Apache HTTP Server 2.4.68 Patches Multiple Security Vulnerabilities
2026/06/09 gbhackers — Apache は HTTP Server バージョン 2.4.68 をリリースし、コアモジュールとコンポーネントに存在する複数のセキュリティ脆弱性に対応した。このアップデートは、バージョン 2.4.67 以下に影響を及ぼす、メモリ安全性/権限昇格/サービス拒否/入力検証の欠陥などの問題を修正するものだ。複数の中程度の脆弱性により、クラッシュ/境界外読み取り/権限の不正利用などが引き起こされる可能性がある。
Continue reading “Apache HTTP Server の複数の脆弱性が FIX:コード実行や権限昇格の恐れ”Critical Apache ActiveMQ Vulnerability Exposes Systems to Security Header Injection Attacks
2026/06/03 gbhackers — Apache が公表したのは、ActiveMQ の HTTP レスポンスヘッダ・インジェクションの脆弱性 CVE-2026-42253 と、Jolokia の認可不備による権限誤用の脆弱性 CVE-2026-49157 である。これらの脆弱性は、Apache ActiveMQ/ActiveMQ Web コンポーネントに影響するものであり、いずれも Important と評価されている。ユーザーに対して強く推奨されるのは、速やかなパッチの適用である。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2026-42253/49157 が FIX:セキュリティ・メカニズム回避の恐れ”Apache CXF Flaw Exposes Systems to LDAP Injection Attacks
2026/05/26 gbhackers — Apache CXF に、LDAP インジェクションの脆弱性 CVE-2026-44930 (CVSS 9.8 Critical) が発見された。この脆弱性を悪用する攻撃者は、高機密性の証明書データへの不正アクセスを可能にするため、深刻なセキュリティ・リスクが生じている。具体的には Apache CXF の XKMS (XML Key Management Specification) サービス内で使用されている、LDAP 証明書リポジトリが影響を受ける。
Continue reading “Apache CXF の脆弱性 CVE-2026-44930 がFIX:LDAP インジェクションと不正アクセス”Apache OFBiz RCE Flaw Abuses Password-Change Restrictions for Authentication Bypass
2026/05/21 gbhackers — Apache OFBiz に存在する深刻な認証バイパス脆弱性 CVE-2026-45434 を悪用する攻撃者は、強制パスワード変更フローを乗っ取り、単一の HTTP リクエストを通じてリモート・コード実行 (RCE) を達成する可能性がある。この脆弱性が影響を及ぼす範囲は、Apache OFBiz のバージョン 24.09.06 未満となる。Apache OFBiz は、ビジネス・プロセス管理に用いられるオープンソースの ERP プラットフォームである。
Critical Apache Flink Vulnerability Enables Remote code execution Attacks
2026/05/19 CyberSecurityNews — 新たに公開された Apache Flink の深刻な脆弱性 CVE-2026-35194 により、SQL インジェクションを起点とするリモート・コード実行 (RCE) 攻撃の危険性に、分散データ処理環境がさらされている。この脆弱性は Apache Flink の SQL コード生成メカニズムに存在し、動的に生成される Java コードへ埋め込まれるユーザー入力データが、適切にサニタイズされないことに起因する。その結果、クエリ実行権限を持つ認証済みユーザーは、文字列境界をエスケープする悪意のペイロードを注入して、任意のコード実行を可能にする。
Continue reading “Apache Flink の脆弱性 CVE-2026-35194 が FIX:SQL コード生成の欠陥と任意のコード実行”Critical Apache HTTP Server Flaw Exposes Millions of Servers to RCE Attacks
2026/05/05 CyberSecurityNews — Apache Software Foundation は、Apache HTTP Server 向けのセキュリティ更新を公開した。2026年5月4日にリリースされたバージョン 2.4.67 は、リモート・コード実行 (RCE) を引き起こす可能性があるダブルフリー (double-free) の欠陥などの、複数の脆弱性に対処している。バージョン 2.4.66 以前を使用している、すべてのユーザーに対して強く推奨されるのは、速やかなアップグレードである。
New Apache MINA Vulnerabilities Open Door to Remote Code Execution Attacks
2026/05/04 gbhackers — Apache MINA プロジェクトが公開したのは、2 件の深刻な脆弱性 CVE-2026-42778/CVE-2026-42779 に対処する緊急のセキュリティ・アップデートである。これらの脆弱性を悪用するリモート攻撃者は、任意のコード実行を可能にする。すでに Apache MINA の開発チームは、バージョン 2.2.7/2.1.12 をリリースし、これらの問題に対処している。
