Better Auth API keys Vulnerability Let Attackers Create Privileged Credentials For Arbitrary Users
2025/10/21 CyberSecurityNews — 人気の TypeScript 認証フレームワーク Better-Auth の API キー・プラグインに、深刻な脆弱性 CVE-2025-61928 が発見された。この脆弱性が影響を及ぼす範囲は、npm で週に約 30 万回もダウンロードされている Better-Auth の API キー・プラグイン導入環境である。悪用に成功した攻撃者は認証を必要とせずに、任意のユーザーに対して特権認証情報を付与できるようになる。
Continue reading “Better-Auth API キーの脆弱性 CVE-2025-61928 が FIX:特権認証の不正付与の可能性”Azure’s Default API Connection Vulnerability Enables Full Cross-Tenant Compromise
2025/08/22 CyberSecurityNews — Microsoft Azure の API Connection インフラに存在する深刻な脆弱性により、世界中の複数の Azure テナントのリソースの侵害が可能であったようだ。セキュリティ研究者である Gulbrandsrud は、この脆弱性の発見により $40,000 報奨金を獲得し、Black Hat プレゼンテーションに参加する資格を得た。この侵害は、Azure の共有 API Management (APIM) インスタンス・アーキテクチャを悪用するものであり、Key Vault/Azure SQL Database/Jira/Salesforce などのサードパーティ・サービスへの不正アクセスが、テナントの境界を越えて可能であったという。
Continue reading “Microsoft Azure における API Connection の脆弱性:テナント間の侵害が可能に”Insomnia API Client Vulnerability Enables Arbitrary Code Execution via Template Injection
2025/06/20 gbhackers — API インタラクションにおいて、開発者やセキュリティ・テスターが多用するツール Insomnia API Client に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-1087 (CVSS:9.3) を悪用する攻撃者は、CSTI (Client-Side Template Injection) を通じて任意のコード実行の可能性を得る。Insomnia が使用する Nunjucks テンプレート・エンジンが、信頼できない入力を適切に処理できていないことに、この脆弱性は起因するものであり、2025年6月時点での最新バージョン 11.2.0 でも修正されていない。
Continue reading “Insomnia API の脆弱性 CVE-2025-1087:任意のコード実行の可能性とパッチ・バイパスの現状”Google Massive Cloud Outage Linked to API Management System
2025/06/16 CyberSecurityNews — 2025年6月12日に Google Cloud は、近年における最大規模の障害を引き起こした。その API 管理システムに発生した重大な障害により、世界中で数十のサービスが、最大で7時間にわたって停止した。このインシデントは、API の承認と割り当てポリシーを管理する Service Control バイナリで発生した、null ポインタへの例外処理が原因となり、Google Cloud Platform と Google Workspace を利用する数百万人のユーザーに、影響を与えたものである。
Continue reading “Google Cloud の大規模ダウン:6月12日に発生した API 障害について詳述する”HPE Aruba Network Vulnerability Exposes Sensitive Information to Hackers
2026/06/11 CyberSecurityNews — HPE Aruba の Networking Private 5G Core プラットフォームに、深刻度の高いセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、不正な操作を介して、機密システム・ファイルに関連するアクセスとダウンロードの可能性を手にする。この脆弱性 CVE-2025-37100 (CVSS:7.7) は、プライベート 5G ネットワークを展開する企業が用いる、重要なインフラ・コンポーネントに影響を及ぼす。このセキュリティ欠陥が影響を及ぼす範囲は、ソフトウェア・バージョン 1.24.1.0〜1.25.1.0 であり、API を悪用する攻撃者に対して、機密データの漏洩を許す可能性がある。
Continue reading “HPE Aruba Network の脆弱性 CVE-2025-37100 が FIX:機密データ漏洩の可能性”Salesforce OmniStudio Vulnerabilities Exposes Sensitive Customer Data in Plain Text
