IoT OT Security News

Apache Pinot の脆弱性 CVE-2024-56325 が FIX：容易に悪用できる認証バイパス

Critical Vulnerability Discovered in Apache Pinot: Authentication Bypass Exposes Systems to Severe Risk

2025/03/28 SecurityOnline — LinkedIn でオリジナルが開発された、高スループット／低レイテンシの OLAP データストア Apache Pinot は、データ・ドリブンな意思決定のためのリアルタイム分析を提供するように設計されている。その Pinot において、先日に発見された脆弱性 CVE-2024-56325 により、影響を受けるバージョンを実行しているシステムに深刻なリスクが生じている。

Morphing Meerkat という Phishing-as-a-Service：新たな戦術として DNS-over-HTTPS の悪用を導入

Phishing-as-a-service operation uses DNS-over-HTTPS for evasion

2025/03/28 BleepingComputer — 研究者たちが Morphing Meerkat と呼ぶ、PhaaS (phishing-as-a-service) オペレーションは、DNS over HTTPS (DoH) プロトコルを悪用することで検出を回避している。この最新のプラットフォームは、DNS MX (Mail Exchange) レコードも悪用することで、被害者のメール・プロバイダーを特定する一方で、114件を超えるブランドの偽装ログイン・ページを動的に展開している。

Directus の深刻な脆弱性 CVE-2025-30353 が FIX：Webhook トリガーによる機密データの漏洩

CVE-2025-30353: Directus Vulnerability Exposes Sensitive Data in Webhook Trigger Flows

2025/03/28 SecurityOnline — SQL データベース・コンテンツの管理のための、Real-Time API とApp Dashboard である Directus に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-30353 (CVSS：8.6) の悪用に成功した攻撃者は、機密データへの不正アクセスの可能性を手にする。

Ghostscript の複数の脆弱性が FIX：バッファ・オーバーフローや任意のファイル・アクセスの恐れ

Ghostscript Nightmare: Critical Severity Vulnerabilities Put Users at Risk

2025/03/28 SecurityOnline — PostScript および Portable Document Format (PDF) ファイルで広く使用されるインタープリタ Artifex Ghostscript で、いくつかのセキュリティ脆弱性が特定された。Ghostscript は、PostScript インタープリタ・レイヤーとグラフィックス・ライブラリで構成されている。このグラフィックス・ライブラリは、Ghostscript ファミリの全製品と共有されるため、より正確には GhostPDL と呼ぶべきかもしれないが、Ghostscript という呼び名が一般である。

Cloudflare の OPKSSH が OSS として提供：SSH に Single Sign-On がやってくる

Cloudflare open sources OPKSSH to bring Single Sign-On to SSH

2025/03/28 HelpNetSecurity — OPKSSH は IdP (identity providers) との緊密な統合により、信頼できるサードパーティであっても介在をすることで、合理的かつ安全性の高い方法で SSH 認証を管理するものだ。今週に、OpenPubkey プロジェクト傘下に位置するかたちで、OPKSSH は正式にオープンソース化された。OpenPubkey 自体は、2023 年に Linux Foundation のオープンソース・イニシアチブになったが、これまでの OPKSSH はクローズド・ソースだった。

GLPI の SQLi 脆弱性 CVE-2025-24799 が FIX：データ漏えいや RCE に至る可能性

GLPI ITSM Tool Flaw Allows Attackers to Inject Malicious SQL Queries

2025/03/28 gbhackers — 広く使用されているオープンソースの ITSM (IT Service Management) ツールである GLPI に、深刻な SQL インジェクション脆弱性が発見された。この脆弱性 CVE-2025-24799 は、GLPI におけるユーザー入力の処理方法に起因する。この脆弱性が悪用されると、データベースのクエリ操作が未認証のリモート攻撃者に許され、データ盗難／改ざん／リモート・コード実行などの深刻な被害が生じるという。

CoffeeLoader という最新のマルウェア・ローダーを発見：SmokeLoader との連携も疑われる

CoffeeLoader Malware Loader Linked to SmokeLoader Operations

2025/03/27 InfoSecurity — 新たに特定された CoffeeLoader というマルウェア・ローダーだが、エンドポイント・セキュリティ対策を回避しながら、第２段階のペイロードを展開することが確認されている。Zscaler ThreatLabz の研究者たちは、この 2024年9月に登場したマルウェアを追跡しており、SmokeLoader と組み合わせも確認しているという。

