console の脆弱性 CVE-2025-2244 が FIX:任意のコマンド実行にいたる恐れ”2025/04/07 SecurityAffairs — 米国の CISA (Cybersecurity and Infrastructure Security Agency) は、Ivanti Connect Secure/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を、KEV (Known Exploited Vulnerabilities) カタログに追加した。この脆弱性 CVE-2025-22457 は、スタックバッファ・オーバーフローに起因し、リモート・コード実行 (RCE) を引き起こすという深刻なものである。
Continue reading “CISA KEV 警告 25/04/04:Ivanti CS/Policy Secure/ZTA の脆弱性 CVE-2025-22457 を登録”pgAdmin 4 Vulnerabilities Expose Databases to Remote Code Execution and XSS
2025/04/07 SecurityOnline — 広く利用されている PostgreSQL 管理ツール pgAdmin 4 だが、データベース環境に大きなリスクをもたらす、2つの深刻なセキュリティ脆弱性に対処したところである。最新リリースである、pgAdmin 4 のバージョン 9.2 では、リモート・コード実行 (RCE) 攻撃やクロスサイト・スクリプティング (XSS) 攻撃を許す可能性のある、深刻な欠陥が修正されている。したがって、ユーザーは、速やかにアップデートすべきである。
Continue reading “pgAdmin 4 の脆弱性 CVE-2025-2945/2946 が FIX:きわめて深刻な RCE と XSS”CVE-2025-31115: XZ Utils Hit Again with High-Severity Multithreaded Decoder Bug
2025/04/07 SecurityOnline — XZ Utils は、データ圧縮機能を提供する、広く利用されるツールとライブラリのスイートである。効率的な圧縮で知られる XZ Utils は、gzip よりも小さなファイルの作成が必要な場合で多用される。ネイティブ・ファイル・フォーマットは “.xz” だが、従来からの “.lzma” フォーマットもサポートしている。
Continue reading “XZ Utils の脆弱性 CVE-2025-31115 が FIX:マルチスレッド・デコーダーに深刻な影響”Unpatched Dell PowerProtect Systems Vulnerable to Remote Compromise
2025/04/07 SecurityOnline — Dell の PowerProtect Data Domain システムに、深刻なセキュリティ脆弱性が発見され、システム侵害のリスクが生じている。この脆弱性 CVE-2025-29987 は、Data Domain Operating System (DD OS) のバージョン 8.3.0.15 以下を使用する、Dell PowerProtect Data Domain に存在する。 問題の原因は、アクセス制御の不十分な粒度にあるとされる。
Continue reading “Dell PowerProtect の脆弱性 CVE-2025-29987 が FIX:ルート権限での任意のコマンド実行の恐れ”AMD Ryzen AI Software Update Addresses Multi Security Vulnerabilities
2025/04/06 SecurityOnline — AMD が発表したのは、Ryzen AI ソフトウェアに存在する複数のセキュリティ脆弱性に対処するための、アップデート・リリースの情報である。AMD Ryzen AI プロセッサを搭載した PC において、AI 推論を最適化して展開するように設計さる Ryzen AI ソフトウェアは、AMD XDNA アーキテクチャに組み込まれた Neural Processing Unit (NPU) 上でアプリケーションを実行する。新たに発見された脆弱性の悪用に成功したローカル攻撃者は、権限昇格/境界外書込に加えて、任意のコード実行の可能性を手にする。
Continue reading “AMD Ryzen AI Software の複数の脆弱性が FIX:RCE にいたる恐れ”50K+ WordPress Sites Exposed: Admin Takeover via Uncanny Automator
2025/04/05 SecurityOnline — 人気の WordPress プラグイン Uncanny Automator で発見された脆弱性により、50,000 以上の Web サイトにおいて、完全な侵害の可能性が生じている。この脆弱性 CVE-2025-2075 (CVSS:8.8) 悪用する認証済の攻撃者は、サブスクライバー・レベルのアクセス権を持つだけで、その権限を管理者へと昇格できる。つまり、攻撃者は実質的に、標的サイトを完全に制御できることになる。
Continue reading “WordPress Uncanny Automator プラグインの脆弱性 CVE-2025-2075 が FIX:Admin 権限への昇格の恐れ”SpotBugs Access Token Theft Identified as Root Cause of GitHub Supply Chain Attack