Continue reading “Apache MINA の脆弱性 CVE-2026-42778/42779 が FIX:デシリアライズ欠陥と RCE の恐れ”Apache Syncope RCE Vulnerability Detailed After Public Exploit Code Release
2026/04/21 gbhackers — Apache Syncope に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-57738 (CVSS:7.2:High) に関する技術詳細と PoC エクスプロイトが、セキュリティ研究者により公開された。エンタープライズや政府機関で広く利用される、ID 管理基盤である Apache Syncope の脆弱性は、Groovy ベースの実装 (Implementation) を処理する仕組みに起因する。
Continue reading “Apache Syncope の RCE 脆弱性 CVE-2025-57738 が FIX:PoC の公開による悪用の可能性”6,000+ Publicly Exposed Apache ActiveMQ Instances Found Vulnerable to CVE-2026-34197
2026/04/21 gbhackers — Apache ActiveMQ サーバに存在する深刻な脆弱性 CVE-2026-34197 により、インターネットに公開される 6,000 台以上のサーバへの攻撃が可能な状態となっており、数多くのエンタープライズ・ネットワークが無防備な状態に置かれている。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2026-34197:未パッチ・インスタンス 6,000+ がインターネット上に公開”CISA Warns of Apache ActiveMQ Input Validation Vulnerability Exploited in Attacks
2026/04/17 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Apache ActiveMQ に存在する Critical なセキュリティ欠陥に対して緊急警告を発出した。2026年04月16日に同機関は、脆弱性 CVE-2026-34197 を Known Exploited Vulnerabilities (KEV) カタログへ正式に登録した。
Continue reading “CISA KEV 警告 26/04/16:ActiveMQ の脆弱性 CVE-2026-34197 を KEV に登録”Apache Tomcat Flaws Enable EncryptInterceptor Bypass
2026/04/13 gbhackers — Apache Software Foundation が公開したのは、Apache Tomcat で新たに発見された 3 件の脆弱性 CVE-2026-29146/34486/34500 に対処するための重要なセキュリティ・アップデートである。Apache Tomcat は、広く導入されているオープンソースの Web サーバ であるため、これらの脆弱性により多くのエンタープライズ環境に深刻なリスクが生じる。
Continue reading “Apache Tomcat の脆弱性 CVE-2026-29146/34486/34500 が FIX:EncryptInterceptor バイパスの可能性”Claude Uncovers 13-Year-Old RCE Flaw in Apache ActiveMQ in Just 10 Minutes
2026/04/08 CyberSecurityNews — Apache ActiveMQ Classic に存在し、10年以上にわたり検出されなかった深刻なリモート・コード実行 (RCE) の脆弱性が明らかになった。この脆弱性は、Anthropic の AI モデル Claude が 10 分未満で発見したものであり、従来の人手によるコード・レビューではない。脆弱性 CVE-2026-34197 は、Apache ActiveMQ Classic の Jolokia JMX HTTP ブリッジに存在する、不適切な入力検証とコード・インジェクションに起因する欠陥であり、ポート 8161 の Web コンソール (/api/jolokia/) 経由で公開されている。
Continue reading “ActiveMQ Jolokia API の RCE 脆弱性 CVE-2026-34197 が FIX:13 年放置の問題を AI が 10 分で発見”Apache Traffic Server Vulnerabilities Let Attackers Trigger DoS Attack
2026/04/06 CyberSecurityNews — Apache Software Foundation が公開したのは、Apache Traffic Server (ATS) に存在する 2 件の深刻な脆弱性 CVE-2025-58136/CVE-2025-65114 に対処するための緊急のセキュリティ・アップデートである。Apache ATS は、ネットワーク効率を向上させるとともに、エンタープライズ環境における大量の Web トラフィックを処理する高性能な Web プロキシ・キャッシュとして機能する。
Continue reading “Apache Traffic Server の脆弱性 CVE-2025-58136/65114 が FIX:DoS と HTTP スマグリングの可能性”Apache ZooKeeper Flaw Exposes Sensitive Data to Attackers