Synology Mail Server の脆弱性 CVE-2025-2848 が FIX：リモートからのコンフィグ書換

CVE-2025-2848: Synology Mail Server Vulnerability Allows Remote Configuration Tampering

2025/03/27 SecurityOnline — 先日に Synology Mail Server で発見された脆弱性を悪用する、認証済のリモート攻撃者は、システム・コンフィグの改竄を達成し、企業や家庭の NAS 環境におけるメール・サービスの、安定性に影響を及ぼすとされる。

npm パッケージに仕込まれた情報窃取型マルウェア：暗号通貨関連の機密情報を流出？

Infostealer campaign compromises 10 npm packages, targets devs

2025/03/27 BleepingComputer — npm パッケージ 10個が改ざんされ、悪意のコードが仕込まれ、開発者のシステムから環境変数などの機密データが接種されていたことが、Sonatype の最新の調査により明らかになった。この攻撃キャンペーンは複数の暗号通貨関連パッケージを標的としており、その中には、週に数千回ダウンロードされる人気のパッケージ “country-currency-map” も含まれている。

Vite の脆弱性 CVE-2025-30208 が FIX：任意のファイル読み取りの PoC も登場

Millions at Risk: PoC Exploit Releases for Vite Arbitrary File Read Flaw (CVE-2025-30208)

2025/03/27 SecurityOnline — 数百万もの最新 Web アプリを支える、超高速フロントエンド・ビルド・ツール Vite に、ファイル・アクセス制御バイパスの脆弱性が発見された。この脆弱性により、任意のファイル・コンテンツが、ブラウザに公開されてしまう可能性が生じている。この脆弱性 CVE-2025-30208 を悪用する攻撃者は、ファイル・システムの制限をバイパスし、機密情報へのアクセスの可能性を手にする。

CrushFTP の脆弱性 CVE-2025-2825／CVE-2025-31161 が FIX：機密データや管理機能への不正アクセス

CVE-2025-2825: Critical Vulnerability in CrushFTP Exposes Servers to Unauthenticated Access Risk

2025/03/27 SecurityOnline — CrushFTP のバージョン 10／11 に影響を及ぼす、深刻度の高い脆弱性に対するパッチが適用され、管理者たちには速やかな対応が求められている。一般企業／政府機関／ホスティング・プロバイダーなどで多用される、安全なファイル転送プラットフォーム CrushFTP に、新たな脆弱性が発見された。この脆弱性 CVE-2025-2825 (CVSS：9.8) を悪用する未認証の攻撃者は、特別に細工された HTTP リクエストを介して、リモート・アクセスの可能性を手にする。

CISA KEV 警告 25/03/27：Chromium Mojo の CVE-2025-2783 を登録

U.S. CISA adds Google Chromium Mojo flaw to its Known Exploited Vulnerabilities catalog

2025/03/27 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Google Chromium Mojo のサンドボックス・エスケープ脆弱性 CVE-2025-2783 を、Known Exploited Vulnerabilities (KEV) カタログに追加した。

Splunk Enterprise の脆弱性 CVE-2025-20229／20231 が FIX：RCE とデータ漏洩の恐れ

Splunk Alert: RCE and Data Leak Vulnerabilities Threaten Platforms

2025/03/27 SecurityOnline — Splunk がリリースしたのは、マシン生成データの検索／監視／分析に多用されるプラットフォーム Splunk Enterprise／Cloud Platform に影響を及ぼす、深刻な脆弱性を詳述するセキュリティ・アドバイザリである。これらの脆弱性の悪用に成功した攻撃者は、リモート・コード実行や機密情報の漏洩などを引き起こす可能性を手にする。

Firefox のサンドボックス・エスケープの脆弱性 CVE-2025-2857 が FIX：Chrome の問題に類似？

Mozilla warns Windows users of critical Firefox sandbox escape flaw

2025/03/27 BleepingComputer — Mozilla がリリースした Firefox 136.0.4 は、Windows システム上の Web ブラウザのサンドボックスにおいて、攻撃者にエスケープを許す深刻なセキュリティ欠陥を修正するものだ。Mozilla 開発者の Andrew McCreight は、「この脆弱性 CVE-2025-2857 は、誤ったハンドルによるサンドボックス・エスケープの可能性を示すものだ」と説明している。

