Open Source – IoT OT Security News

CodeIgniter4 の脆弱性 CVE-2025-54418 が FIX：画像ファイル名などを悪用するコマンド・インジェクション

Critical CodeIgniter Vulnerability Exposes Million of Webapps to File Upload Attacks

2025/07/29 CyberSecurityNews — CodeIgniter4 の ImageMagick ハンドラにおいて、悪意のファイル・アップロードに起因するコマンド・インジェクションの脆弱性が発見された。この欠陥により、数百万の Web アプリケーションに対して深刻な影響が及ぶ可能性がある。この脆弱性 CVE-2025-54418 は (CVSS v3.1：9.8) は Critical と評価されており、影響を受けるシステムへの速やかな対応が必要とされる。

Python Web Framework Reflex の脆弱性 CVE-2025-47425 が FIX：Admin アカウント乗っ取りの恐れ

High-Risk Flaw in Python Web Framework Reflex Could Lead to Account Takeover

2025/05/19 SecurityOnline — インタラクティブな Web アプリを構築するための、Python ベースの OSS フレームワーク Reflex に、深刻なセキュリティ上の欠陥が発見された。この脆弱性は CVE-2025-47425 の CVSS スコアは 8.1 であり、深刻度が高いことを示している。Reflex の人気は、JavaScript を必要とせずに、Python のみフルスタック Web アプリの構築が可能なところにある。その使いやすさと、パワフルな状態管理のための機能により、最先端のアプリ開発において Reflex は人気を博している。

VS Code in the Browser の脆弱性 CVE-2025-47269 が FIX：code-server の乗っ取りの恐れ

VS Code in the Browser at Risk: code-server Security Alert

2025/05/12 SecurityOnline — VS Code をブラウザで実行するために、広く利用される code-server プロジェクトに存在する脆弱性が、新たに公開されたセキュリティ・アドバイザリで明らかにされた。この脆弱性 CVE-2025-47269 (CVSS：8.3) を悪用する攻撃者は、ユーザー・セッションへの不正アクセスの可能性を手にする。

libexpat XML parser の脆弱性 CVE-2024-8176 が FIX：懸念されるサプライチェーン攻撃

Stack Overflow Alert! XML Flaw in libexpat Threatens Widespread Software

2025/05/12 SecurityOnline — libexpat XML 解析ライブラリに存在する、スタック・オーバーフローの脆弱性 CVE-2024-8176 (CVSS：7.5) に関する情報を、CERT/CC が発表した。影響を受ける環境での libexpat ライブラリの導入方法によっては、この脆弱性を悪用する攻撃者は、メモリ破損やアプリケーション・クラッシュなどを引き起こす可能性を手にする。

Google の FreeType on Android の脆弱性 CVE-2025-27363 が FIX：任意のコード実行の恐れ

Google fixes actively exploited FreeType flaw on Android

2025/05/06 BleepingComputer — Google は、Android 向けの 2025年5月セキュリティ・アップデートをリリースした。このアップデートでは、45件のセキュリティ脆弱性が修正されているが、その中には、現在も悪用されている FreeType 2 のゼロクリック・コード実行の欠陥も含まれる。FreeType は、人気の OSS フォント・レンダリング・ライブラリであり、画像の表示や、プログラムによるテキストの追加にも対応している。この脆弱性 CVE-2025-27363 は、深刻度の高い任意のコード実行を許すものであり、Facebook のセキュリティ研究者たちにより、2025年3月に発見された。

PyPI に７つの悪意のパッケージ：Gmail SMTP への信用を悪用する新たな手口

Seven Malicious Packages Exploit Gmail SMTP to Run Harmful Commands

2025/05/02 gbhackers — Python Package Index (PyPI) に公開された７つのパッケージに、相互に関連する悪意が潜んでいることが、Socket 脅威調査チームの研究者たちにより発見された。それは、Python オープンソース・コミュニティを揺るがす、大規模なサプライチェーン・セキュリティ・インシデントを示すものだ。