2026/03/09 gbhackers — 分散システムにおけるコンフィグ情報の命名と管理に使用される、集中型サービス Apache ZooKeeper に、重要なセキュリティ更新が提供された。 Apache Software Foundation によると、本番環境において機密データの漏洩やサーバなりすましを引き起こす可能性がある、2 件の Important レベルの脆弱性 CVE-2026-24308/CVE-2026-24281 が対処されたという。
Continue reading “Apache ZooKeeper の脆弱性 CVE-2026-24308/24281 が FIX:機密ログの漏洩とサーバなりすましの恐れ”Apache ActiveMQ Allow Attackers to Trigger DoS Attacks With Malformed Packets
2026/03/06 CyberSecurityNews — Apache ActiveMQ に存在する、脆弱性 CVE-2025-66168 (CVSS:5.4 Medium) の詳細が確認された。この脆弱性を悪用する認証済みの攻撃者は、不正に形成したネットワーク・パケットを送信することで、サービス拒否 (DoS) 攻撃を引き起こすことが可能である。この問題はセキュリティ研究者 Gai Tanaka により発見され、その後に、Apache メーリング・リスト上でメンテナー Christopher L. Shannon/Matt Pavlovich により確認された。
Continue reading “Apache ActiveMQ MQTT モジュールの脆弱性 CVE-2025-66168:整数オーバーフローと DoS 攻撃”Threat Actors Exploit Apache ActiveMQ Vulnerability to Gain RDP Access, Deploy LockBit Ransomware
2026/02/25 gbhackers — Apache ActiveMQ の深刻な脆弱性 CVE-2023-46604 を悪用する脅威アクターたちが、Windows 環境へと深く侵入し、最終的に RDP 経由で LockBit ランサムウェアを展開している。このインシデントが示すのは、脆弱性 CVE-2023-46604 を放置すると、攻撃者に対して再侵入の機会と十分な準備時間を与える状況に陥ることだ。攻撃者による初期の足がかりが、最終的にはドメイン全体への影響へと発展する。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2023-46604 を悪用:RDP への不正アクセスと LockBit の展開”Apache Tomcat Vulnerabilities Let Attackers Bypass Security Constraints via HTTP/0.9 Requests
2026/02/20 CyberSecurityNews — Apache Tomcat が公表したのは、特定のアクセス制御ルールコンフィグの下で HTTP/0.9 リクエストを介して発生する、深刻度 Low のセキュリティ制約回避の脆弱性 CVE-2026-24733 に関する情報である。この問題を特定した Apache Tomcat セキュリティ・チームは、2026年2月17日にアドバイザリを公開した。
Continue reading “Apache Tomcat 脆弱性 CVE-2026-24733 が FIX:HTTP/0.9 を介したセキュリティ・バイパス”Apache NiFi Vulnerability Enables Authorization Bypass
2026/02/17 CyberSecurityNews — Apache が公表したのは、NiFi に存在する深刻度 High の脆弱性 CVE-2026-25903 に関する情報である。この脆弱性の悪用は、低権限のユーザーであっても可能であり、認可バイパスを引き起こし、Restricted と注釈 (アノテーション) されたコンポーネントを変更する可能性が生じる。この脆弱性の影響が及ぶ範囲は、Apache NiFi バージョン 1.1.0 〜 2.7.2 であり、修正バージョンは 2.8.0 として提供されている。
Continue reading “Apache NiFi の脆弱性 CVE-2026-25903 が FIX:認可チェック不備によるシステム・コマンド実行の恐れ”Apache Syncope Vulnerability Let Attackers Hijack User Sessions
2026/02/03 CyberSecurityNews — Apache Syncope アイデンティティ管理コンソールに、深刻な XML External Entity (XXE) 脆弱性が発見された。この欠陥により XXE 攻撃の経路が生じ、管理者が意図せず機微なユーザーデータを流出させることで、セッション・セキュリティ侵害の可能性が生じる。この脆弱性 CVE-2026-23795 は、プラットフォームの複数バージョンに影響するため、直ちにパッチを適用する必要がある。
Continue reading “Apache Syncope の XXE 脆弱性 CVE-2026-23795 が FIX:ユーザー・セッション乗っ取りの恐れ”Apache Hadoop Vulnerability Exposes Systems Potential Crashes or Data Corruption