2025/06/11 CyberSecurityNews — Salesforce OmniStudio に発見された深刻なセキュリティ脆弱性は、平文形式で保存された顧客の機密情報への不正アクセスを許すものである。この脆弱性により、世界中の数千の組織に影響を受ける可能性が生じている。この脆弱性は、プラットフォーム内のデジタル・エクスペリエンス管理システム内における、不十分なデータ暗号化プロトコルに起因するものであり、エンタープライズ顧客にとってプライバシー/コンプライアンス上の重大なリスクをもたらす。
Continue reading “Salesforce OmniStudio の脆弱性が FIX :顧客情報などの漏洩の可能性”Cisco IMC Vulnerability Attackers to Access Internal Services with Elevated Privileges
2025/06/05 CyberSecurityNews — Cisco の Integrated Management Controller (IMC) に存在する、深刻な脆弱性を悪用する攻撃者は、適切な認証を必要とすることなく、権限を昇格させ内部サービスへアクセスを手にするという。この脆弱性は、Cisco のサーバ管理インフラに依存する企業ネットワークに対して深刻なリスクをもたらし、攻撃者は、重要なシステムや機密データへの不正アクセスの機会を得る。
Continue reading “Cisco IMC の脆弱性 CVE-2025-20261 (CVSS:9.8) が FIX:権限昇格と内部アクセスの可能性”Active Exploits Detected Targeting Critical vBulletin Vulnerability
2025/06/02 gbhackers — PHP/MySQL フォーラム・ソフトウェアとして広く使用される vBulletin に、2件の深刻な脆弱性 CVE-2025-48827/CVE-2025-48828 が発見されたが、実環境における悪用も確認されているという。これらの脆弱性が影響を及ぼす範囲は、vBulletin バージョン 5.0.0〜6.0.3 である。未認証の攻撃者に対して、リモート・コード実行 (RCE) を許すものであり、数千のオンライン・コミュニティが危険にさらされている。
Continue reading “vBulletin の脆弱性 CVE-2025-48827/48828 が FIX:悪用の観測と PoC の公開”CVE-2025-0655 – Remote Code Execution in D-Tale via Unprotected Custom Filters
2025/05/29 offsec — データ可視化ツールである D-Tale に、深刻なリモートコード実行 (RCE) 脆弱性が発見された。この脆弱性を悪用する攻撃者は、保護されていない API エンドポイントを悪用し、任意のシステム・コマンド実行にいたるという。
Continue reading “D-Tale の RCE 脆弱性 CVE-2025-0655 (CVE-2024-55890) が FIX:システム・コマンド実行の恐れ”Threat Actors Impersonate Fake Docusign Notifications To Steal Corporate Data
2025/05/28 CyberSecurityNews — 近ごろ、人気の電子署名プラットフォームである DocuSign を悪用し、企業の認証情報や機密データを盗み出す、巧妙なフィッシング攻撃が増加している。DocuSign が抱えるユーザーには、Fortune 500 企業の 95% と、全世界の 160万社の企業、10億人以上の人々が含まれる。そのため、この広く認知されたブランドに対する信頼を悪用する脅威アクターにとって、きわめて魅力的な攻撃経路となっている。
Continue reading “Docusign 偽装のフィッシングが急増中:スマホを標的にする攻撃に御用心”Critical Risk (CVSS 9.9): samlify Flaw Exposes SSO in Widely Used Library
2025/05/20 SecurityOnline — 広く使用される samlify ライブラリに新たに公開された、脆弱性 CVE-2025-47949 (CVSSv4:9.9) により、SAML Signature Wrapping (SSW) 攻撃ベクターが取り込まれ、無数の Single Sign-On (SSO) 実装が危険に直面することになった。月間ダウンロード数が 768,000 回を超える samlify であるため、この脆弱性の影響は深刻なものであり、世界中のエンタープライズ・グレードの認証システムに影響が及ぶとされる。
Continue reading “samlify SAML ライブラリの脆弱性 CVE-2025-47949 が FIX:SSW 攻撃ベクターの発生とエンタープライズへの影響”Hanko: Open-source authentication and user management
2025/05/19 HelpNetSecurity — Hanko の CEO である Felix Magedanz は、「私たちは、開発者や組織の認証フローを近代化するために、ユーザーを Passkeys へと移行させることに重点を置いている。それと同時に、eMail/Password/MFA/OAuth/SAML SSO といった、従来からの認証方法もサポートしていく。私たちの真の強みは、開発者エクスペリエンスへのコミットメントである」と Help Net Security に語った。
