Spring Security Vulnerability Exposes Valid Usernames to Attackers
2025/04/25 gbhackers — Spring Security で発見されたセキュリティ脆弱性 CVE-2025-22234 により、広く使用されているフレームワークの深刻な弱点が露呈した。この脆弱性は spring-security-crypto パッケージの複数のバージョンに影響するものであり、ログイン応答時間の顕著な差を分析する攻撃者が、有効なユーザー名を判別できるようになるため、タイミング攻撃の攻撃経路となると、HeroDevs のレポートが指摘している。
Continue reading “Spring Security の脆弱性 CVE-2025-22234 が FIX:タイミング攻撃を可能にするバグが混入”Critical PyTorch Vulnerability Allows Hackers to Run Remote Code
2025/04/21 gbhackers — OSS 機械学習フレームワークとして広く利用される PyTorch に、新たに発見された深刻な脆弱性 CVE-2025-32434 を悪用する攻撃者は、AI モデルをロードするシステム上で、任意のコード実行の可能性を手にする。この問題は、”weights_only=True” などのセキュリティ対策が有効化されている場合にも起こり得る。
Continue reading “PyTorch の深刻な脆弱性 CVE-2025-32434 が FIX:セキュリティ対策の不備によるコード実行”CVE-2025-30223 (CVSS 9.3): Critical XSS Vulnerability Discovered in Beego Framework
2025/04/02 SecurityOnline — Web アプリや API の構築で人気を博す、Go フレームワークである Beego Framework に、クロスサイト・スクリプティング (XSS) の脆弱性が発見された。この脆弱性 CVE-2025-30223 (CVSS:9.3) を悪用する攻撃者は、悪意の JavaScript コードを Web ページに挿入し、ユーザー・データやセッションを侵害する可能性を手にする。
Continue reading “Beego Framework の脆弱性 CVE-2025-30223 (CVSS:9.3) が FIX:Go 環境に深刻な XSS”Spring Security Updates Address Authorization Bypass and Password Length Vulnerabilities
2025/03/20 SecurityOnline — Java ベース・アプリで広く使用されるフレームワーク Spring が公開したのは、認証バイパスと脆弱なパスワード強制につながる、2つの深刻なセキュリティ脆弱性に関する情報である。脆弱性 CVE-2025-22223/CVE-2025-22228 は、Spring Security の複数バージョンに影響を及ぼすものであり、開発者による即時の対応と、リスクの軽減を必要とするものだ。
Continue reading “Spring Securityの2つの深刻な脆弱性 CVE-2025-22223/22228 が FIX:認証バイパスの可能性”Critical Vulnerability in Rasa Framework Enables Remote Code Execution (CVE-2024-49375)
2025/01/15 SecurityOnline — 人気のオープンソース・フレームワークである Rasa に、深刻な脆弱性 CVE-2024-49375 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、悪意を持って細工したデルをリモートから読み込むことで、リモート・コード実行 (RCE:Remote Code Execution) の可能性を手にする。Rasa は、テキスト/音声ベースの会話型 AI アプリケーション開発に使用されており、そのダウンロード数は 2500万件以上を記録し、機械学習の導入における重要な基盤となっている。
Continue reading “Rasa フレームワークの脆弱性 CVE-2024-49375 が FIX:RCE の可能性”FuzzyAI: Open-source tool for automated LLM fuzzing
2024/12/13 HelpNetSecurity — 新たに登場したオープンソース・フレームワークの FuzzyAI は、LLM のファジングを自動化する強力なツールである。ガードレール迂回や有害な出力生成などの、LLM の潜在的なセキュリティ脆弱性の特定/緩和を支援するために設計されている。FuzzyAI の主な機能は、様々な敵対的インプットに対する AI モデルのテスト/セキュリティ・システムにおける潜在的な弱点の特定/AI 開発と展開の安全性向上のための体系的なアプローチなどである。
Continue reading “FuzzyAI:LLM のファジングを自動化するパワフルな OSS ツール”CVE-2024-38821 (CVSS 9.1) Allows Authorization Bypass in Spring WebFlux Applications