2026/01/26 CyberSecurityNews — Hadoop Distributed File System (HDFS) のネイティブ・クライアントにおいて、脆弱性 CVE-2025-27821 (Medium) が発見された。この脆弱性を悪用する攻撃者は、不正に細工した Uniform Resource Identifier (URI) 入力により、システム・クラッシュや重要データの破損を引き起こす可能性がある。この脆弱性は、Apache Hadoop バージョン 3.2.0 〜 3.4.1 に影響する。
Continue reading “Apache Hadoop HDFS の脆弱性 CVE-2025-27821 が FIX:システムクラッシュ/データ破損の可能性”Apache Airflow Vulnerabilities Enables Expose of Sensitive Data
2026/01/20 CyberSecurityNews — Apache Airflow バージョン 3.1.6 未満に存在する複数の脆弱性を悪用する攻撃者によリ、ログおよび UI を介して認証情報やシークレットなどの機密情報が露出する可能性がある。いずれの問題も、描画処理およびログ出力時における機密データのマスキングが不十分であることに起因している。それにより、本番環境においてプロキシ認証情報やデータベース・シークレットなどが漏洩するリスクが生じている。
Continue reading “Apache Airflow の脆弱性 CVE-2025-68675/68438 が FIX:機密情報漏洩の恐れ”Apache bRPC Vulnerability Enables Remote Command Injection
2026/01/20 CyberSecurityNews — Apache bRPC に発見されたのは、ビルトイン・ヒープ・プロファイラ・サービスに存在する深刻なリモート・コマンド・インジェクションの脆弱性 CVE-2025-60021 である。この脆弱性が影響を及ぼす範囲は、バージョン 1.11.0 〜 1.14.x となる。この脆弱性を悪用する未認証の攻撃者は、プロファイラのパラメータ検証メカニズムを操作することで、任意のシステム・コマンドを実行できる。ヒープ・プロファイラ・サービスのエンドポイント “/pprof/heap” は、system コマンド実行に渡す extra_options パラメータを適切にサニタイズしていない。
Continue reading “Apache bRPC の脆弱性 CVE-2025-60021 が FIX:リモート・コマンド・インジェクションの可能性”Adobe Patches Critical Apache Tika Bug in ColdFusion
2026/01/13 SecurityWeek — Adobe が発表したのは、2026年1月の月例パッチにおいて 11 製品を対象としたセキュリティ・アップデートのリリースと、合計 25 件に及ぶ脆弱性の修正である。その中で、最も深刻な脆弱性 CVE-2025-66516 (CVSS:10) は、Apache Tika モジュールにおける XML 外部エンティティ (XXE) インジェクションに起因するものだ。具体的には、PDF ドキュメント内に配置された XFA ファイルを介して悪用される可能性がある。
Continue reading “Adobe ColdFusion の深刻な脆弱性 CVE-2025-66516 が FIX:Apache Tika の XXE を修正”Critical Apache Struts 2 Flaw Could Let Attackers Steal Sensitive Data
2026/01/12 gbhackers — Apache Struts 2 の XWork コンポーネントに、脆弱性 CVE-2025-68493 が発見された。この脆弱性は Important と評価されており、Struts 2.0.0 〜 2.3.37 (EOL)/2.5.0 〜 2.5.33 (EOL)/6.0.0 〜 6.1.0 までの広範なバージョンに影響を及ぼし、多くの Java Web アプリケーションに深刻なリスクをもたらす。この脆弱性が悪用されると、Java Web アプリケーションにおける機密データの漏洩/サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF) 攻撃につながる可能性がある。
Continue reading “Apache Struts 2 の脆弱性 CVE-2025-68493 が FIX:機密データ窃取の可能性”Apache NuttX Vulnerability Let Attackers to Crash Systems
2026/01/01 CyberSecurityNews — Apache NuttX RTOS で発見された、解放後メモリ使用 (use-after-free) の脆弱性を悪用する攻撃者は、意図しないファイルシステム操作やシステム・クラッシュを引き起こす可能性がある。2025年12月31日に公開された脆弱性 CVE-2025-48769 は、深刻度 Medium と評価されている。Apache NuttX の広範なバージョンが影響を受けるため、ネットワークに公開されたサービスを実行しているユーザーに対して、緊急のセキュリティ警告が発せられている。
Continue reading “Apache NuttX RTOS の脆弱性 CVE-2025-48769 が FIX:システム・クラッシュの恐れ”Critical Apache StreamPipes Vulnerability Let Attackers Seize Admin Control