Continue reading “Hanko という OSS の認証管理システム:クリーンな API Surface と SDK で Passkeys への移行をサポート”CVE-2025-2905 (CVSS 9.1): Critical XXE Vulnerability Found in WSO2 API Manager
2025/05/06 SecurityOnline — WSO2 API Manager 2.0.0 以下のバージョンに、XML 外部エンティティ (XXE) の脆弱性が発見された。この脆弱性 CVE-2025-2905 (CVSS:9.1) は、ゲートウェイ・コンポーネントに存在する。同社のアドバイザリによると、この脆弱性は、細工された URL パスを処理する際の 、XML 入力の検証不備に起因するとのことだ。WSO2 は、「ユーザーから提供された XML が、十分な制限をかけずに解析されるため、XML 外部エンティティ (XXE) 解決が可能な状況にある」と詳述している。
Continue reading “WSO2 API Manager の脆弱性 CVE-2025-2905 が FIX:XXE 攻撃にいたる恐れ”CVE-2025-31191: Microsoft Exposes macOS Vulnerability Allowing App Sandbox Escape
2025/05/05 SecurityOnline — macOS に存在する深刻な脆弱性について、Microsoft Threat Intelligence が明らかにした。この脆弱性を悪用する攻撃者は、App Sandbox を回避し、影響を受けるシステム上で不正なコード実行の可能性を得る。この脆弱性 CVE-2025-31191 により、サンド・ボックス化されたアプリ内のセキュリティ・スコープ・ブックマークの悪用と、ユーザーの操作を必要としない App Sandbox エスケープが、攻撃者に対して許されるため、深刻なリスクがもたらされる。
Continue reading “macOS App Sandbox エスケープの脆弱性 CVE-2025-31191 が FIX:不正なコード実行の可能性”Researchers Exploit OAuth Misconfigurations to Gain Unrestricted Access to Sensitive Data
2025/04/30 gbhackers — 先日に実施された YesWeHack バグ・バウンティ・キャンペーンにおいて、OAuth2 認証情報のミスコンフィグに起因する深刻な脆弱性が、あるセキュリティ研究者により発見された。Web アプリケーションを詳細に分析した結果として、この認証フレームワークにおける些細な見落としが深刻なリスクをもたらすという、驚くべき状況が明らかになった。
Continue reading “OAuth ミスコンフィグの脆弱性:YesWeHack バグ・バウンティで判明した際限のない PII の抽出”NATS Server Vulnerability: Missing Access Controls in JetStream API
2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム/サービス/デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。
Continue reading “NATS Server の脆弱性 CVE-2025-30215 が FIX:JetStream API におけるアクセス制御の欠如”Hackers Exploit Stripe API for Web Skimming Card Theft on Online Stores
2025/04/03 HackRead — オンライン小売業を標的とする高度な Web スキミング・キャンペーンを、Jscamblers のサイバー・セキュリティ研究者たちが発見した。このキャンペーンは、盗み出したクレジットカードの詳細を、レガシー API を介して悪意のサーバへと送信するものだが、その前にリアルタイムで情報を検証する点に特徴がある。この手法により、アクティブで有効なカード番号のみを、攻撃者は収集できるため、侵害における効率と利益が大幅に向上する。
Continue reading “Stripe API を悪用する Web スキミング:オンライン・ストアから効率よくクレカ情報を盗み出す”High-Severity Vulnerabilities in Bruno API Client Expose Users to Potential RCE
2025/04/03 SecurityOnline — Bruno プロジェクトが公表したセキュリティ・アドバイザリは、Bruno API クライアントに存在する深刻な脆弱性を明らかにするものであり、信頼できないソースからのコレクションをインポートする際のリスクを強調している。ファイル・システム上のフォルダに、コレクションをダイレクトに保存する Bruno は、プレーン・テキスト・マークアップ言語である Bru を用いて、API リクエストに関する情報を保存する。この方式は、Postman などのツールに代表される現状を刷新する、革新的な API クライアントとして位置付けられている。
Continue reading “Bruno API Client の脆弱性 CVE-2025-30354/30210 が FIX:RCE などの恐れ”CVE-2025-27095: Token Theft Flaw in JumpServer Exposes Kubernetes Clusters to Unauthorized Access