Apache ActiveMQ の脆弱性 CVE-2025-29953 が FIX：デシリアライズ・エラーによる RCE

Apache ActiveMQ Vulnerability Lets Remote Hackers Execute Arbitrary Code

2025/05/01 gbhackers — Apache ActiveMQ の .NET Message Service (NMS) ライブラリに、深刻な脆弱性 CVE-2025-29953 (CVSS：8.1) が発見された。この脆弱性の悪用に成功したリモートの攻撃者は、パッチ未適用のシステム上で任意のコード実行の可能性を手にする。この脆弱性が影響を及ぼす範囲は、最新のセキュリティ更新プログラムが適用される以前の、すべての ActiveMQ バージョンとなる。

Zimbra Collaboration の CSRF 脆弱性 CVE-2025-32354 が FIX：GraphQL の欠陥が甚大な被害を招く

Zimbra Collaboration GraphQL Flaw Lets Hackers Steal User Information

2025/04/30 gbhackers — Zimbra Collaboration Suite (ZCS) に存在する深刻なクロスサイト・リクエスト・フォージェリ (CSRF) の脆弱性 CVE-2025-32354 により、メール・サーバとユーザー・データに悪用のリスクが生じている。この脆弱性の影響が及ぶ範囲はバージョン 9.0 〜 10.1 であり、その悪用に成功した攻撃者は、認証済みセッションの乗っ取りや、パスワード／連絡先／メールの内容などの機密情報の窃取を可能にするという。

PowerDNS DNSdist の脆弱性 CVE-2025-30194 が FIX：サービス拒否の可能性

High-Severity DoS Vulnerability Found in PowerDNS DNSdist (CVE-2025-30194)

2025/04/30 SecurityOnline — PowerDNS チームが公開したのは、同社の DNS ロード・バランサーである DNSdist に存在する、サービス拒否 (DoS) 脆弱性 CVE-2025-30194 (CVSS：7.5) に関するセキュリティ・アドバイザリである。この脆弱性は、DNS over HTTPS (DoH) の nghttp2 プロバイダーが設定されているバージョン 1.9.0〜1.9.8 に影響を及ぼし、悪意の DoH エクスチェンジにより悪用される可能性がある。

Rancher の脆弱性 CVE-2024-22031 が FIX：プロジェクトの名前空間の衝突による権限昇格

Rancher Releases Patch for CVE-2024-22031 Privilege Escalation Vulnerability

2025/04/30 SecurityOnline — SUSE Rancher セキュリティ・チームが発行したのは、人気の OSS コンテナ管理プラットフォーム Rancher の複数バージョンに影響を与える、新たな脆弱性に関するセキュリティ・アドバイザリである。この脆弱性 CVE-2024-22031 (CVSS：8.6) を悪用する攻撃者は、Kubernetes クラスター間での権限昇格を達成し、コンテナ化されたアプリケーションを本番環境で実行するエンタープライズ環境に対して、深刻なリスクをもたらすという。

Apache Tomcat の脆弱性 CVE-2025-31650／31651 が FIX：DoS とルール・バイパスの恐れ

Apache Tomcat Security Update Fixes DoS and Rewrite Rule Bypass Flaws

2025/04/29 SecurityOnline — Apache Software Foundation が発表したのは、広く使用されている OSS Java サーブレット・コンテナである Apache Tomcat の、複数のバージョンに影響を与える２つの脆弱性に対処する重要なアップデートのリリースである。これらの脆弱性 CVE-2025-31650／CVE-2025-31651 に対して、パッチを適用せずに放置すると、サービス拒否状態やセキュリティ・ルールのバイパスにつながる可能性がある。

FastCGI Library の脆弱性 CVE-2025-23016 が FIX：ヒープ・オーバーフローの恐れ

Critical FastCGI Library Flaw Exposes Embedded Devices to Code Execution

2025/04/28 gbhackers — ライトウェイトな Web サーバ通信のコア・コンポーネントである、FastCGI ライブラリに発見された深刻な脆弱性 CVE-2025-23016 により、多数の組み込みデバイスや IoT デバイスにリモート・コード実行の脅威が生じている。