2025/12/31 CyberSecurityNews — Apache StreamPipes に発見された深刻な権限昇格の脆弱性 CVE-2025-47411 に対して、セキュリティ・パッチが提供された。この脆弱性の悪用に成功した権限のないユーザーが、データ・ストリーミング・プラットフォームでの管理者権限を奪取する恐れがある。この脆弱性は、ユーザー ID 作成メカニズムの欠陥に起因し、正当な非管理者アカウントの所有者が JWT トークン操作を悪用できる。そのため、脆弱性 CVE-2025-47411 の深刻度は Important と評価されている。この脆弱性が影響を及ぼす範囲は、バージョン 0.69.0〜0.97.0 である。
Continue reading “Apache StreamPipes の脆弱性 CVE-2025-47411 が FIX:管理者権限が奪取される恐れ”Apache Log4j Vulnerability Allow Attackers to Intercept Sensitive Log Data
2025/12/19 CyberSecurityNews — Apache Logging Services が公表したのは、Log4j Core に存在する深刻なセキュリティ脆弱性 CVE-2025-68161 に関する情報である。この脆弱性の悪用により、アプリケーションのログデータが窃取/改竄される可能性があると指摘されている。この脆弱性は Log4j の Socket Appender コンポーネントに存在し、中間者攻撃の攻撃ベクターとなる恐れがある。その影響範囲は、バージョン 2.0-beta9 〜 2.25.2 までが対象となる。
Continue reading “Apache Log4j Core の脆弱性 CVE-2025-68161 が FIX:TLS 検証の不備と中間者攻撃”Critical Apache Commons Text Flaw Lets Hackers Execute Remote Code
2025/12/18 gbhackers — Apache が公表したのは、Apache Commons Text に存在する深刻なリモート・コード実行の脆弱性に関する情報である。脆弱性 CVE-2025-46295 は、テキストの操作と処理に広く使用される Java ライブラリにおいて、テキスト文字列内の変数や式を置換するための機能に存在する。この Apache Commons Text の脆弱性が影響を及ぼす範囲はバージョン 1.10.0 以下であり、ユーザー組織に重大なセキュリティ・リスクをもたらす。
Continue reading “Apache Commons Text の脆弱性 CVE-2025-46295 が FIX:FileMaker にも影響する深刻な RCE”Atlassian fixed maximum severity flaw CVE-2025-66516 in Apache Tika
2025/12/15 SecurityAffairs — Atlassian が発表したのは、自社製品に影響を与える数十件の脆弱性への対処が完了したという声明である。これらの脆弱性には、複数の深刻度レベルの問題が含まれている。最も深刻な脆弱性の1 つは、Apache Tika に存在する XML 外部エンティティ (XXE) インジェクション脆弱性 CVE-2025-66516 であり、CVSS スコアは 10.0 と評価されている。この脆弱性 CVE-2025-66516 を悪用する攻撃者は、Apache Tika の core module/PDF module/parser module に対して、XXE インジェクションを仕掛けることが可能になる。攻撃者は、PDF 内に悪意のある XFA ファイルを埋め込み、Tika に外部 XML エンティティを処理させ、機密性の高い内部リソースへのアクセス経路を開かせる可能性がある。
Continue reading “Atlassian の 2025/12 アップデート:Apache Tika の脆弱性 CVE-2025-66516 などが FIX”Apache StreamPark Vulnerability Let Attackers Access Sensitive Data
2025/12/15 CyberSecurityNews — Apache StreamPark に発見された、深刻なセキュリティ脆弱性 CVE-2025-54947 を悪用する攻撃者は、機密情報を復号してシステム・アクセスを不正に取得する可能性がある。この脆弱性は、アプリケーション内でハードコードされた暗号化キーが使用される点に起因している。したがって、リバース・エンジニアリングやコード解析を行う攻撃者が、セキュリティ制御を回避する状況を招く。
Continue reading “Apache StreamPark の脆弱性 CVE-2025-54947 が FIX:機密データ復号と権限昇格の恐れ”Apache Tika Core Flaw Allows Attackers to Exploit Systems with Malicious PDF Uploads
2025/12/05 gbhackers — Apache メンテナーが公表したのは、Apache Tika に存在する深刻な脆弱性に関するセキュリティ・アドバイザリである。この脆弱性を悪用する攻撃者は、悪意の PDF ファイルをアップロードするだけで情報漏洩を引き起こす可能性がある。なお、この脆弱性 CVE-2025-66516 が影響を及ぼす範囲は、Apache Tika コア/Apache Tika パーサ/Apache Tika PDF パーサ・モジュールとなる。
Continue reading “Apache Tika Core の脆弱性 CVE-2025-66516 が FIX:悪意の PDF を介した情報漏洩”Apache Struts Flaw Allows Attackers to Launch Disk Exhaustion Attacks