2025/04/01 SecurityOnline — JumpServer で発見された、新たな脆弱性 CVE-2025-27095 により、トークン漏洩が発生し、Kubernetes クラスターが潜在的な侵害に直面する事態となっている。この問題は、Web ブラウザー経由で、SSH/RDP/Kubernetes/Database/RemoteApp 環境へのアクセスの保護に広く採用されている、オープンソースの Privileged Access Management (PAM) プラットフォームである、JumpServer の複数のバージョンに影響を及ぼす。
Continue reading “JumpServer の脆弱性 CVE-2025-27095 が FIX:Kubernetes に影響を及ぼすトークン漏洩”CVE-2025-30353: Directus Vulnerability Exposes Sensitive Data in Webhook Trigger Flows
2025/03/28 SecurityOnline — SQL データベース・コンテンツの管理のための、Real-Time API とApp Dashboard である Directus に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-30353 (CVSS:8.6) の悪用に成功した攻撃者は、機密データへの不正アクセスの可能性を手にする。
Continue reading “Directus の深刻な脆弱性 CVE-2025-30353 が FIX:Webhook トリガーによる機密データの漏洩”CloudSEK Disputes Oracle Over Data Breach Denial with New Evidence
2025/03/24 HackRead — Oracle Cloud のインフラに、大規模なデータ侵害が発生し、同社のサイバー・セキュリティが混乱に巻き込まれていという議論がある。先週に HackRead は、サイバー・セキュリティ企業 CloudSEK の調査結果に基づく記事を公開し、ある脅威アクターが Oracle Cloud から 600 万件のレコードを盗んだことを明らかにした。”rose87168″ という名前で特定されたハッカーは、主要な SSO エンドポイントを侵害し、SSO と LDAP の認証情報/OAuth2 キー/顧客テナント情報などの、機密データを流出させたと主張している。
Continue reading “Oracle Cloud からの 600 万件のレコード窃取:CloudSEK が提示する証拠とは?”CVE-2025-27888: Apache Druid Flaw Opens Door to SSRF and XSS Risks in Real-Time Analytics Platforms
2025/03/23 SecurityOnline —Apache が明らかにしたのは、OLAP ダッシュボードや高速集計 API の強化に広く使用されている、リアルタイム分析データベース Apache Druid に存在する深刻なセキュリティ脆弱性に関する情報である。
Continue reading “Apache Druid の脆弱性 CVE-2025-27888 が FIX:SSRF/XSS などの可能性”Cloudflare now blocks all unencrypted traffic to its API endpoints
2025/03/22 BleepingComputer — Cloudflare の発表は、API エンドポイント (api.cloudflare.com) へ向けた、すべての HTTP 接続を終了し、今後はセキュアな HTTPS 接続だけを受け付けるというものだ。この措置の目的は、HTTP 接続を終了したサーバが、安全な通信チャネルにリダイレクトする前に、機密情報が平文の状態で漏洩するリスクを排除することにある。そのため、誤操作などにより送信されるケースも含めて、暗号化されていない API リクエストの送信は停止される。
Continue reading “Cloudflare の断固たる HTTPS 対応:HTTP を介した API リクエストを完全に遮断”https://gbhackers.com/apache-airflow-misconfigurations-leak-login-credentials/
2025/03/06 gbhackers —Apache Airflow のミスコンフィグに関する最近の調査により、ログイン認証情報/API キー/クラウド・サービスのアクセス・トークンなどを攻撃者に対して露出する、深刻な脆弱性の存在が明らかになった。このワークフロー・プラットフォームにおけるミスコンフィグの主な原因は、安全が確保されないコーディング手法や、古いバージョンの使用などにあり、金融/医療/e コマース業界などでの、データ・セキュリティ侵害につながるものだ。つまり、AWS/Slack/PayPal の認証情報や、内部データベースの認証情報が、適切に保護されていない状態になっていた。
Continue reading “Apache Airflow のミスコンフィグ:認証情報の漏洩と AWS/Slack/PayPal などへの影響”CVE-2025-27507 (CVSS 9.0): ZITADEL Users at Risk of Account Takeover