Brave の Cookiecrumbler が OSS 化：AI を用いて Cookie 同意通知をブロック

Brave’s Cookiecrumbler tool taps community to help block cookie notices

2025/04/27 BleepingComputer — Brave の Cookiecrumbler という新しいツールが、オープンソース化された。このツールは、大規模言語モデル (LLM) を用いて Cookie 同意通知を検出し、コミュニティ主導のレビューに基づき、サイトの機能に支障をきたさない通知をブロックするものだ。

Python の h11 HTTP Library の脆弱性 CVE-2025-43859 が FIX：リクエスト・スマグリングの恐れ

CVE-2025-43859: Request Smuggling Vulnerability in Python’s h11 HTTP Library

2025/04/27 SecurityOnline — Python で記述され、最小限の機能だけを持ち、I/O に依存しない、HTTP/1.1 プロトコル・ライブラリ h11 に、深刻な脆弱性 CVE-2025-43859 (CVSS：9.1) が発見された。この脆弱性により、不適切なコンフィグやバグのある HTTP プロキシと連携するアプリケーションにおいて、h11 に対するリクエスト・スマグリング攻撃の可能性が生じている。

WooCommerce 管理者を標的とする偽のセキュリティ警告：フェイク・パッチへの誘導に要注意

WooCommerce Users Targeted by Fake Security Vulnerability Alerts

2025/04/25 gbhackers — WooCommerce ユーザーを標的とする、大規模なフィッシング・キャンペーンの存在を、Patchstack セキュリティ・チームが発見した。このキャンペーンは、きわめて洗練されたメールと Web ベースのフィッシング・テンプレートを用いて、Web サイト所有者を欺いていく。

Redis の脆弱性 CVE-2025-21605 が FIX：サービス拒否 (DoS) 攻撃の可能性

Redis Vulnerability Exposes Servers to Denial-of-Service Attacks

2024/04/24 SecurityOnline — 広く利用される OSS のインメモリ・データ・ストア Redis に、深刻な脆弱性が発見された。この脆弱性を悪用する未認証の攻撃者により、サーバ・メモリの枯渇と、サービス拒否 (DoS) 状態が引き起こされる可能性がある。脆弱性 CVE-2025-21605 (CVSS：7.5) は、Redis のバージョン 2.6 以降に影響を及ぼすものだ。

Cisco 製品群に影響を及ぼす Erlang/OTP SSH の脆弱性 CVE-2025-32433：暫定アドバイザリが公開

Multiple Cisco Tools at Risk from Erlang/OTP SSH Remote Code Execution Flaw

2024/04/24 gbhackers — Cisco が発行したのは、Erlang/OTP の SSH サーバを使用する製品群に存在する、深刻なリモート・コード実行 (RCE) の脆弱性に関する、重要なアドバイザリ (cisco-sa-erlang-otp-ssh-xyZZy) である。この脆弱性 CVE-2025-32433 (CVSS：10.0) の悪用に成功した未認証の攻撃者は、脆弱なデバイス上で任意のコード実行を達成し、企業のネットワーク／クラウド・インフラ／通信システムにリスクをもたらす。

GitLab の XSS の脆弱性 CVE-2025-1763／2443 などが FIX：XSS によるアカウント乗っ取りの恐れ

GitLab Releases Security Update to Patch XSS and Account Takeover Flaws

2024/04/24 SecurityOnline — GitLab が発表したのは、セルフ・マネージド GitLab 環境の速やかなアップグレードを、ユーザーに求めるセキュリティ・アドバイザリである。このアドバイザリで取り上げられるのは、GitLab Community Edition (CE)／Enterprise Edition (EE) のバージョン 17.11.1／17.10.5／17.9.7 のリリースであり、重要なバグとセキュリティ修正が提供されている。