2024/10/28 SecurityOnline — Spring Security が公開したのは、WebFlux アプリケーションに影響を及ぼす可能性のある、深刻な脆弱性 CVE-2024-38821 (CVSS:9.1) のセキュリティ・アドバイザリである。この脆弱性が悪用されると、特定の条件下において、WebFlux アプリケーション内で認証バイパスが可能になり、静的リソースへの不正アクセスが生じる恐れがある。それにより攻撃者は、アプリケーションのセキュリティを損なう可能性を手にする。
Continue reading “Spring WebFlux の認証バイパスの脆弱性 CVE-2024-38821 が FIX:直ちにアップデートを!”Exploiting Livewire: CVE-2024-47823 Puts Laravel Apps at Risk
2024/10/09 SecurityOnline — Laravel のフルスタック・フレームワークである Livewire は、動的な UI コンポーネントを PHP を離れることなく構築することで人気を博しているが、新たに脆弱性 CVE-2024-47823 (CVSS:7.7) の存在が判明している。この脆弱性の悪用に成功した攻撃者は、ファイルのアップロードを介することで、影響を受けるシステム上でリモート・コード実行 (RCE) を達成できる。Laravel とシームレスに統合される Livewire は、動的なユーザー・インターフェイスの開発を簡素化するものだ。ただし、この利便性と引き換えに、Livewire のバージョイン v3.5.2 未満では、ファイルのアップロード処理に起因する問題により、深刻な懸念が引き起こされている。
Continue reading “Laravel アプリのリスク:Livewire の REC 脆弱性 CVE-2024-47823 と PoC”2024/09/29 SecurityOnline — Filament Project が発表したのは、Laravel 開発で人気を誇る full-stack コンポーネント・コレクションに存在する、脆弱性 CVE-2024-47186 に関するセキュリティ・アドバイザリである。この XSS (Cross-Site Scripting) 脆弱性は、検証されていない ColorColumn/ColorEntry の値をレンダリングするアプリケーションに対して重大なリスクをもたらすものであり、バージョン v3.0.0~v3.2.114 に影響を及ぼす。
Continue reading “Filament の XSS 脆弱性 CVE-2024-47186 が FIX:直ちにアップデートを!”Apache Wicket Addresses Critical RCE Vulnerability (CVE-2024-36522)
2024/06/04 SecurityOnline — Apache がリリースしたのは、Wicket PMC (Project Management Committee) に存在する、深刻なリモート・コード実行の脆弱性 CVE-2024-36522 に対するセキュリティ・アップデートであり、この広く使われている Java Web アプリケーション・フレームワークの問題が対処された。この脆弱性は、Apache Wicket の初期バージョンで発見された、潜在的な XSLT インジェクションに起因するものだ。この脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で、任意のコードを実行する可能性を手にする。
Continue reading “Apache Wicket の脆弱性 CVE-2024-36522 が FIX:重大なリモート・コード実行の恐れ”CVE-2024-34350 & CVE-2024-34351: Two Vulnerabilities Patched in Popular Next.js Framework
2024/05/09 SecurityOnline — フルスタック Web アプリケーションの構築で用いられる、主要フレームワークである Next.js は、最新の React 機能と Rust ベースの JavaScript ツールの統合により、世界的な大企業に広く採用されている。しかし、先日の発見により、ユーザーデータやサーバの運用を危険にさらす可能性のある、深刻なセキュリティ脆弱性が露呈している。
Continue reading “Next.js Framework の脆弱性 CVE-2024-34350/34351 が FIX:ただちにパッチを!”Critical Spin Framework Flaw: Sandbox Escape Vulnerability Exposed (CVE-2024-32980)
2024/05/09 SecurityOnline — 先日に Spin Project が発表したのは、WebAssembly を使用して安全で高速なクラウド・マイクロサービスを構築/実行するために設計された、オープンソースの Spin Framework におけるキュリティ勧告である。それは、深刻な脆弱性 CVE-2024-32980 (CVSS:9.1) であり、きわめて高いリスクが懸念されるものだ。この脆弱性は、特別にコンフィグレーションされた Spin アプリケーションにおいて、ネットワーク・サンドボックス・エスケープの可能性を生じるものだ。
Continue reading “Spin Framework の脆弱性 CVE-2024-32980 が FIX:サンドボックス・エスケープの恐れ”CVE-2024-33861: Patch Released for Qt Vulnerability Affecting Applications