Synapse Servers の脆弱性 CVE-2025-30355 が FIX：積極的な DoS 攻撃を観測

Synapse Servers at Risk: Zero-Day DoS in the Wild

2025/03/27 SecurityOnline — OSS の Matrix ホームサーバ実装である Synapse に、深刻なゼロデイ脆弱性が発見された。すでに、この脆弱性は悪用されており、サービス拒否状態が引き起こされる可能性が生じている。

Exim の脆弱性 CVE-2025-30232 が FIX：特定の条件下でローカル権限の昇格

CVE-2025-30232: Use-After-Free Vulnerability in Exim Exposes Systems to Privilege Escalation

2025/03/27 SecurityOnline — Unix システムで広く使用されている MTA (Message Transfer Agent) である Exim が、深刻なセキュリティ脆弱性に直面している。この脆弱性 CVE-2025-30232 は、特定の条件下でローカル権限の昇格を引き起こす可能性のある、解放後メモリ使用の欠陥である。

Frappe Framework の深刻な３つの脆弱性が FIX：SQLi／RCE／情報漏洩の恐れ

Triple Threat in Frappe Framework: SQL Injection, RCE, and Info Disclosure Fixed in Recent Patches

2025/03/27 SecurityOnline — ERPNext などのデータベース駆動型アプリケーションを支える、フルスタック Web フレームワーク Frappe Framework に、複数の深刻なセキュリティ脆弱性が発生した。Frappe は、Python／JavaScript ベースの多用途 Web フレームワークであり、データベース・セントリックなアプリケーションの開発を簡素化する。その堅牢な機能セットにより、複雑な Web ソリューションの構築に多用されている。

WordPress – User Registration & Membership プラグインの脆弱性 CVE-2025-2563 が FIX：PoC も公開

WordPress Plugin CVE-2025-2563 Scores 9.8, Threatens Thousands of Membership Sites

2025/03/27 SecurityOnline — Web サイトのメンバーシップや登録フォームの作成で人気を博している、WordPress の User Registration & Membership プラグインに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-2563 の CVSS スコアは 9.8 であり、高い深刻度を示している。

CryptoLib 脆弱性 CVE-2025-30216 が FIX：宇宙船と地上局との通信にセキュリティ問題

CryptoLib Vulnerability: Heap Overflow Threatens Space Communications

2025/03/27 SecurityOnline — CCSDS の Space Data Link Security Protocol (SDLS) および、SDLS Extended Procedures (SDLS-EP) の、C 言語ベースのソフトウェア実装である CryptoLib に、深刻なセキュリティ脆弱性が発見された。この欠陥により、宇宙船と地上局間の通信に、重大なセキュリティ・リスクが生じる可能性がある。

Appsmith の脆弱性 CVE-2024-55963 などが FIX：PostgreSQL ミスコンフィグと RCE PoC

CVE-2024-55963: Appsmith’s Default PostgreSQL Misconfiguration Leads to RCE, PoC Releases

2025/03/27 SecurityOnline — 先日に Rhino Security Labs が公表したのは、Appsmith 製品のデフォルト・インストールに影響を及ぼす、一連の重大な脆弱性に関する詳細な情報である。これらの脆弱性のうちで、最も深刻なものは CVE-2024-55963 であり、デフォルトで取り込まれている PostgreSQL データベースのミスコンフィグにより、未認証の攻撃者に対してリモート・コード実行を許すものである。

CISA KEV 警告 25/03/26：6年前に発見された Sitecore CMS／XP の脆弱性を登録

CISA Flags Two Six-Year-Old Sitecore Flaws Amid Active Exploitation Evidence

2025/03/27 TheHackerNews — 米国 CISA (Cybersecurity and Infrastructure Security Agency) は、活発に悪用されているという証拠に基づき、Sitecore CMS および Experience Platform (XP) に影響を与える２つのセキュリティ脆弱性を、KEV (Known Exploited Vulnerabilities) カタログに追加した。これらの脆弱性は、６年前に発見されたものである。