Grafana の脆弱性 CVE-2025-3260／2703／3454 が FIX：ダッシュボード権限バイパスなどの恐れ

Grafana Patches CVE-2025-3260 and More in Critical Security Update

2025/04/24 SecurityOnline — Grafana Labs が公表したのは、複数の製品バージョンにまたがる、セキュリティ・アップデートのリリースである。このアップデートでは、Grafana OSS／Enterprise エディションに影響を及ぼす、深刻度が High 脆弱性１件と、Medium の脆弱性２件が修正されている。最も深刻な脆弱性 CVE-2025-3260 (CVSS：8.3：High) に関しては、最小権限のユーザーであっても、それを悪用することで、ダッシュボードに対する不正なアクセスや変更の機会を得るという。

Meshtastic の深刻な脆弱性 CVE-2025-24797 が FIX：不正なメッシュ・パケットによる RCE

Critical Meshtastic RCE Vulnerability (CVE-2025-24797) Requires Urgent Update

2025/04/21 SecurityOnline — 携帯電話やインターネットによる接続に依存することなく長距離／低消費電力の通信を可能にする、OSS の LoRa メッシュ・ネットワーク・プラットフォーム Meshtastic に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2025-24797 (CVSS：9.4) は、ファームウェア・バージョン 2.6.2 未満を実行するデバイスにおいて、未認証のリモートコード実行 (RCE) を許すものである。

PyTorch の深刻な脆弱性 CVE-2025-32434 が FIX：セキュリティ対策の不備によるコード実行

Critical PyTorch Vulnerability Allows Hackers to Run Remote Code

2025/04/21 gbhackers — OSS 機械学習フレームワークとして広く利用される PyTorch に、新たに発見された深刻な脆弱性 CVE-2025-32434 を悪用する攻撃者は、AI モデルをロードするシステム上で、任意のコード実行の可能性を手にする。この問題は、”weights_only=True” などのセキュリティ対策が有効化されている場合にも起こり得る。

GitHub Enterprise の脆弱性 CVE-2025-3509 などが FIX：コード実行や認証バイパスなどの可能性

GitHub Enterprise Server Vulnerabilities Expose Risk of Code Execution and Data Leaks

2025/04/19 SecurityOnline — GitHub がリリースしたのは、GitHub Enterprise Server に存在する、複数の脆弱性に対処するセキュリティ・アップデートである。これらの脆弱性には、攻撃者に対して任意のコード実行を許す可能性のある、深刻度の高い脆弱性が含まれている。GitHub Enterprise Server を使用する組織に対して、強く推奨されるのは、これらのパッチを速やかに適用し、システムを保護することだ。

Linux Kernel の脆弱性 CVE-2024-53141：権限昇格と RCE の PoC がリリース

CVE-2024-53141: Linux Kernel Flaw Enables Privilege Escalation, PoC Releases

2025/04/18 SecurityOnline — Linux Kernel の脆弱性 CVE-2024-53141 (CVSS：7.8) に関する、技術的詳細と PoC エクスプロイトを、あるセキュリティ研究者が公開した。この脆弱性は、netfilter サブシステムの ipset コンポーネントにおける、深刻な境界外アクセス (OOB：out-of-bounds) の欠陥であり、bitmap_ip_uadt 関数の微妙なバグに起因する。そのため、脅威アクターに対して、強力なエクスプロイト・チェーンが提供され、権限昇格／KASLR バイパスに加えて、完全なカーネル・レベルでのコード実行の可能性が生じる。

WordPress RomethemeKit の脆弱性 CVE-2025-30911 が FIX：低権限ユーザーによる RCE

RomethemeKit Elementor Plugin Flaw Enables RCE: CVE-2025-30911

2025/04/17 SecurityOnline — 30,000+ のインストール数を誇る　WordPress プラグイン RomethemeKit For Elementor に発見された脆弱性により、認証済みの悪意のユーザーが、不適切な権限の取得と nonce チェックを達成し、リモート・コード実行 (RCE) に到達するという。この脆弱性 CVE-2025-30911 の CVSS スコアは 9.9 であり、Critical と評価されている。