2024/05/09 SecurityOnline — Qt Group がリリースしたのは、QStringConverter コンポーネントで発見された脆弱性 CVE-2024-33861 に対応する、セキュリティ勧告とパッチである。Qt Framework 自体には、リモート攻撃に対する直接の脆弱性は存在しないが、この脆弱性が、QStringDecoder を用いるアプリケーションで悪用される可能性が生じる。
Continue reading “Qt Framework の脆弱性 CVE-2024-33861 が FIX:影響は限定的だが油断は禁物”Laravel Framework Hit by Data Exposure Vulnerability (CVE-2024-29291) – Database Credentials at Risk
2024/04/21 SecurityOnline — 先日に発見された、人気の Web 開発フレームワーク Laravel における脆弱性により、Web サイトやアプリケーションで、深刻なデータ侵害の可能性が生じている。この脆弱性 CVE-2024-29291 は、Laravel のバージョン 8〜11 に影響を及ぼし、機密性の高いデータベースのログイン認証情報が暴露される可能性があるという。
Continue reading “Laravel Framework の脆弱性 CVE-2024-29291:ゼロデイ状態で PoC も提供”CVE-2024-22262: Spring Framework Hit by New Vulnerability, Urgent Update Needed
2024/04/12 SecurityOnline — 広範に利用されている Spring Framework ソフトウェアに存在する、深刻度の高いセキュリティ上の欠陥 CVE-2024-22262 が、新たに発見された。この脆弱性により、無数のアプリケーションに対して、リダイレクト攻撃やサーバ・サイド・リクエスト・フォージェリ (SSRF) 攻撃が発生する可能性があると、研究者たちが警告している。
Continue reading “Spring Framework の深刻な脆弱性 CVE-2024-22262 が FIX:SSRF 攻撃などが発生する可能性”CVE-2024-22259: Spring Framework Update Fixes High-Severity Flaw
2024/03/14 SecurityOnline — 多くの Java ベースのアプリケーションの基礎となっている、人気の Spring Framework に存在する、深刻度の高い脆弱性 CVE-2024-22259 が修正された。この脆弱性は、EcoFlow Intelligent Terminal の threedr3am により発見されたものだ。
Continue reading “Spring Framework の脆弱性 CVE-2024-22259 が FIX:直ちにアップデートを!”CVE-2024-22233: A high-severity Spring Framework Vulnerability
2024/01/22 SecurityOnline — Spring Framework はオープンソースの Java プラットフォームであり、エンタープライズ・アプリケーション開発のための、包括的なインフラ・サポートを提供している。基本的には、定型的なコードや一般的なタスクを処理することで開発プロセスを簡素化し、アプリケーションのコアとなるビジネスロジックの記述に、開発者が集中できるようにするためのツールキットである。
Continue reading “Spring Framework の脆弱性 CVE-2024-22233 が FIX:DDoS の可能性”R1Soft Server Backup Manager Vulnerability Exploited to Deploy Backdoor
2023/02/22 SecurityWeek — 昨年に発見された、ConnectWise の R1Soft Server Backup Manager に存在する脆弱性の悪用により、数百台のサーバーにバックドアが展開されていることが判明した。2022年10月下旬に ConnectWise は、R1Soft Server Backup Manager に存在する深刻な脆弱性に対してパッチを提供し、また、それを悪用する攻撃者による、任意のコード実行および機密データへのアクセスを防ぐよう顧客に通知した。その時点において同社は、この脆弱性が野放し状態で悪用される可能性が高いことを警告し、ユーザーに対しては、可能な限り速やかに、パッチを適用するよう促していた。
Continue reading “R1Soft Server Backup Manager にバックドア:2022年5月の脆弱性 CVE-2022-36537 が要因”Understanding NIST CSF to assess your organization’s Ransomware readiness
2022/12/06 TheHackerNews — ランサムウェア攻撃の主な要因は、組織における脆弱なセキュリティ管理にあり、、その件数と影響が増え続けている。中堅企業が保有する貴重なデータが大量にあるが、大企業のような保護対策や人材が不足しているため、標的にされている。RSM の最新調査によると、中堅企業の 62% が今後の 12カ月間に、ランサムウェアの危険にさらされる可能性があると捉えている。サイバー・セキュリティのリーダーたちの感覚は、”まっさきに頭に浮かぶもの” から “深刻な頭痛のタネ” の間の、どこかにある。
Continue reading “NIST Cybersecurity Framework の概説:セキュリティの5つの要素を再確認する”
IoT OT Security News 