MoxieManager の深刻な脆弱性 CVE-2025-30091 が FIX：インストールに関連する RCE

CVE-2025-30091: Critical RCE Flaw Found in MoxieManager

2025/03/26 SecurityOnline — メディア・ファイルのアップロード／整理／保存のプロセスを効率化する MoxieManager は、CMS (content management systems)／Web Hosting controllers／LMS (learning management systems) などのプラットフォームで広く使用されている。この MoxieManager で発見された脆弱性は、任意のコードの挿入／実行を引き起こすものであり、さまざまな環境に重大なリスクをもたらす。

GitLab の複数の脆弱性 CVE-2025-2255／0811 などが FIX：XSS や権限昇格の恐れ

GitLab Alert: Patch Now! XSS & Privilege Escalation Risks

2025/03/26 SecurityOnline — GitLab はセキュリティ・アドバイザリを発行し、セルフマネージド GitLab Community Edition (CE) および Enterprise Edition (EE) の全ユーザー対して、最新バージョンである 17.10.1／17.9.3／17.8.6 へと、速やかにアップグレードするよう促している。このアップデートは、クロスサイト・スクリプティング (XSS) の欠陥や権限昇格の問題などの、一連の脆弱性に対処するものである。

Atlantis AIO という Credential Stuffing as a Service：140 のサイトに対応

New Atlantis AIO platform automates credential stuffing on 140 services

2025/03/26 BleepingComputer — Atlantis AIO という新たなサイバー犯罪プラットフォームは、電子メールサービス／電子商取引サイト／バンキング／VPN などの 140 のオンライン・プラットフォームに対して、自動化されたクレデンシャル・スタッフィング・サービスを提供している。具体的に言うと、Atlantis AIO にはプレ・コンフィグ・モジュールが備わっており、ブルートフォース攻撃／CAPTCHA の回避／アカウント回復プロセスなどを自動化することで、盗み出したクレデンシャルやアカウントから収益を得るサービスが提供される。

VMware Tools for Windows の脆弱性 CVE-2025-22230 が FIX：認証バイパスの恐れ

VMware Tools for Windows Hit by CVE-2025-22230 Auth Bypass Flaw

2025/03/26 SecurityOnline — 先日の Broadcom のセキュリティ・アドバイザリは、VMware Tools for Windows の重要なセキュリティ・アップデートを取り上げるものだ。Windows ゲスト仮想マシン (VM) 上で、管理者権限を持たない悪意のユーザーに対して、対象 VM 内で特定の高権限の操作を許す可能性のある認証バイパスの脆弱性について、このアドバイザリは詳述している。

CrushFTP の HTTP(S) Port の脆弱性 CVE-2025-2825 が FIX：現時点で悪用の報告は無し

CrushFTP Warns of HTTP(S) Port Vulnerability Enabling Unauthorized Access

2025/03/26 gbhackers — 人気のファイル転送テクノロジーである CrushFTP と、Web アプリ構築で広く使用される React フレームワークである Next.js だが、どちらも深刻な脆弱性について精査されるという状況にある。これらの問題に注目する Rapid7 は、データ・セキュリティと不正アクセスに関する潜在的な影響を強調している。

Chromium Mojo の脆弱性 CVE-2025-2783 が FIX：ロシア標的の攻撃で積極的に悪用

Google fixed the first actively exploited Chrome zero-day since the start of the year

2025/03/26 SecurityAffairs — Google が公表したのは、Windows 版 Chrome ブラウザに存在する、深刻度の高い out-of-band の脆弱性 CVE-2025-2783 に対処する修正のリリースである。この脆弱性は、ロシアの組織を標的とする攻撃で、積極的に悪用されていたという。

Apache VCL の深刻な脆弱性が FIX： SQLi CVE-2024-53678 と XSS CVE-2024-53679

Apache VCL Hit by SQL Injection (CVE-2024-53678) and XSS (CVE-2024-53679) Vulnerabilities

2025/03/26 SecurityOnline — Apache VCL (Virtual Computing Lab) は、カスタム・コンピューティング環境を提供するために設計された、広く使用される OSS クラウド・プラットフォームだが、深刻なセキュリティ上の欠陥に直面している。最新のアドバイザリで明らかにされた、２つの深刻な脆弱性は、SQL インジェクションとクロスサイト・スクリプティング (XSS) を引き起こすものである。