2025/12/02 gbhackers — Apache Struts に発見されたセキュリティ脆弱性 CVE-2025-64775 を悪用する攻撃者は、サーバのディスク容量を圧迫して正常な動作を妨げる可能性がある。Apache Struts は人気のオープンソース Web アプリケーション・フレームワークであり、世界中の多くの企業で使用されているため、この脆弱性の影響の大きさが懸念されている。
Continue reading “Apache Struts の脆弱性 CVE-2025-64775 が FIX:ディスク枯渇による DoS 攻撃の恐れ”Critical Apache bRPC Flaw Allows Attackers to Crash Servers
2025/12/01 gbhackers — Apache bRPC に存在する深刻なセキュリティ脆弱性を悪用する攻撃者は、細工した JSON データを送信するだけでサーバをクラッシュさせる可能性がある。この脆弱性 CVE-2025-59789 が影響を及ぼす範囲は、Apache bRPC のバージョン 1.15.0 未満であり、信頼できないネットワークに公開されているシステムに、重大なリスクをもたらすものである。
Continue reading “Apache bRPC の脆弱性 CVE-2025-59789 が FIX:JSON データの悪用によるサーバ・クラッシュ”Apache Syncope Flaw Lets Attackers Access Internal Database Content
2024/11/25 gbhackers — Apache Syncope にセキュリティ脆弱性 CVE-2025-65998 が発見された。この脆弱性を悪用する攻撃者が、内部データベースへのアクセスに成功すると、保存されているパスワードが復号化される可能性がある。この脆弱性は、ハードコードされたデフォルトの AES 暗号化キーの使用に起因している。つまり、機密性の高いユーザー認証情報を安全に保つために設計された、パスワード保護メカニズムに問題が生じている。
Continue reading “Apache Syncope の脆弱性 CVE-2025-65998 が FIX:ハードコード・キーとパスワード複合”2025/11/12 CyberSecurityNews — Apache OpenOffice がリリースしたバージョン 4.1.16 では、不正なリモート・ドキュメント読み込みやメモリ破損攻撃を可能にする7件の深刻なセキュリティ脆弱性が修正されている。これらの脆弱性は、人気の高いオープンソース Office Suite のユーザーにとって深刻なセキュリティ・リスクとなるものだ。最も深刻な脆弱性は、ユーザーへの確認や警告なしに不正なリモート・コンテンツを読み込む点にある。これらの脆弱性を悪用する攻撃者は、複数の攻撃経路を通じて悪意の外部ドキュメントを読み込む可能性を得る。
Continue reading “Apache OpenOffice の複数の脆弱性が FIX:不正なドキュメント読み込みやメモリ破損に対処”Akira Ransomware Allegedly Claims Theft of 23GB in Apache OpenOffice Breach
2025/11/01 CyberSecurityNews — Akira ランサムウェア・グループが発表したのは、2025年10月29日に Apache OpenOffice のシステムへの侵入に成功し、23GB の機密性の高い企業データを盗み出したという主張である。強硬な二重恐喝戦術で知られる同グループは、ダークウェブ上のリークサイトに詳細を掲載し、身代金が支払われない限り情報を公開すると脅迫している。このインシデントが浮き彫りにするのは、高度なサイバー脅威が蔓延する時代においては、非営利ソフトウェア財団でさえ深刻なリスクに直面するという現実である。
Continue reading “Akira ランサムウェアによる Apache OpenOffice 侵害:23GB の機密データ流出の主張とは?”Apache Tomcat Flaws Allow Remote Code Execution on Vulnerable Servers
2025/10/28 gbhackers — Apache Software Foundation が公開したのは、Apache Tomcat の複数バージョンに影響を及ぼす2件のセキュリティ脆弱性 CVE-2025-55752/CVE-2025-55754 に関する情報である。これらの脆弱性が影響を及ぼす範囲は、Apache Tomcat バージョン 9/10/11 であり、管理者たちが受け取っているのは、インストール済みシステムへの迅速なアップグレードを促す警告である。
Continue reading “Apache Tomcat CVE-2025-55752/55754 脆弱性が FIX:リモート・コード実行やログ操作の可能性”Apache Syncope Groovy Flaw Allows Remote Code Injection
2025/10/21 gbhackers — Apache Syncope が公開したのは、認証済み管理者にシステム上での任意のコード実行を許す深刻なセキュリティ脆弱性の情報である。この脆弱性 CVE-2025-57738 が影響を及ぼす範囲は、Apache Syncope のバージョン 3.0.14 未満/4.0.2 未満であり、悪意の Groovy コードの注入によるシステム侵害の危険性がある。
Continue reading “Apache Syncope の脆弱性 CVE-2025-57738 が FIX:管理者権限で任意コード実行が可能”Critical Apache ActiveMQ Vulnerability Let Attackers Execute Arbitrary Code
