Privilege Escalation Flaws Found in Tenable Network Monitor
2025/05/26 gbhackers — Tenable における、パッシブ脆弱性スキャン・ソリューションの主要製品である、Network Monitor のバージョン 6.5.1 がリリースされた。このバージョンでは、自社コードベースおよびバンドルされているサードパーティ・ライブラリに存在する、複数の深刻な脆弱性への対処が行われている。このアップデートは、OpenSSL/expat/curl/libpcap/libxml2 といった、広く使用される OSS コンポーネントに脆弱性が発見されたことを受けて、実施されたものである。
Continue reading “Tenable Network Monitor の脆弱性 CVE-2025-24916/24917 が FIX:主要 OSS コンポーネントも刷新”CVE-2024-56171 & CVE-2025-24928: Libxml2 Flaws Could Lead to Code Execution
2025/02/23 SecurityOnline — XML 解析ライブラリ Libxml2 は、GNOME プロジェクト向けに開発され、Linux/Windows/macOS/Unix ベース・システムなどの、各種プラットフォームで広範に利用されるものだ。
Continue reading “Libxml2 の脆弱性 CVE-2024-56171/CVE-2025-24928 などが FIX:コード実行の可能性”CVE-2024-40896 (CVSS 9.1): Critical XXE Vulnerability Discovered in libxml2
2023/12/25 SecurityOnline — 人気の XML パース・ライブラリ libxml2 に、新たな脆弱性 CVE-2024-40896 (CVSS 9.1) が発見された。この脆弱性の悪用に成功した攻撃者は、システム侵害/機密データ窃取などの可能性を得るという。libxml2 は、C 言語で書かれた堅牢な XML 解析ライブラリである。さらに、C++/Python/Ruby などのプログラミング言語へのバインディングにより、その汎用性は強化され、多くの開発環境で標準的なツールとなっている。Web サービス/データ処理/システム構成などの各種アプリケーションで、libxml2 が広く利用される背景には、その優れた解析機能と効率性がある。
Continue reading “libxml2 の XXE 脆弱性 CVE-2024-40896 (CVSS 9.1) が FIX:システム侵害などの可能性”Splunk Enterprise Updates Patch High-Severity Vulnerabilities
2023/02/15 SecurityWeek — 2月14日に Splunk は、Splunk Enterprise のアップデートを発表した。それにより、同製品で使用されるサードパーティ・パッケージに影響を与える、複数の深刻な脆弱性が解決されることになる。 最も深刻な脆弱性は CVE-2023-22939/CVE-2023-22935 (CVSS:8.1) であり、危険なコマンドに対する Search Processing Language (SPL) セーフガードが、バイパスされる可能性が生じるという。どちらの脆弱性も、Splunk Web を有効にしたインスタンスに影響するが、前提として高特権ユーザーによるブラウザ・リクエストが必要となる。
Continue reading “Splunk Enterprise の複数の深刻な脆弱性が FIX:早急なパッチ適用が推奨されている”Apple out-of-band patches fix remote code execution bugs in iOS and macOS
2022/11/10 SecurityAffairs — Apple は、iOS/macOS 用の不定期パッチをリリースし、XML ドキュメント解析のための libxml2 ライブラリに存在する、2つのコード実行の脆弱性 CVE-2022-40303/CVE-2022-40304 に対処した。これらの2つの脆弱性は、Google Project Zero のセキュリティ研究者たちにより発見された。この脆弱性の悪用に成功したリモートの攻撃者は、アプリの想定外の終了や、任意のコード実行が可能になる。
Continue reading “macOS/iOS のリモート・コード実行の脆弱性が FIX:CVE-2022-40303/CVE-2022-40304”CISA Warns of Critical Flaws Affecting Industrial Appliances from Advantech and Hitachi
2022/10/19 TheHackerNews — 18日に米国の CISA は、産業制御システム (ICS) である Advantech R-SeeNet/Hitachi Energy APM Edge アプライアンスの深刻な脆弱性に関する、2件のアドバイザリを発表した。これらの脆弱性は、R-SeeNet モニタリング・ソリューションの3つの弱点に起因し、悪用に成功した攻撃者は、システム上でのファイル削除/コード実行などが、リモートから可能になるという。
Continue reading “CISA 警告:Advantech/Hitachi の ICS デバイスにおける深刻な脆弱性”CISA warns of vulnerabilities in Hitachi Energy products
2021/12/04 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Hitachi Energy の製品に影響を与える脆弱性について、セキュリティ・パッチの提供や通知に関連する、6つの勧告を発表した。
Continue reading “CISA 勧告:Hitachi Energy 製品群における OpenSSL/LibSSL/libxml2 などの脆弱性”
IoT OT Security News 