2025/04/04 TheHackerNews — Coinbase を最初に標的とし、その後に “tj-actions/changed-files” GitHub Action のユーザーへと拡大していった、いわゆる連鎖型のサプライチェーン攻撃が確認されている。さらに、この攻撃の足跡を遡ると、SpotBugs に関連する PAT (personal access token) の窃取に端を発していたことが判明した。
Continue reading “GitHub Action での連鎖的攻撃:SpotBugs の PAT 漏洩トリガー説を掘り下げる”Vite Development Server Flaw Allows Attackers Bypass Path Restrictions
2025/04/04 gbhackers — Vite 開発サーバに、深刻なセキュリティ脆弱性 CVE-2025-31125 が発見された。この脆弱性は、URL リクエスト処理中の不適切なパス検証に起因し、攻撃者に対してパス制限の回避を許すことで、影響を受けるサーバ上での任意のファイルへの不正アクセスを引き起こすものだ。
Continue reading “Vite 開発サーバの脆弱性 CVE-2025-31125 が FIX:ファイルへの不正アクセスと PoC”2025/04/04 SecurityOnline — Cisco が公表したのは、同社の Enterprise Chat and Email (ECE) 製品と Meraki MX/Z Series デバイスに存在する、脆弱性に対処するセキュリティ・アドバイザリのリリースである。これらの脆弱性により、サービス拒否 (DoS) 攻撃が発生する可能性があるという。
Continue reading “Cisco の ECE/Meraki の脆弱性 CVE-2025-20139/20212 が FIX:サービス拒否の恐れ”Halo ITSM Vulnerability Lets Attackers Inject Malicious SQL Code
2025/04/04 gbhackers — クラウド/オンプレミス環境に広く導入されている、 IT サポート管理ソフトウェア Halo ITSM に、深刻なセキュリティ上の欠陥が発見された。この脆弱性により、攻撃者は悪意の SQL コードの挿入を達成する。その結果として、認証情報や社内文書などの機密データなどを取り込む IT サポート・チケットの管理に、Halo ITSM を利用する組織に大きな脅威が生じる。
Continue reading “Halo ITSM の SQLi の脆弱性 CVE-N/A が FIX:PoC リクエストが提供”CVE-2025-2704: Critical Bug in OpenVPN Can Trigger Server Crashes
2025/04/04 SecurityOnline — OpenVPN コミュニティが発表したのは、サーバ・サイドの脆弱性 CVE-2025-2704 を修正する、重要なセキュリティ・アップデート OpenVPN 2.6.14 のリリースである。この脆弱が微武器化されると、”–tls-crypt-v2″ オプションでコンフィグされた VPN サーバが、クラッシュする可能性が生じる。
Continue reading “OpenVPN の脆弱性 CVE-2025-2704 が FIX:サーバ・クラッシュとサービス中断の恐れ”Apache Traffic Server Hit by Request Smuggling Vulnerability (CVE-2024-53868)
2025/04/04 securityonline — 広く採用されている高性能 HTTP プロキシ サーバ Apache Traffic Server (ATS) だが、リクエスト・スマグリング攻撃に対して脆弱であることが判明した。その原因である脆弱性 CVE-2024-53868 は、チャンク化されたメッセージを ATS が処理する方法に起因し、HTTP リクエスト処理に対する攻撃者の干渉を許すものだという。
Continue reading “Apache Traffic Server の脆弱性 CVE-2024-53868 が FIX:リクエスト・スマグリング攻撃の恐れ”Hackers Exploit Apache Tomcat Flaw to Hijack Servers and Steal SSH Credentials
2025/04/03 gbhackers — 新たに発見された攻撃キャンmasuペーンにより露呈した、Apache Tomcat サーバの脆弱性 CVE-2025-24813 を悪用するハッカーたちは、リソースの乗っ取りと SSH 認証情報の窃取を可能にしている。この問題の発見から 30 時間以内にボットネットを武器化した一連の攻撃は、暗号化されたペイロードと高度な永続化メカニズムを用いるものであり、Windows/Linux プラットフォームで稼働するシステムに侵入したことを、Aqua Nautilus の研究者たちが明らかにした。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-24813 への攻撃:ハッカーたちの高度な戦術を解明する”SonicWall Firewall Vulnerability Enables Unauthorized Access
2025/04/03 gbhackers — SonicWall ファイアウォールに影響を及ぼす、認証バイパスの脆弱性 CVE-2024-53704 の悪用を、Bishop Fox の研究者たちが実証した。この深刻な脆弱性を悪用するリモート攻撃者は、アクティブな SSL VPN セッションを乗っ取り、ユーザーの認証情報を必要とせずに、不正なネットワーク・アクセスを可能にするという。SonicWall デバイスにネットワーク・セキュリティ依存する組織において、この脆弱性に対するパッチが未適用の場合には、深刻なリスクが生じることになる。