2025/10/16 CyberSecurityNews — Apache Software Foundation が公表したのは、ActiveMQ NMS AMQP クライアントに存在する深刻な脆弱性に関する情報である。この脆弱性 CVE-2025-54539 を悪用する攻撃者は、脆弱なシステム上で任意のコードを実行し得るという。この安全ではないデシリアライズの脆弱性は、ActiveMQ クライアントを用いて AMQP プロトコルを処理するアプリケーションに対して、深刻なリスクをもたらすものだ。
Continue reading “Apache ActiveMQ の脆弱性 CVE-2025-54539 が FIX:任意のコード実行の恐れ”Apache Airflow Vulnerability Lets Read-Only Users Access Sensitive Data
2025/09/26 gbhackers — Apache のメンテナーが公開したのは、Airflow 3.0.3 に存在する深刻なセキュリティ脆弱性 CVE-2025-54831 に関する情報である。この脆弱性を悪用する攻撃者は、読み取り権限だけを持つ場合であっても、Airflow API および Web インターフェイスを通じて、機密性の高い接続情報を閲覧できるという。それにより、Connections 内のシークレットの閲覧が、編集権限を保持するユーザーだけに限定されるという設計が損なわれ、認証情報などの機密データが漏洩する可能性がある。この Apache Airflow は、OSS のワークフロー・オーケストレーション・プラットフォームであり、データ・パイプラインのスケジュール設定と監視に広く利用されている。
Continue reading “Apache Airflow の脆弱性 CVE-2025-54831 が FIX:読み取り専用ユーザーによる機密情報の漏洩”Apache Jackrabbit Exposes Systems To Arbitrary Code Execution Attacks
2025/09/08 CyberSecurityNews — エンタープライズ CMS や Web アプリで広く利用される、OSS コンテンツ・リポジトリ Apache Jackrabbit に、深刻なセキュリティ脆弱性 CVE-2025-58782 が発見された。この脆弱性を悪用する未認証の攻撃者は、脆弱なサーバ上で任意コード実行 (RCE) を引き起こす可能性があり、システム・セキュリティおよびデータ機密性に深刻なリスクが生じている。
Continue reading “Apache Jackrabbit の脆弱性 CVE-2025-58782:未認証攻撃者による任意コード実行の恐れ”Apache DolphinScheduler Vulnerability Patched — Update Immediately
2025/09/03 gbhackers — Apache DolphinScheduler における軽微なセキュリティ問題が、最新のリリースにより修正された。この脆弱性 CVE-2024-43166 は、CWE-276 (不適切なデフォルト権限) に分類されており、バージョン 3.2.2 未満に影響を及ぼす。ユーザーに対して強く推奨されるのは、速やかにバージョン 3.3.1 へとアップグレードすることである。この問題には CVE-2024-43166 の識別子が割り当てられ、2025年9月3日 (水) の時点でメンテナーの Lidong Dai により、プロジェクトのセキュリティ・メーリングリストで開示された。
Continue reading “Apache DolphinScheduler の脆弱性 CVE-2024-43166 が FIX:情報漏洩のリスクに対応”Hackers Exploiting Apache ActiveMQ Vulnerability to Gain Access to Cloud Linux Systems
2025/08/20 CyberSecurityNews — Apache ActiveMQ の深刻なリモート・コード実行の脆弱性 CVE-2023-46604 を悪用し、クラウド・ベースの Linux システムを侵害する、巧妙なキャンペーンの存在が明らかになった。このケースにおける攻撃者は、悪用後の脆弱性にパッチを適用することで、排他的アクセスの維持と検出の回避を図っており、国家レベル攻撃者だけが実施するとされる、高度な運用セキュリティ対策を施している。
Continue reading “Apache ActiveMQ の CVE-2023-46604 が標的のキャンペーン:SSH 改変による永続的バックドアの確立”Apache Tomcat Vulnerabilities Let Attackers Trigger Dos Attack
2025/08/14 CyberSecurityNews — Apache Tomcat の HTTP/2 実装に、深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、標的とする Web サーバに対して、壊滅的なサービス拒否 (DoS) 攻撃を仕掛けることが可能だ。Made You Reset と呼ばれる攻撃を引き起こす、この脆弱性 CVE-2025-48989 は、広く使用される Java サーブレット・コンテナの複数のバージョンに影響を及ぼし、世界中の Web アプリケーションに深刻なリスクをもたらすものだ。
Continue reading “Tomcat の脆弱性 “Made You Reset” CVE-2025-48989 が FIX:壊滅的なサービス拒否の可能性”Apache bRPC Vulnerability Lets Attackers Crash Services Remotely via Network