2025/03/05 SecurityOnline — OSS の ID/Access 管理ソリューションである ZITADEL プロジェクトが発行したのは、同プロジェクトの管理 API に存在する、複数の深刻な Insecure Direct Object Reference (IDOR) の脆弱性に対するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-27507 (CVSS:9.0) の悪用に成功した認証済みのユーザーは、機密性の高い設定を変更することで、ユーザー・アカウントへの不正アクセスの可能性を手にする。
Continue reading “ZITADEL の脆弱性 CVE-2025-27507 (CVSS 9.0) が FIX:LDAP ログイン試行のリダイレクト”12,000+ API Keys and Passwords Found in Public Datasets Used for LLM Training
2025/02/28 TheHackerNews — LLM のトレーニングに使用されるデータセットに、認証を成功させるライブ・シークレットが約 12,000 個も取り込まれていることが判明した。
Continue reading “LLM トレーニングに用いられるデータセットの問題:約 12,000 個の API キーの発見”BeyondTrust Zero-Day Breach Exposed 17 SaaS Customers via Compromised API Key
2025/02/01 TheHackerNews — BeyondTrust が明らかにしたのは、同社のリモートサポート SaaS インスタンスの一部を標的とし、不正に取得した API キーを悪用する、最近のサイバーセキュリティ・インシデントの調査の完了である。
Continue reading “BeyondTrust のゼロデイ脆弱性:盗まれた API キー経由で 17社の SaaS 顧客に被害”OAuth Redirect Flaw in Airline Travel Integration Exposes Millions to Account Hijacking
2025/01/28 TheHackerNews — API セキュリティ企業 Salt Labs が公表したレポートは、ホテルやレンタカーのオンライン予約サービスに存在する、アカウント乗っ取りの脆弱性に関するものだ。なお、この脆弱性は、すでに修正されているという。Salt Labs は、「この欠陥を悪用する攻撃者は、システム内のあらゆるユーザー・アカウントへのアクセス権を獲得し、被害者に成りすまして、さまざまな操作を実行する。具体的には、被害者のマイレッジ・ポイントによるホテルやレンタカーの予約や、予約情報のキャンセルや編集などである」と、The Hacker News に共有したレポートで述べている。
Continue reading “航空/旅行システムの OAuth 認証に脆弱性:数百万人のアカウントに乗っ取りの懸念”Do We Really Need The OWASP NHI Top 10?
2025/01/27 TheHackerNews — 先日に OWASP (Open Web Application Security Project) は、新たな指針としての Non-Human Identity (NHI) Top-10 に取り組み始めた。長年にわたり OWASP は、広く利用される API Top-10 や Web App Top-10 などのプロジェクトを通じて、セキュリティの専門家と開発者に対して、重要なガイダンスと実用的なフレームワークを提供してきた。Non-Human Identity (NHI) セキュリティは、サイバー・セキュリティ業界で新たな関心を集めている。そこで OWASP は、NHI Top-10 により、API キー/サービス・アカウント/OAuth アプリ/SSH キー/IAM ロール/シークレットなどのマシン認証情報とワークロード ID に関連する、リスクと監視の欠如を指摘している。
Continue reading “OWASP の Non-Human Identity (NHI) Top-10 とは? 隠れたリスクを可視化する”2025/01/27 SecurityOnline — 信頼性が高くスケーラブルな検索プラットフォームで知られる、Apache Solr プロジェクトがリリースしたのは、2件の深刻な脆弱性に対処するセキュリティ・アップデートである。脆弱性 CVE-2024-52012/CVE-2025-24814 が影響を及ぼす範囲は、Apache Solr のバージョン 6.6 〜 9.7 となる。
Continue reading “Apache Solr の脆弱性 CVE-2024-52012/24814 が FIX:ただちにパッチを!”CVE-2025-20156 (CVSS 9.9): Cisco Meeting Management Flaw Allows for Privilege Escalation
2025/01/22 SecurityOnline — Cisco が発行したのは、同社の Meeting Management ソフトウェアに存在する、深刻な権限昇格の脆弱性 CVE-2025-20156 (CVSS:9.9) に対処するセキュリティ・アドバイザリである。この脆弱性の悪用に成功した、低権限を持つ認証済みの攻撃者は、リモートから影響を受けるデバイスにアクセスし、管理者レベルへと権限を昇格させる可能性を手にする。