Erlang/OTP の脆弱性 CVE-2025-32433 (CVSS 10) が FIX：SSH の欠陥と未認証での RCE

Erlang/OTP CVE-2025-32433 (CVSS 10): Critical SSH Flaw Allows Unauthenticated RCE

2025/04/17 SecurityOnline — 通信／分散システム／リアルタイム・プラットフォームなどの領域で広く使用される、Erlang/OTP の SSH サーバ・コンポーネントに深刻な脆弱性が発見された。この脆弱性 CVE-2025-32433 は、悪用の容易さと潜在的な影響への考慮により、最高の CVSS 深刻度である 10.0 が割り当てられている。

PHP extract() の脆弱性 CVE-N/A が FIX：レガシー関数の危険性と現代のエコシステム

Critical Flaw in PHP’s extract() Function Enables Arbitrary Code Execution

2025/04/17 gbhackers — PHP の extract() 関数に、深刻な脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、メモリ破損を引き起こし、任意のコード実行を達成するという。この問題は、PHP のバージョン 5.x／7.x／8.x に影響を及ぼす。攻撃者により、PHP 5.x では二重解放が、PHP 7.x／8.x では解放後メモリ使用が引き起こされ、最終的にはリモート・コード実行 (RCE) にいたるという。

Firefox の脆弱性 CVE-2025-3608 が FIX：競合状態によるメモリ破壊のリスク

Firefox Fixes High-Severity Vulnerability Causing Memory Corruption via Race Condition

2025/04/16 gbhackers — Mozilla が発表したのは、攻撃者に対してメモリ破損の悪用を許す可能性のある、深刻度の高いセキュリティ脆弱性を修正する Firefox 137.0.2 のリリースである。この修正は、Mozilla Foundation セキュリティ・アドバイザリ 2025-25 に記載されているように、Mozillaファジング・チームによる、脆弱性の発見と報告を受けて行われたものである。

Argo Events の深刻な脆弱性 CVE-2025-32445 が FIX：ホスト・システム／クラスタへの特権アクセス

Critical CVE-2025-32445 Vulnerability in Argo Events Scores CVSS 10

2025/04/16 SecurityOnline — Kubernetes 向けのイベント・ドリブンなワークフロー自動化フレームワーク Argo Events に、深刻なセキュリティ脆弱性 CVE-2025-32445 (CVSS：10.0) が発見された。

Tails 6.14.2 がリリース：Linux Kernel と Perl の深刻な脆弱性に対応

Tails 6.14.2 Released with Critical Fixes for Linux Kernel Vulnerabilities

2025/04/16 gbhackers — Tails プロジェクトが公表したのは、Linux カーネル／Perl プログラミング言語の深刻なセキュリティ脆弱性を修正した、Tails 6.14.2 の緊急リリースである。複数の脆弱性の影響を受け、システムの安全性を損なわれる可能性が生じている。したがって、この緊急リリースは、Tails のセキュリティ／プライバシー機能に依存するユーザーにとって、きわめて重要なものである。

PyPI Organizations に深刻な脆弱性：報告から２時間で修正され被害もなし

PyPI Swiftly Patches Privilege Escalation Flaw in Organizations Feature

2025/04/15 SecurityOnline — 2025年4月14日に Python Package Index (PyPI) チームは、組織から削除されたユーザーが、その後もチーム権限を保持するという、セキュリティ上の懸念事項に迅速に対応した。この脆弱性により、高権限を必要とする操作への、意図しないアクセスの可能性が生じていた。このインシデントは、テスト中のユーザーにより適切に開示され、PyPI のプロアクティブなインフラ／セキュリティへの対応により、わずか２時間強で修復された。

Apache Roller の脆弱性 CVE-2025-24859 が FIX：パスワード変更後の不正アクセス？

Apache Roller Vulnerability Allows Hackers to Bypass Access Controls

2025/04/15 gbhackers — 人気の OSS ブログ・サーバ Apache Roller に、新たな脆弱性が発見された。この脆弱性を悪用する攻撃者は、重要なアクセス制御を回避し、パスワード変更後であっても、アカウントへの不正アクセスを維持する可能性を持つ。

