Livewire Flaw Puts Millions of Laravel Apps at Risk of RCE Attacks
2025/07/21 gbhackers — Laravel アプリ向けのフルスタック・フレームワーク Livewire に、深刻な脆弱性が発見された。この脆弱性により、数百万もの Web 資産が、未認証のリモート・コマンド実行攻撃のリスクに直面することになる。この脆弱性 CVE-2025-54068 は、Livewire のバージョン3.0.0-beta.1 〜 3.6.3 に存在する。この問題は、特定のコンポーネントにおける、プロパティ・ハイドレーションに起因しており、サーバ上での任意のコマンド挿入/実行を、攻撃者に許す可能性があるという。
Continue reading “Livewire の脆弱性 CVE-2025-54068 が FIX:Laravel アプリに RCE の可能性”Laravel APP_KEY Flaw Exploited to Trigger Remote Code Execution on Hundreds of Apps
2025/07/11 gbhackers — Laravel アプリケーションに存在する深刻な脆弱性 CVE-2024-55555 を、セキュリティ研究者たちが発見した。この脆弱性を悪用する攻撃者は、公開状態にある APP_KEY 資格情報の欠陥を突き、数百の本番システムでのリモート・コード実行 (RCE) を可能にするという。この広範な影響が生じるというセキュリティ欠陥は、Laravel における復号されたデータが、自動的にデシリアライズされるという仕様に起因する。加えて、このフレームワークには、任意コマンドの実行を可能とする、多数のガジェット・チェーンが存在する。
Continue reading “Laravel APP_KEY の脆弱性 CVE-2024-55555:各種アプリ上での RCE トリガーの可能性”Laravel Framework Flaw Allows Attackers to Execute Malicious JavaScript
2025/03/10 gbhackers — Laravel フレームワークで発見された深刻な脆弱性 CVE-2024-13918 は、バージョン 11.9.0 〜11.35.1 に影響を及ぼすものだ。アプリケーションがデバッグ・モードで実行されているときに、エラー・ページでリクエスト・パラメータが適切にエンコードされないことに起因する問題であり、反射型クロスサイト・スクリプティング (XSS) を引き起こす可能性があるという。Github のレポートによると、この脆弱性 CVE-2024-13918 の CVSS スコアは 8.0 であり、高深刻度だと評価されている。
Continue reading “Laravel の深刻な XSS の脆弱性 CVE-2024-13918 が FIX:PoC も公開”1.08M Downloads at Risk: Volt Fixes Severe RCE Vulnerability (CVE-2025-27517)
2025/03/09 SecurityOnline — Livewire で広く採用され、ダウンロード数が 108 万回を超える Functional API の Volt が、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-27517 に対する、パッチ適用を発表した。Volt を使用する開発者は、PHP ロジックと Blade テンプレートを単一ファイル・コンポーネント内でシームレスに統合できる。ただし、そのためのリクエスト処理メカニズムで発見された欠陥により、深刻なセキュリティ・リスクが生じている。
Continue reading “Volt の RCE 脆弱性 CVE-2025-27517 が FIX:任意の PHP コード実行の可能性”Critical SSRF Vulnerability (CVE-2024-53353) Found in Invoice Ninja
2024/12/27 SecurityOnline — オープンソースの請求書作成・プロジェクト管理プラットフォームである Invoice Ninja に、SSRF (Server-Side Request Forgery) の脆弱性 CVE-2024-53353 が発見された。この脆弱性を悪用する攻撃者に対して、システムのホスト・サーバ上の機密ファイルの読み取りが許されるという。この脆弱性を発見した Pretera のセキュリティ研究者 Arben Shala から、詳細なレポートが公開されている。
Continue reading “Invoice Ninja の SSRF 脆弱性 CVE-2024-53353 が FIX:PDF 生成機能を悪用”CVE-2024-55661: RCE Vulnerability Discovered in Laravel Pulse Monitoring Tool
2024/12/16 SecurityOnline — Laravel アプリケーション向けの、リアルタイム・パフォーマンス監視およびダッシュボード・ツールである Laravel Pulse に、深刻な脆弱性 CVE-2024-55661 (CVSS:8.7) が発見された。この脆弱性の悪用に成功した、Pulse ダッシュボードへのアクセス権を持つ認証済みユーザーにより、サーバ上での任意のコード実行が可能となり、システム全体が侵害される恐れが生じる。Laravel Pulse は、開発者に対して、アプリケーション・パフォーマンスに関する貴重な情報を提供し、ボトルネックの特定および使用状況の監視を可能にするものだ。
Continue reading “Laravel Pulse 監視ツールの脆弱性 CVE-2024-55661 が FIX:ただちにアップデートを!”Critical Laravel Flaw (CVE-2024-52301) Exposes Millions of Web Applications to Attack
2024/11/14 SecurityOnline — Laravel フレームワークに、深刻なセキュリティ脆弱性 CVE-2024-52301 (CVSS:8.7) が発見された。この、堅牢なアプリケーションを構築するための、洗練された構文と包括的なツールセットで知られるフレームワークの欠陥により、多数の Laravel ベースのアプリケーションにおいて、不正アクセス/データ改竄/権限昇格の危険が生じる恐れがある。