Continue reading “Cisco Meeting Management の脆弱性 CVE-2025-20156 (CVSS 9.9) が FIX:ただちにアップデートを!”Fleet: Open-source platform for IT and security teams
2025/01/21 HelpNetSecurity — Fleet は、何千台ものコンピューターを管理する IT/Security チーム向けに提供される OSS プラットフォームである。そのために、API/GitOps/Webhook/YAML コンフィグレーションと、シームレスに連携するように設計されている。
Continue reading “Fleet は IT/Security チームのための OSS ツール:パッチ適用から MDM にいたるサービス”CISA: No Federal Agency Beyond Treasury Impacted by BeyondTrust Incident
2025/01/07 SecurityWeek — 2025年1月6日 (月) に米国の CISA が発表したのは、BeyondTrust のクラウドベース・サービスに関連する、最近の大規模なサイバーセキュリティ・インシデントで影響を受けたのは、財務省だけだという調査の結果である。12月31日に公表されたのは、中国政府が支援する APT の攻撃で、BeyondTrust のリモート管理サービスの侵害された API キーが悪用され、財務省のワークステーションと非機密文書への不正アクセスが生じたというものだ。
Continue reading “CISA が公表する BeyondTrust インシデントの詳細:連邦政府の被害は財務省のみ”Machine identities are the next big target for attackers
2024/12/30 HelpNetSecurity — これまでの1 年以内に、クラウド・ネイティブ環境に関連するセキュリティ・インシデントに、86% の組織が遭遇していると Venafi は指摘している。その結果として、53% の組織が、アプリケーションのリリース遅延や、開発ペースのスローダウンを経験し、45% の組織は、アプリケーション・サービスの停止/中断に見舞われたという。さらに、30% の組織は、データ/ネットワーク/システムへの、攻撃者による不正アクセスの可能性があると回答している。
Continue reading “クラウド・ネイティブの時代:マシン ID を狙う攻撃者が増えてくるはずだ”Postman Security Lapse: 30,000 Workspaces Leak API Keys & More
202224/12/29 SecurityOnline — API の開発/テストで人気のプラットフォーム Postman に、複数のセキュリティ上の脆弱性が存在することが、CloudSEK の TRIAD チームの最新レポートで明らかにされた。この調査の結果として、パブリック・アクセス可能な 30,000 を超える Postman Workspace で、API キー/トークン/ビジネス・データなどの機密情報が漏洩していることが判明している。
Continue reading “Postman に複数の脆弱性:30,000 以上の Workspaces から API Keys などがリーク”CVE-2024-52046 (CVSS 10): Critical Apache MINA Flaw Could Allow Remote Code Execution
2024/12/25 SecurityOnline — 人気のネットワーク・アプリケーション・フレームワーク Apache MINA に、深刻な脆弱性 CVE-2024-52046 (CVSS 10.0) が発見された。この脆弱性を悪用する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を得るため、早急なパッチ適用が最優先事項となる。
Continue reading “Apache MINA の RCE 脆弱性 CVE-2024-52046 がFIX:CVSS 値は 10.0”API security blind spots put businesses at risk
2024/12/24 HelpNetSecurity — 2024年の API セキュリティの傾向と課題に関する調査で判明したのは、顧客向け API の多くは、依然として保護対策が不十分であり、企業は侵害に対して脆弱な状態にあるという現実だ。こうした脅威に対処するために不可欠なのは、API セキュリティに対する包括的なアプローチであり、また、ライフ・サイクルの全段階をカバーすることだ。本記事では、Nightfall AI による “2024 State of Secrets Report” から得られた、主な洞察を紹介する。
Continue reading “2024年の API セキュリティ課題と解決策 – Nightfall AI”CVE-2024-55949 (CVSS 9.3): Critical MinIO Flaw Allows Any User to Gain Full Admin Privileges
2024/12/17 SecurityOnline — 人気の OSS ストレージ・プラットフォーム MinIO に発見された脆弱性により、すべてのユーザーが権限を管理者レベルに昇格できる可能性が生じ、データ・セキュリティに深刻なリスクへと至っている。この脆弱性 CVE-2024-55949 (CVSSv4:9.3:Critical) は、IAM import API に存在する。