Continue reading “SonicWall Firewall の脆弱性 CVE-2024-53704:90日間の猶予を経て PoC が公開”Google’s Quick Share for Windows Vulnerability Allows Remote Code Execution
2025/04/03 gbhackers — Google が Windows 向けに提供する、ファイル転送ユーティリティ Quick Share に、新たな脆弱性が発見されたことを、SafeBreach Labs のサイバー・セキュリティ研究者たちが明らかにした。この問題には、標的デバイスでのコード実行を攻撃者に許す、きわめて深刻な欠陥も含まれる。今週に公開された調査結果が浮き彫りにするのは、2024年に Google がパッチ適用を報告した後にも、この広く使用されるツールにリスクが存在することだ。
Continue reading “Google の Quick Share for Windows の脆弱性:Mobile と PC をつなぐシステムの難しさとは?”Attackers are leveraging Cisco Smart Licensing Utility static admin credentials (CVE-2024-20439)
2025/04/03 HelpNetSecurity — 2025年3月31日の時点で CISA は、Cisco Smart License Utility Manager (CSLU) における静的認証情報の脆弱性 CVE-2024-20439 が、攻撃者により悪用されていることを確認し、KEV (Known Exploited Vulnerabilities) カタログに追加した。Cisco サイドも、CSLU ソフトウェアの情報漏えいの脆弱性である、 CVE-2024-20439 と CVE-2024-20440 のセキュリティ・アドバイザリを更新することで、この問題に対応した。同社は、「2025年3月の時点で、Cisco PSIRT (Product Security Incident Response Team) は、この脆弱性に対する悪用の試行を確認した」と述べている。
Continue reading “Cisco Smart Licensing Utility の脆弱性 CVE-2024-20439:CISA KEV 登録までの経緯を整理”CVE-2025-31334: WinRAR Flaw Enables Mark-of-the-Web Bypass and Arbitrary Code Execution
2025/04/03 SecurityOnline — 世界で5億人以上のユーザーを抱える、ファイル圧縮ツールである WinRAR で、新たな脆弱性が発見された。この欠陥を悪用する攻撃者は、Windows にセキュリティ警告を出させずに、悪意のコード実行の機会を手にする。この、Mark-of-the-Web (MotW) バイパス脆弱性の CVE-2025-31334 (CVSS:6.8) は、WinRAR のバージョン 7.11 未満に影響を及ぼすものであり、実際の攻撃シナリオで悪用される可能性があるとされる。
Continue reading “WinRAR の脆弱性 CVE-2025-31334 が FIX:MotW バイパスとコード実行の可能性”Verizon Call Filter App Vulnerability Exposed Call Log Data of Customers
2025/04/03 gbhackers — Verizon で発見された、iOS 向け Call Filter アプリの脆弱性により、顧客の通話履歴への不正アクセスが可能になった。必要とされる技術的知識を持つ人であれば、この欠陥を悪用することで、Verizon の電話番号の着信通話データ (タイムスタンプ付き) を取得し、プライバシーとセキュリティに深刻なリスクを引き起こせる。
Continue reading “Verizon – Call Filter App の脆弱性:通話ログなどのメタデータを漏洩”Multiple Jenkins Plugin and Core Vulnerabilities Expose Sensitive Data and Execution Paths
2025/04/03 SecurityOnline — Jenkins プロジェクトが公表したのは、Jenkins コアとプラグインに影響を及ぼす、中程度から高程度の脆弱性に関する新しいセキュリティ・アドバイザリのリリースである。これらの問題は、権限チェックの欠如や CSRF 脆弱性から、API キーとパスワードのプレーンテキスト・ストレージにまでに至るものであり、DevOps パイプラインで Jenkins を使用している、何百万ものユーザーに対して影響を及ぼすものだ。
Continue reading “Jenkins の Core/Plugin に複数の脆弱性:アップデートと緩和策の確認が必要”2025/04/03 SecurityOnline — React Router が公表したのは、React アプリケーションにおけるルーティング管理で使用される、一般的なライブラリで発見された脆弱性 CVE-2025-31137 に関する情報である。
Continue reading “React Router の CVE-2025-31137 が FIX:Web App キャッシュ汚染や WAF バイパスなどの恐れ”Multiple Vulnerabilities in Zabbix Open the Door to XSS, DoS, and SQL Injection