Oracle Cloud のアカウント情報窃取：ユーザーの証言と脆弱性 CVE-2021-35587 の悪用

Oracle customers confirm data stolen in alleged cloud breach is valid

2025/03/26 BleepingComputer — Oracle Cloud フェデレーション SSO ログイン・サーバの侵害と、600 万人分のアカウント・データの窃取について、同社は否定しているが、BleepingComputer が複数の企業に確認したところ、脅威アクターが共有した関連データ・サンプルは有効だと推定できる。

Windows に NTLM ハッシュ漏洩の脆弱性：0patch がマイクロパッチを提供

New Windows zero-day leaks NTLM hashes, gets unofficial patch

2025/03/25 BleepingComputer — Windows の新たなゼロデイ脆弱性に対する、無料の非公式パッチが提供された。この脆弱性を悪用するリモート攻撃者は、ターゲットを騙して Windows Explorer 上で悪意のファイルを表示させ、NTLM 認証情報を盗み出す機会を手にする。

中国ハッカー Weaver Ant：アジアのテレコムへの４年超の不正アクセス

Chinese Hackers Breach Asian Telecom, Remain Undetected for Over 4 Years

2025/03/25 TheHackerNews — 中国の国家支援ハッカーにより４年以上にわたって、あるアジアの大手テレコムがシステム侵入の被害を受けていたことが、インシデント対応企業 Sygnia の最新レポートで明らかになった。Sygnia は、このインシデントを “Weaver Ant” という名称で追跡しており、きわめてステルス性が高く執拗な攻撃者だと述べている。なお、侵入を受けたテレコムの名称は公表されていない。

IngressNightmare という４つの深刻な脆弱性：クラウド環境の 43％に影響

IngressNightmare: Four Critical Bugs Found in 40% of Cloud Systems

2025/03/25 InfoSecurity — 人気の Ingress NGINX Controller を使用する Kubernetes ユーザーは、新たに発見された４つのリモート・コード実行 (RCE) の脆弱性 (CVSS：9.8) に対するパッチ適用を求められている。

Linux Kernel の脆弱性 CVE-2025-0927 が FIX：Ubuntu 22.04 ユーザーは要注意

CVE-2025-0927: Public Exploit Released for Linux Kernel Privilege Escalation Bug

2025/03/25 SecurityOnline — 主として Ubuntu 22.04 ユーザーに影響を及ぼす、Linux カーネル内の重大な脆弱性について、新たに公開された SSD Disclosure のアドバイザリが詳述している。この脆弱性 CVE-2025-0927 は、HFS+ ファイル・システム実装におけるヒープ・オーバーフローの欠陥であり、影響を受けるシステム上で、攻撃者に対してローカル権限の昇格を許す可能性があるものだ。

Raspberry Robin マルウェアの C2 ドメイン約 200件を特定：ロシアとの関係と EU 経由での拡散

Researchers Uncover ~200 Unique C2 Domains Linked to Raspberry Robin Access Broker

2025/03/25 TheHackerNews — Raspberry Robin マルウェアに関連する約 200のユニークな C2 (command-and-control) ドメインが、Silent Push の調査により発見された。Silent Push は、「Raspberry Robin (別名：Roshtyak／Storm-0856) は、複雑で進化し続ける脅威アクターであり、他の犯罪グループに対して初期アクセス・ブローカー (IAB：initial access broker) サービスを提供している。それらのグループの多くは、ロシアとつながりがある」と、 The Hacker News に共有したレポートで述べている。

Windows MMC の脆弱性 CVE-2025-26633 を悪用：Water Gamayun が展開するキャンペーンとは？

CVE-2025-26633: Water Gamayun Exploits Windows MMC in Active Zero-Day Campaign

2025/03/25 SecurityOnline — Windows の脆弱性 CVE-2025-26633 だが、Water Gamayun として知られるロシア由来の高度な脅威アクターにより積極的に悪用されているという。この脅威アクターは、EncryptHub や Larva-208 といった別名でも活動している。Trend Research が発表したのは、この攻撃者が MSC EvilTwin という手法を用いて、Windows の Microsoft Management Console (MMC) を悪用するキャンペーンに関する情報である。

Microsoft の .NET MAUI を悪用する脅威アクターたち：高機能をマルウェアを量産

Hackers Are Using Microsoft’s .NET MAUI to Spread Android Malware

2025/03/25 HackRead — Microsoft が新たに導入した .NET MAUI アプリ開発ツールを悪用するサイバー犯罪者が、クロス・プラットフォーム機能を備えた Android マルウェアを拡散していることを、McAfee Labs が明らかにした。