Continue reading “MinIO の脆弱性 CVE-2024-55949 (CVSS 9.3) が FIX:あらゆるユーザーが管理者権限を取得”Over 300K Prometheus Instances Exposed: Credentials and API Keys Leaking Online
2024/12/12 TheHackerNews — OSS イベント監視ソリューションである、Prometheus をホスティングしている数千のサーバが、情報漏洩/サービス拒否 (DoS) 攻撃/リモート・コード実行 (RCE) 攻撃などのリスクにさらされていると、研究者たちが警告している。Aqua Security の研究者である Yakir Kadkoda と Assaf Morag は、「Prometheus Server/Exporter では、認証の欠落が多発するため、認証情報や API キーなどの機密情報が、攻撃者により容易に収集されてしまう」と、The Hacker News に共有されたレポートで述べている。
Continue reading “Prometheus に認証情報/API キー流出の可能性:30万以上のインスタンスが公開されている”Credit Card Skimmer Malware Uncovered: Targeting Magento Checkout Pages
2024/11/28 SecurityOnline — 大手 e コマース・プラットフォーム でMagento が、いつものように、巧妙なサイバー犯罪者の攻撃の標的になっている。先日に、Sucuri のセキュリティ・アナリスト Puja Srivastava が報告したのは、Magento で稼働している Web サイトを侵害する、悪意の JavaScript インジェクションに関する情報である。この新しいマルウェアは、チェックアウト ページをターゲットにして、支払いに関する情報機密のを、密かに盗み出しているという。
Continue reading “Magento Checkout Pages が標的:動的なクレジットカード・スキマーとは?”PyPI Python Library “aiocpa” Found Exfiltrating Crypto Keys via Telegram Bot
2024/11/25 TheHackerNews — Python Package Index (PyPI) リポジトリの管理者が隔離したのは、Telegram 経由で秘密鍵を盗み出すための悪意のコードを埋め込んだ、“aiocpa” パッケージのアップデート版である。この問題のパッケージは、Crypto Pay API の同期/非同期クライアントとして説明されている。2024年9月にリリースされた “aiocpa” パッケージは、現在までに 12,100 回もダウンロードされている。今回の Python ライブラリの隔離により、クライアントにおけるインストールが防止され、メンテナーによる変更もできなくなった。
Continue reading “PyPI の “aiocpa” は悪意のライブラリ:Telegram Bot で Crypto Keys を盗み出す手口とは?”Fortune 1000’s Hidden Threat: 30,000 Exposed APIs and 100,000 API Vulnerabilities Unveiled
2024/11/24 SecurityOnline — Escape チームの State of API Exposure 2024 レポートにより、世界で最大級の企業群の中に、膨大な数の脆弱な公開 API が存在することが明らかになった。Escape の分析が注視するのは、金融から医療にいたるまでの各業界に影響を及ぼし、また、Fortune 1000 企業に蔓延している可能性のある、重大なセキュリティ脆弱性である。
Continue reading “Fortune 1000 企業に潜む脅威:3万の公開 API と10万の API 脆弱性 – Escape”Critical Laravel Flaw (CVE-2024-52301) Exposes Millions of Web Applications to Attack
2024/11/14 SecurityOnline — Laravel フレームワークに、深刻なセキュリティ脆弱性 CVE-2024-52301 (CVSS:8.7) が発見された。この、堅牢なアプリケーションを構築するための、洗練された構文と包括的なツールセットで知られるフレームワークの欠陥により、多数の Laravel ベースのアプリケーションにおいて、不正アクセス/データ改竄/権限昇格の危険が生じる恐れがある。
Continue reading “Laravel の脆弱性 CVE-2024-52301 が FIX:Web アプリへの多様な攻撃での悪用可能性”CVE-2024-20536: Cisco NDFC Vulnerability Grants Attackers Extensive Control
2024/11/07 SecurityOnline — 先日に Cisco が公表したのは、Nexus Dashboard Fabric Controller (NDFC) の特定のバージョンに影響を与える、深刻度が高い SQL インジェクション脆弱性 CVE-2024-20536 (CVSS 8.8) に関するセキュリティ勧告である。この脆弱性の悪用に成功した認証済みのリモート攻撃者は、影響を受けるデバイス上で任意の SQL コマンドの実行を達成し、ネットワーク・セキュリティに深刻なリスクをもたらす可能性を手にする。