2025/04/03 SecurityOnline — IT インフラ監視の要である Zabbix が公表したのは、重大度の低い情報漏洩から、影響の大きい SQL インジェクションやサービス拒否 (DoS) のリスクに至るまでの、新たに発見された5つのセキュリティ脆弱性の修正に関する情報である。
Continue reading “Zabbix の複数の脆弱性が FIX:XSS/DoS/SQLi などの可能性”Microsoft adds hotpatching support to Windows 11 Enterprise
2025/04/03 BleepingComputer — Microsoft が発表したのは、x64 (AMD/Intel) システムで Windows 11 Enterprise 24H2 を使用している、ビジネス ・カスタマー向けのホットパッチ・アップデートが、4月2日付で利用可能になったことだ。ホットパッチが利用可能なデバイス上の Windows は、デバイスを再起動せずにバックグラウンドでダウンロード/インストールすることで、ユーザーによる OS セキュリティ・アップデートのインストールが可能になる。
Continue reading “Windows 11 Enterprise でホットパッチ・サポートが開始:メモリ内でのコード操作で再起動が不要に?”Rancher Users: Update Now to Fix Admin Takeover Bug (CVE-2025-23391)
2025/04/03 SecurityOnline — Rancher に、セキュリティ脆弱性 CVE-2025-23391 (CVSS :9.1) が発見された。Rancher は、オープンソースのコンテナ管理プラットフォームで、ロケーションを選ぶことなく Kubernetes を、IT 要件を満たしながら簡単に実行するため、DevOps チームに頼りにされている。その Rancher 脆弱性により、深刻なリスクがもたらされる。
Continue reading “Rancher の脆弱性 CVE-2025-23391 が FIX:管理権限の制限に関する問題”High-Severity Vulnerabilities in Bruno API Client Expose Users to Potential RCE
2025/04/03 SecurityOnline — Bruno プロジェクトが公表したセキュリティ・アドバイザリは、Bruno API クライアントに存在する深刻な脆弱性を明らかにするものであり、信頼できないソースからのコレクションをインポートする際のリスクを強調している。ファイル・システム上のフォルダに、コレクションをダイレクトに保存する Bruno は、プレーン・テキスト・マークアップ言語である Bru を用いて、API リクエストに関する情報を保存する。この方式は、Postman などのツールに代表される現状を刷新する、革新的な API クライアントとして位置付けられている。
Continue reading “Bruno API Client の脆弱性 CVE-2025-30354/30210 が FIX:RCE などの恐れ”Cisco AnyConnect VPN Server Vulnerability Allows Attackers to Trigger DoS
2025/04/03 gbhackers — Cisco が明らかにしたのは、Meraki MX および Z シリーズ デバイス用の AnyConnect VPN サーバに存在する、深刻な脆弱性に関する情報である。この脆弱性を悪用する認証済の攻撃者は、サービス拒否 (DoS) 状態をトリガーできるようになる。この脆弱性 CVE-2025-20212 は、SSL VPN セッションの確立中の初期化されていない変数に起因し、エンタープライズ・ネットワークにおける、20 種類を超えるハードウェア・モデルに影響を及ぼす。
Continue reading “Cisco AnyConnect の脆弱性 CVE-2025-20212 が FIX:SSL VPN 接続に中断の恐れ”Google Cloud Platform Vulnerability Exposes Sensitive Data to Attackers
2025/04/02 gbhackers — Google Cloud Platform (GCP) に存在する、”ImageRunner” という名の権限昇格の脆弱性が、Tenable Research により発見された。この脆弱性を悪用する攻撃者は、Google Cloud Run の権限を用いて、プライベート・コンテナ・イメージに保存される機密データにアクセスできる状況にあったが、現在は修正されている。
Continue reading “Google Cloud Platform の脆弱性 ImageRunner:ID 管理と機密データの流出”VyOS and Debian Systems Vulnerable to Man-in-the-Middle Attacks (CVE-2025-30095)
2024/04/02 SecurityOnline — 人気の OSS ネットワーク OS である VyOS に、深刻な脆弱性 CVE-2025-30095 が発見された。この欠陥は、Dropbear ベースのコンソール・サーバでのプライベート SSH キーの再利用に起因し、アクティブな中間者 (MITM) 攻撃を可能にするものだ。なお、この脆弱性を報告したのは、Viasat の Morgan Jones である。