Jupyter Remote Desktop Proxy の脆弱性 CVE-2025-32428 が FIX：TigerVNC との組み合わせが危険

CVE-2025-32428: Jupyter Remote Desktop Proxy Exposes TigerVNC to Network Access

2025/04/14 SecurityOnline — Jupyter ノートブック・インターフェイス内で、XFCE などの GUI デスクトップ環境を実行する Jupyter エクステンションである Jupyter Remote Desktop Proxy に、深刻なセキュリティ脆弱性が存在することを、研究者たちが発見した。この脆弱性 CVE-2025-32428 (CVSSv4：9.0) は、Jupyter Remote Desktop Proxy と TigerVNC とを併用した場合に発生し、ネットワーク経由で意図せず VNC サービスが公開されてしまうという、本来の設計に反する事態を引き起こす。

Yii 2 の脆弱性 CVE-2024-58136 が FIX：安全が確保されないリフレクションの可能性

Urgent: Yii 2 Vulnerability CVE-2024-58136 Under Active Exploit

2025/04/14 SecurityOnline — PHP Web アプリ・フレームワークとして人気を博す Yii 2 に、脆弱性 CVE-2024-58136 (CVSS：9.1) が発見された。この脆弱性が影響を及ぼす範囲は、バージョン 2.0.52 未満となる。Yii 2 のダウンロード数は 2,500万回を超えており、数え切れないほどの Web アプリで使用されているため、この脆弱性は、開発者やサイト管理者にとって重大な懸念事項となっている。

Perl の脆弱性 CVE-2024-56406 が FIX：サービス拒否のおそれとコード実行の可能性

CVE-2024-56406: Heap Overflow Vulnerability in Perl Threatens Denial of Service and Potential Code Execution

2025/04/13 SecurityOnline — システム管理や Web 開発などの、さまざまな用途で広く使用される汎用プログラミング言語 Perl に、セキュリティ上の脆弱性が発見された。このヒープバッファ・オーバーフローの脆弱性 CVE-2024-56406 は、Perl バージョン 5.34／5.36／5.38／5.40 に影響を及ぼす。

WordPress Everest Forms の脆弱性 CVE-2025-3439 が FIX：PHP オブジェクト・インジェクションの可能性

Critical Vulnerability in Everest Forms Plugin Threatens WordPress Sites

2025/04/12 SecurityOnline — WordPress プラグイン Everest Forms で発見された深刻なセキュリティ脆弱性により、10万以上の Web サイトが潜在的なリスクにさらされている。この脆弱性 CVE-2025-3439 (CVSS：9.8) は、PHP オブジェクト・インジェクションの欠陥であり、それを悪用する未認証の攻撃者に対して、悪意のコード挿入を許すものである。

Langflow の深刻な脆弱性 CVE-2025-3248 が FIX：未認証のリモート攻撃による完全な侵害

Critical Vulnerability Exposes Langflow Servers to Full Compromise

2025/04/11 SecurityOnline — エージェント型 AI ワークフロー構築ツールとして、人気を博す Langflow に新たに発見された脆弱性により、重大なセキュリティ・リスクが生じると懸念されている。この脆弱性 CVE-2025-3248 は、未認証のリモート攻撃者により容易に悪用され、Langflow サーバの完全な侵害を引き起こす可能性があるという。Horizon3.ai のセキュリティ研究者である Naveen Sunkavally が、この脆弱性を特定した。

WordPress InstaWP の脆弱性 CVE-2025-2636 が FIX：サーバの制御を奪われる可能性

InstaWP Connect Plugin Exposes WordPress Sites to Critical File Inclusion Vulnerability

2025/04/11 SecurityOnline — WordPress の InstaWP Connect プラグインに深刻なセキュリティ脆弱性が確認され、このツールを使用する Web サイトに重大なリスクが生じている。この脆弱性 CVE-2025-2636 は、未認証のローカル PHP ファイル・インクルードの脆弱性であり、その影響を受ける Web サイトを、攻撃者が完全に制御する可能性がある。