2025/08/12 gbhackers — Apache bRPC に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-54472 は、Redis プロトコル・パーサー・コンポーネントにおけるメモリ割り当て処理の不備に起因し、影響が及ぶ範囲は Apache bRPC のバージョン 1.14.1 未満となる。それを悪用する攻撃者は、ネットワーク・ベースのサービス拒否を通じて、リモートからのサービス・クラッシュ攻撃の可能性を手にする。
Continue reading “Apache bRPC の脆弱性 CVE-2025-54472 が FIX:メモリ割り当の不備とサービス・クラッシュの可能性”Apache Jena Vulnerability Leads to Arbitrary File Access or Manipulation
2025/07/22 CyberSecurityNews — Apache Jena が公表したのは、バージョン5.4.0 以下に存在する、2つの重大なセキュリティ脆弱性に関する情報である。これらの脆弱性 CVE-2025-49656/CVE-2025-50151 (深刻度:Important) は、すでにバージョン 5.5.0 で修正されている。その悪用に成功した攻撃者は、管理者のアクセス権限を介して、標的サーバのファイル・システムの整合性を侵害する可能性を得るという。
Continue reading “Apache Jena の脆弱性 CVE-2025-49656/50151 が FIX:パス・トラバーサルによる不正操作の可能性”Apache Tomcat Coyote Flaw Allows Attackers to Launch DoS Attacks
2025/07/15 gbhackers — Apache Software Foundation が公表したのは、Tomcat Coyote モジュールの Maven アーティファクト org.apache.tomcat:tomcat-coyote に存在する、深刻な脆弱性 CVE-2025-53506 に関する情報である。この脆弱性を悪用する攻撃者は、ストリームのコンカレント制限を操作し、サーバ・リソースを圧倒することで、サービス拒否 (DoS) 攻撃を仕掛ける可能性を手にする。この脆弱性は、HTTP/2 プロトコル処理における、制御不能なリソース消費に起因する。
Continue reading “Apache Tomcat Coyote の脆弱性 CVE-2025-53506 が FIX:サービス拒否 (DoS) 攻撃の恐れ”Apache HTTP Server 2.4.64 Released With Patch for 8 Vulnerabilities
2025/07/11 CyberSecurityNews — Apache Software Foundation が公表したのは、Apache HTTP Server バージョン 2.4.64 のリリースにより、バージョン 2.4.0〜2.4.63 に存在する8件の深刻なセキュリティ脆弱性を修正したことだ。今回のアップデートにより解消されたものには、HTTP レスポンス・スプリッティング/サーバ・サイド・リクエスト・フォージェリ (SSRF)/サービス拒否 (DoS) などの複数の脆弱性があり、サーバのセキュリティ/パフォーマンスに対する潜在的リスクが軽減された。
Continue reading “Apache HTTP Server 2.4.64 がリリース:8件の脆弱性を修正する重要アップデート”Multiple Apache Tomcat Vulnerabilities Let Attackers Trigger DoS Attacks
2025/07/09 CyberSecurityNews — Apache が発表したのは、Tomcat の3件の深刻なサービス拒否 (DoS) 脆弱性への対応であり、それを放置すると、攻撃者による Web アプリケーションおよびサービスの妨害にいたる可能性のあると警告している。これらの脆弱性 CVE-2025-52434/CVE-2025-52520/CVE-2025-53506 が影響を及ぼす範囲は、Apache Tomcat のバージョン 9.0.0.M1〜9.0.106 となる。HTTP/2 プロトコル/ファイル・アップロード・メカニズム/ストリーム処理機能など、さまざまな攻撃ベクターを通じて、これらの脆弱性が悪用される可能性があるという。
Continue reading “Apache Tomcat の脆弱性 CVE-2025-52434/52520/53506 が FIX:リモート DoS 攻撃の恐れ”Apache APISIX Vulnerability Enables Cross-Issuer Access Under Misconfigurations
2025/07/04 gbhackers — 広く利用されているオープンソース API ゲートウェイ Apache APISIX の openid-connect プラグインに、新たな脆弱性 CVE-2025-46647 が発見された。この脆弱性は重要度が高く、特定のミスコンフィグが生じている状況において、異なる ID 発行者の間をまたぐかたちで、攻撃者に対して不正アクセスを許す可能性がある。
Continue reading “Apache APISIX の脆弱性 CVE-2025-46647 が FIX:ミスコンフィグから生じる不正アクセス”
IoT OT Security News 
You must be logged in to post a comment.