Continue reading “Laravel の脆弱性 CVE-2024-52301 が FIX:Web アプリへの多様な攻撃での悪用可能性”EMERALDWHALE Operation Exposes Over 15,000 Cloud Credentials in Widespread Git Exploit
2024/10/31 SecurityOnline — 世界規模の犯罪組織 EMERALDWHALE が、Git の無防備なコンフィグ・ファイルを悪用し、15,000件以上のクラウド認証情報を盗み出していることが、Sysdig の Threat Research Team (TRT) により発見された。Sysdig TRT のレポートでは、認証情報を漏洩させる大量のミスコンフィグが存在するという、憂慮すべき Web サーバの状況が指摘されている。それらのミスコンフィグは、何千ものプライベート・リポジトリに影響を与え、1つのアカウントが侵害されるごとに、数多くの被害者に損失を与える可能性があるものだ。
Continue reading “新たな犯罪グループ EMERALDWHALE:Git コンフィグ・ファイルからクラウド認証情報を窃取”Exploiting Livewire: CVE-2024-47823 Puts Laravel Apps at Risk
2024/10/09 SecurityOnline — Laravel のフルスタック・フレームワークである Livewire は、動的な UI コンポーネントを PHP を離れることなく構築することで人気を博しているが、新たに脆弱性 CVE-2024-47823 (CVSS:7.7) の存在が判明している。この脆弱性の悪用に成功した攻撃者は、ファイルのアップロードを介することで、影響を受けるシステム上でリモート・コード実行 (RCE) を達成できる。Laravel とシームレスに統合される Livewire は、動的なユーザー・インターフェイスの開発を簡素化するものだ。ただし、この利便性と引き換えに、Livewire のバージョイン v3.5.2 未満では、ファイルのアップロード処理に起因する問題により、深刻な懸念が引き起こされている。
Continue reading “Laravel アプリのリスク:Livewire の REC 脆弱性 CVE-2024-47823 と PoC”2024/09/29 SecurityOnline — Filament Project が発表したのは、Laravel 開発で人気を誇る full-stack コンポーネント・コレクションに存在する、脆弱性 CVE-2024-47186 に関するセキュリティ・アドバイザリである。この XSS (Cross-Site Scripting) 脆弱性は、検証されていない ColorColumn/ColorEntry の値をレンダリングするアプリケーションに対して重大なリスクをもたらすものであり、バージョン v3.0.0~v3.2.114 に影響を及ぼす。
Continue reading “Filament の XSS 脆弱性 CVE-2024-47186 が FIX:直ちにアップデートを!”CVE-2024-40075: XXE Vulnerability Found in Laravel v11.x
2024/07/23 SecurityOnline — 人気の OSS PHP Web フレームワークの Laravel v11.x に、深刻な脆弱性 CVE-2024-40075 が発見された。この XXE (XML External Entity) の脆弱性の悪用に成功した攻撃者は、機密情報にアクセス/任意のコマンド実行の可能性を得る。
Continue reading “Laravel v11.x の脆弱性 CVE-2024-40075 が FIX:XXE の恐れ”Laravel Framework Hit by Data Exposure Vulnerability (CVE-2024-29291) – Database Credentials at Risk
2024/04/21 SecurityOnline — 先日に発見された、人気の Web 開発フレームワーク Laravel における脆弱性により、Web サイトやアプリケーションで、深刻なデータ侵害の可能性が生じている。この脆弱性 CVE-2024-29291 は、Laravel のバージョン 8〜11 に影響を及ぼし、機密性の高いデータベースのログイン認証情報が暴露される可能性があるという。
Continue reading “Laravel Framework の脆弱性 CVE-2024-29291:ゼロデイ状態で PoC も提供”FBI: Androxgh0st malware botnet steals AWS, Microsoft credentials
2024/01/16 BleepingComputer — Androxgh0st マルウェアを使用する脅威アクターが、クラウド・クレデンシャルの窃取に特化したボットネットを構築し、窃取した情報を介して悪意のペイロードを配信していることを、1月16日に CISA と FBI が警告した。この、2022年に Lacework Labs により発見されたボットネットは、PHPUnit ユニットテスト・フレームワーク/PHP Web フレームワーク/Apache Web サーバなどを使用する Web サイト/サーバをスキャンし、リモートコード実行 (RCE) の脆弱性を検出するものだ。
Continue reading “FBI 警告:AWS/ Microsoft などのクラウド・クレデンシャルを狙うAndroxgh0st ボットネット”Chinese Phishing Gang “PostalFurious” Expands Campaign
2023/06/02 InfoSecurity —最近になって発見された中国のフィッシング・ギャングが、個人情報や決済データの窃取を目的とした、新たな詐欺行為によるキャンペーンを中東で拡大していると、Group-IB の調査が示している。UAE で発生した大量のフィッシング・メール/フィッシング iMessage は、PostalFurious の犯行だと、同社は断定している。
Continue reading “PostalFurious フィッシング・ギャングは中国由来:洗練された手法で UAE を狙っている”
IoT OT Security News 