Continue reading “Cisco NDFC の脆弱性 CVE-2024-20536 (CVSS 8.8) が FIX:深刻な SQLi の恐れ”Century Systems Routers Vulnerable to Remote Exploitation – CVE-2024-50357 (CVSS 9.8)
2024/11/04 SecurityOnline — Century Systems が発表したセキュリティ勧告は、FutureNet NXR ルーター群に影響を及ぼす、脆弱性 CVE-2024-50357 (CVSS:9.8) に関するものだ。この脆弱性の悪用に成功した攻撃者は、公開された REST-API をリモートから悪用することが可能になる。
Continue reading “Century Systems 製ルーターの脆弱性 CVE-2024-50357 (CVSS 9.8) が FIX:リモートからの悪用が可能”DocuSign’s Envelopes API abused to send realistic fake invoices
2024/11/04 BleepingComputer — DocuSign の Envelopes API を悪用する脅威アクターが、Norton や PayPal などの著名なブランドを装うことで、偽の請求書を大量に作成/配布していることが判明した。脅威アクターが送信するメールは、正規の DocuSign ドメインである docusign.net から送信されるため、メール・セキュリティ保護は回避されてしまう。
Continue reading “DocuSign の Envelopes API を悪用:Norton/PayPal などの署名付き偽請求書の送信”Patch Now! Grafana Hit by 9.9 Severity RCE Vulnerability (CVE-2024-9264)
2024/10/18 SecurityOnline — 監視および可視化のための OSS プラットフォームである Grafana に、深刻なセキュリティ脆弱性 CVE-2024-9264 (CVSS:9.9) が発見された。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で任意のコードを実行し、システム全体を完全に侵害する可能性を得るという。
Continue reading “Grafana の RCE 脆弱性 CVE-2024-9264 (CVSS:9.9) が FIX:直ちにアップデートを!”Matrix Discloses High-Severity Vulnerabilities in Encryption Key Sharing
2024/10/16 SecurityOnline — 先日に Matrix.org セキュリティ・チームが公表したのは、matrix-js-sdk/matrix-react-sdk に影響を及ぼす2つの深刻な脆弱性に関する情報である。これらの脆弱性は 、MSC3061 (新規ユーザーとのルームキー共有仕様) に関連しており、暗号化されたメッセージ履歴への、不正アクセスを許す可能性があるとされる。
Continue reading “Matrix の脆弱性 CVE-2024-47080/47824 が FIX:厳格なキー共有に対応”Keycloak Patches CVE-2024-3656 Granting Low-Privilege Users Administrative Access
2024/10/10 SecurityOnline — オープンソースの ID/Access 管理プラットフォームである Keycloak がリリースしたのは、低権限ユーザーに対して管理機能への不正アクセスを許す可能性がある、深刻な脆弱性 CVE-2024-3656 (CVSS:8.1) に対するセキュリティ・アップデートである。セキュリティ研究者の Maurizio Agazzini により発見された、この脆弱性は、Keycloak のバージョン 24.0.5 未満の全バージョンに影響を及ぼすものだ。
Continue reading “Keycloak の脆弱性 CVE-2024-3656 が FIX:権限昇格などの恐れ”Mozilla fixes Firefox zero-day actively exploited in attacks
2024/10/09 BleepingComputer — Mozilla が公表したのは、現時点で攻撃に悪用されている、Firefox の深刻な use-after-free の脆弱性に対処するための、緊急セキュリティ・アップデートのリリースである。この脆弱性 CVE-2024-9680 は、Animations タイムラインにおける use-after-free に起因するものであり、ESET の研究者 Damien Schaeffer により発見されている。このタイプの欠陥は、解放されたメモリがプログラムにより使用される前に発生し、メモリ領域への悪意のデータの注入とコード実行を、攻撃者に許すものである。
Continue reading “Mozilla Firefox ゼロデイ脆弱性 CVE-2024-9680 が FIX:積極的な悪用を観測”
IoT OT Security News 
You must be logged in to post a comment.