WordPress GamiPress プラグインの脆弱性 CVE-2024-13496 が FIX：SQLi の恐れ

WordPress Plugin Vulnerability Opens Door to SQL Injection Exploits

2025/03/24 gbhackers — 人気の WordPress プラグイン GamiPress に発見された、深刻な脆弱性が悪用されると、未認証の脅威アクターによる SQL インジェクション攻撃にいたる可能性がある。この脆弱性 CVE-2024-13496 (CVSS3.1：7.5) の悪用の可能性が懸念されている。

DrayTek ルーターが勝手に再起動：世界中の数多くの ISP が顧客に警告

DrayTek routers worldwide go into reboot loops over weekend

2025/03/24 BleepingComputer — 3月22日 (土) の夜に始まった障害により、 DrayTek ルーターへの接続に問題が発生したことを、世界中の数多くの ISP が顧客に警告している。このインシデントの影響を受けたユーザーは、多様なシリーズ・モデルのルーターが、断続的に接続を失い、ブート・ループに入るのを確認したと報告している。

Finders Keypers：AWS KMS キーの使用状況を分析する OSS ツール

Finders Keypers: Open-source AWS KMS key usage finder

2025/03/24 HelpNetSecurity — Finders Keypers は、AWS KMS キーに関する、カレントの使用状況を分析するための OSS ツールである。AWS カスタマー管理の KMS キーと、AWS 管理の KMS キーをサポートする。

Oracle Cloud からの 600 万件のレコード窃取：CloudSEK が提示する証拠とは？

CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence

2025/03/24 HackRead — Oracle Cloud のインフラに、大規模なデータ侵害が発生し、同社のサイバー・セキュリティが混乱に巻き込まれていという議論がある。先週に HackRead は、サイバー・セキュリティ企業 CloudSEK の調査結果に基づく記事を公開し、ある脅威アクターが Oracle Cloud から 600 万件のレコードを盗んだことを明らかにした。”rose87168″ という名前で特定されたハッカーは、主要な SSO エンドポイントを侵害し、SSO と LDAP の認証情報／OAuth2 キー／顧客テナント情報などの、機密データを流出させたと主張している。

Next.js の深刻な認証バイパスの脆弱性 CVE-2025-29927 が FIX：旧バージョンのための回避策は？

Urgent: Patch Your Next.js for Authorization Bypass (CVE-2025-29927)

2025/03/24 SecurityOnline — フルスタック Web アプリケーションの迅速かつ効率的な構築を支援する、人気の React フレームワーク Next.js の、深刻なセキュリティ脆弱性が対処された。世界の大企業などでも使用される Next.js は、最新の React 機能の拡張と、強力な Rust ベース JavaScript ツールの統合により、フルスタック Web アプリケーションを作成する一方で、ビルドの構築時間を大幅に短縮すると評価されている。

WordPress WP Ghost プラグインの脆弱性 CVE-2025-26909 が FIX：LFI から RCE へのチェーン

Critical Vulnerability Discovered in Popular WordPress Security Plugin WP Ghost

2025/03/24 SecurityOnline — 人気の WordPress プラグイン WP Ghost に、深刻度の高いセキュリティ脆弱性が発見された。John Darrel により開発された WP Ghost は、広く使用される無料のセキュリティ／ファイアウォール・プラグインであり、そのアクティブインストール数は 200,000 を超える。このプラグインにより追加されるセキュリティ・レイヤーには、ボットのブロックや、不正アクセスの防止などがあり、WordPress Web サイトのセキュリティ強化が推進される。

vLLM の深刻な RCE 脆弱性 CVE-2025-29783 が FIX：Mooncake 統合で問題が拡大

Critical Remote Code Execution Vulnerability in vLLM via Mooncake Integration

2025/03/24 SecurityOnline — LLM を用いる推論やサービスで人気のライブラリ vLLM は、先日に発見された深刻なセキュリティ脆弱性に対処した。GitHub で 43,000 を超えるスターを獲得している vLLM は、広範なユーザーを抱えているため、重要な問題に発展する可能性もある。その脆弱性 CVE-2025-29783 の CVSS スコアは 9.0 と評価されている。

