Zimbra Collaboration GraphQL Flaw Lets Hackers Steal User Information
2025/04/30 gbhackers — Zimbra Collaboration Suite (ZCS) に存在する深刻なクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2025-32354 により、メール・サーバとユーザー・データに悪用のリスクが生じている。この脆弱性の影響が及ぶ範囲はバージョン 9.0 〜 10.1 であり、その悪用に成功した攻撃者は、認証済みセッションの乗っ取りや、パスワード/連絡先/メールの内容などの機密情報の窃取を可能にするという。
Continue reading “Zimbra Collaboration の CSRF 脆弱性 CVE-2025-32354 が FIX:GraphQL の欠陥が甚大な被害を招く”CVE-2025-27407 (CVSS 9.1): Critical GraphQL-Ruby Flaw Exposes Millions to RCE
2025/03/17 SecurityOnline — 人気の graphql-ruby gem に発見された深刻な脆弱性 CVE-2025-27407 により、何百万ものアプリケーションが、リモート・ コード実行のリスクにさらされている。このライブラリのダウンロード数は 1億3,600万回を超え、広範囲で利用されているため、潜在的な影響の大きさが懸念されている。
Continue reading “GraphQL-Ruby の脆弱性 CVE-2025-27407 (CVSS 9.1) が FIX:悪意のスキーマの取り込みと RCE”Why Shadow APIs are More Dangerous than You Think
2023/04/13 TheHackerNews — シャドー API は、悪意の動作を隠蔽し、データ損失を引き起こす可能性があるため、あらゆる規模の組織にとって、リスクを高めるものになっている。シャドー API とは、公式に文書化/サポートされていない API のことだが、この言葉を知らない人も多いだろう。残念なことだが、運用チームやセキュリティ・チームの誰もが知らない API が、プロダクション環境に存在することが一般的である。企業は何千もの API を管理しているが、その多くは API ゲートウェイや Web アプリケーション・ファイアウォールなどのプロキシを経由していない。つまり、大半の API は監視/監査されない、最も脆弱な存在なのだ。
Continue reading “Shadow API の調査:監視/監査されない最も脆弱な存在について考える”Researchers Reported Critical SQLi and Access Flaws in Zendesk Analytics Service
2011/11/15 TheHackerNews — サイバー・セキュリティ研究者たちが、Zendesk Explore に存在する欠陥 (パッチ適用済み) の詳細を公開した。この脆弱性の悪用に成功した攻撃者は、Explore 機能を ON にした顧客アカウントの情報に、不正にアクセスする可能性があったとされる。
Continue reading “Zendesk Explore の深刻な脆弱性が FIX:GraphQL API で SQL インジェクションが発生”Salt Security Report Surfaces GraphQL API Vulnerabilities
2021/12/08 SecurityBoulevard — 今日、Salt Security は、非公開の金融サービス企業が実装している、GraphQL API で発見された脆弱性を紹介するレポートを発表した。Salt Security の Technical Evangelist である Michael Isbitski によると、同社の研究者が確認した限りでは、この脆弱性の悪用は検知されていない。しかし、このレポートは、REST API に代わるものとして、開発者が広く使用し始めている、この新しいクラスの API 保護の必要性を、セキュリティ・チームに警告するものになる。
Continue reading “Salt Security レポート:REST API の後継とされる GraphQL の脆弱性について”
IoT OT Security News 