Joomla の脆弱性 CVE-2025-25226／25227 が FIX：SQLi とMFA バイパスの恐れ

Joomla Security Alert: Critical SQL Injection & MFA Bypass Vulnerabilities Uncovered

2025/04/11 SecurityOnline — Joomla プロジェクトが発表したのは、CMS／Database パッケージに影響を及ぼす２つの深刻な脆弱性に対処する、セキュリティ・アナウンスメントである。その内容は、SQL インジェクションの脆弱性 CVE-2025-25226 と、２要素認証バイパスの脆弱性 CVE-2025-25227 である。

DNS Library “c-ares” の深刻な脆弱性 CVE-2025-31498 が FIX：use-after-free の可能性

Critical Vulnerability (CVE-2025-31498) Patched in c-ares DNS Library

2025/04/11 SecurityOnline — DNS (Domain Name System) は、人間が理解しやすいドメイン名を、コンピュータが理解できる数値の IP アドレスに変換するという、重要な役割を果たすものである。そして、この変換を促進する多くのアプリケーションコア核には、堅牢な非同期 DNS リゾルバ・ライブラリである c-ares が存在している。しかし、この最も信頼性の高いツールでさえ、潜在的な脆弱性を抱えている可能性があることを、先日に公開された CVE-2025-31498 が示している。

Jenkins Docker の脆弱性 CVE-2025-32754／32755 が FIX：トラフィック・ハイジャックの可能性

Jenkins Docker Vulnerability Allows Hackers to Hijack Network Traffic

2025/04/11 gbhackers — Jenkins Docker イメージに影響を及ぼす脆弱性が新たに発見され、ネットワーク・セキュリティに関する深刻な懸念が生じている。この脆弱性は、SSH ホストキーの再利用に起因するものであり、それそ悪用する攻撃者は Jenkins ビルド・エージェントを偽装し、機密性の高いネットワーク・トラフィックを乗っ取る機会を得る。

WordPress SureTriggers プラグインの脆弱性 CVE-2025-3102 が FIX：PoC も提供

Rogue Account‑Creation Flaw Leaves 100 K WordPress Sites Exposed

2025/04/10 gbhackers — WordPress のプラグイン SureTriggers に、深刻な脆弱性 CVE-2025-3102 が発見された。この脆弱性により、10万以上の Web サイトが危険にさらされると懸念されている。この問題により、SureTriggers プラグインが適切にコンフィグされていないサイトにおける、不正な管理者ユーザーの作成を、攻撃者は可能にするとされる。なお、この脆弱性は、セキュリティ研究者である mikemyers により発見されたものである。

NATS Server の脆弱性 CVE-2025-30215 が FIX：JetStream API におけるアクセス制御の欠如

NATS Server Vulnerability: Missing Access Controls in JetStream API

2025/04/10 SecurityOnline — シンプルなデジタル・コミュニケーションのためのシステム／サービス／デバイスを提供する NATS Server に、セキュリティ上の脆弱性が発見された。この脆弱性 CVE-2025-30215 の脆弱性は、JetStream (JS) API におけるアクセス制御の欠如に起因する。

Kibana の脆弱性 CVE-2024-12556 が FIX：コード・インジェクションの恐れ

Kibana Code Injection Vulnerability: Prototype Pollution Threat (CVE-2024-12556)

2025/04/09 SecurityOnline — Elasticsearch が提供する、人気の OSS データ可視化フロントエンド Kibana に、新たに発見された脆弱性 CVE-2024-12556 (CVSS：8.7) には、特定の状況下でリモート・コード・インジェクションを許す可能性がある。この脆弱性は、プロトタイプ汚染の問題に起因するものであり、パス・トラバーサルと無制限のファイル・アップロードが組み合わされると、脆弱な Kibana 環境内で攻撃者にコード実行を許す可能性が生じる。