Nuxt の脆弱性 CVE-2025-27415 が FIX：CDN ポイズニングによる DoS 攻撃の可能性

Nuxt Users Beware: CVE-2025-27415 Opens the Door to Cache Poisoning Attacks

2025/03/24 SecurityOnline — 人気の Nuxt フレームワークで発見された脆弱性により、攻撃者に対して CDN キャッシュ・ポイズニングを許し、フルスタックの Vue.js アプリケーションへのアクセスが妨害される可能性が生じている。この Nuxt の脆弱性 CVE-2025-27415 (CVSS：7.5) は、バージョン 3.0.0〜3.16.0 未満に影響を及ぼす。

Apache Druid の脆弱性 CVE-2025-27888 が FIX：SSRF／XSS などの可能性

CVE-2025-27888: Apache Druid Flaw Opens Door to SSRF and XSS Risks in Real-Time Analytics Platforms

2025/03/23 SecurityOnline —Apache が明らかにしたのは、OLAP ダッシュボードや高速集計 API の強化に広く使用されている、リアルタイム分析データベース Apache Druid に存在する深刻なセキュリティ脆弱性に関する情報である。

Progress Kemp LoadMaster の脆弱性 CVE-2025-1758 が FIX：未認証 RCE の恐れ

CVE-2025-1758: Critical Buffer Overflow in Kemp LoadMaster Opens Door to Remote Code Execution

2025/03/23 SecurityOnline — Progress Software の Kemp LoadMaster に、深刻度の高い脆弱性が発見された。人気の ADC (Application Delivery Controller)／Load Balancer である Kemp LoadMaster は、重要な Web アプリケーションのパフォーマンスとセキュリティを確保するものであり、ユーザー企業からの信頼を得ている。

Cloudflare の断固たる HTTPS 対応：HTTP を介した API リクエストを完全に遮断

Cloudflare now blocks all unencrypted traffic to its API endpoints

2025/03/22 BleepingComputer — Cloudflare の発表は、API エンドポイント (api.cloudflare.com) へ向けた、すべての HTTP 接続を終了し、今後はセキュアな HTTPS 接続だけを受け付けるというものだ。この措置の目的は、HTTP 接続を終了したサーバが、安全な通信チャネルにリダイレクトする前に、機密情報が平文の状態で漏洩するリスクを排除することにある。そのため、誤操作などにより送信されるケースも含めて、暗号化されていない API リクエストの送信は停止される。

Telegram のエクスプロイトに $4 million：ロシアのブローカー Operation Zero が提示

Zero-day broker Operation Zero offers up to $4 million for Telegram exploits

2025/03/22 SecurityAffairs — ロシアのゼロデイ・ブローカーである Operation Zero が、Telegram のエクスプロイトに対して、最大で $4 million の報酬を提示しているというニュースが、Tech Crunch により報じられた。このロシアの企業は、ワンクリック RCE に $500K／ゼロクリック RCE に $1.5M／デバイス全体を侵害するフルチェーン・エクスプロイトに $4 million を示している。この Operation Zero は、ロシア政府と国内の企業に対してのみ、エクスプロイトを販売している。

Microsoft Trusted Signing：マルウェアのコード署名での悪用が判明

Microsoft Trust Signing service abused to code-sign malware

2025/03/22 BleepingComputer — Microsoft の Trusted Signing プラットフォームを悪用するサイバー犯罪者たちが、有効期限が３日間のコード署名証明書を使って、マルウェアに署名していたことが明らかになった。コード署名証明書を悪用するマルウェアを、正規のソフトウェアに見せかける機会を、以前から攻撃者たちは窺っていた。なぜなら、通常はブロックされやすい未署名の実行可能ファイルと比べて、署名されたマルウェアはセキュリティ・フィルターを回避しやすく、また、疑わしいものとして警戒され難いという利点を持つからだ。

ArcGIS Enterprise の脆弱性 CVE-2025-2538 が FIX：管理者アカウントの乗っ取りにいたる

Critical Security Flaw in ArcGIS Enterprise Exposes Admin Accounts to Remote Takeover

2025/03/22 SecurityOnline — ArcGIS Enterprise プラットフォームに、深刻な脆弱性が存在することを、Esri が明らかにした。この脆弱性の悪用に成功した攻撃者は、パスワード・リセットの欠陥を悪用して、ビルトインされている管理者アカウントの乗っ取りを達成し得るとされる。