Continue reading “VyOS/Debian の深刻な脆弱性 CVE-2025-30095 が FIX:SSH キーの想定外の再利用”MongoDB Patches: DoS & Bypass Risks Addressed
2025/04/02 SecurityOnline — 人気のオープンソース NoSQL データベースである MongoDB が公表したのは、新たに公開された3つの脆弱性に対処するパッチのリリースである。これらの脆弱性の悪用に成功した攻撃者は、MongoDB デプロイメントに対して、サービス拒否攻撃や認証バイパス攻撃を仕掛ける可能性を手にする。
Continue reading “MongoDB の脆弱性 CVE-2025-3083/3084/3085 が FIX:サービス拒否や認証バイパスの恐れ”CVE-2025-30223 (CVSS 9.3): Critical XSS Vulnerability Discovered in Beego Framework
2025/04/02 SecurityOnline — Web アプリや API の構築で人気を博す、Go フレームワークである Beego Framework に、クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性 CVE-2025-30223 (CVSS:9.3) を悪用する攻撃者は、悪意の JavaScript コードを Web ページに挿入し、ユーザー・データやセッションを侵害する可能性を手にする。
Continue reading “Beego Framework の脆弱性 CVE-2025-30223 (CVSS:9.3) が FIX:Go 環境に深刻な XSS”CVE-2025-30065 (CVSS 10): Critical Vulnerability Discovered in Apache Parquet Java
2025/04/02 SecurityOnline — 広く使用されている OSS のカラム指向データファイル形式である Apache Parquet に、深刻なセキュリティ脆弱性が存在することが判明した。この脆弱性は、Apache Parquet Java ライブラリを使用するシステムに対して、深刻なリスクをもたらす。
Continue reading “Apache Parquet Java の脆弱性 CVE-2025-30065 (CVSS 10) が FIX:任意のコード実行の恐れ”Critical Vulnerabilities Threaten IBM App Connect Enterprise
2025/04/02 SecurityOnline — IBM が公表したのは、App Connect Enterprise (ACE) ソフトウェアの複数のバージョンが、リモート・コード実行 (RCE) に対して脆弱だと警告する、重要なセキュリティ速報である。ただし、その原因となるのは、サードパーティ・パッケージである、jsonpath-plus と snowflake-connector-nodejs における、安全が確保されていないデフォルトの設定であるという。
Continue reading “IBM App Connect Enterprise の脆弱性 CVE-2025-1302 などが FIX:RCE の恐れ”Google Fixed Cloud Run Vulnerability Allowing Unauthorized Image Access via IAM Misuse
2025/04/02 TheHackerNews — Google Cloud Platform (GCP) Cloud Run の権限昇格の脆弱性の詳細を、サイバー・セキュリティ研究者たちが公開した。この、現在はパッチ適用済みの脆弱性を悪用する攻撃者には、コンテナ・イメージにアクセスし、悪意のコード挿入にいたる可能性があったとされる。
Continue reading “Google Cloud の脆弱性が FIX:コンテナ・イメージからのシークレットや機密データの窃取とは?”Chrome 135: 14 Security Fixes, High-Severity CVE-2025-3066 Flaw Patched
2025/04/02 SecurityOnline — Google Chrome チームは、Windows/macOS/Linux の Stable チャネルで Chrome 135 を正式にリリースし、数十億人のユーザーに対して、セキュリティ強化/バグ修正/コード改善などを提供している。このアップデートには、14 件のセキュリティ修正が取り込まれているが、その一部は、外部の研究者たちにより特定されたものだ。
Continue reading “Chrome 135 がリリース:CVE-2025-3066 などを含む 14件の脆弱性に対処”CISA Flags Apache Tomcat CVE-2025-24813 as Actively Exploited with 9.8 CVSS
2025/04/02 SecurityOnline — 現時点において積極的な悪用が観測されている、Apache Tomcat の深刻な脆弱性 CVE-2025-24813 (CVSS:9.8) が、CISA の KEV カタログに掲載された。このリモート・コード実行の脆弱性により、無数の Web サーバが危険に直面している状況にあり、また、公開されている PoC エクスプロイト・コードが、攻撃者たちにより武器化されている。
Continue reading “CISA KEV 警告 25/04/01:Apache Tomcat の脆弱性 CVE-2025-24813 を登録”
IoT OT Security News 
You must be logged in to post a comment.