Linux Kernel 6.14 rc3 Released With The Fixes for Critical Issues
2025/02/17 gbhackers — Linus Torvalds が発表したのは、Linux Kernel 6.14-rc3 のリリースである。このリリースは、次期カーネル・バージョン 6.14 の安定化に向けた、重要なマイルストーンになるという。このリリース・キャンディデートでは、アーキテクチャの脆弱性に対処し、ドライバー開発を効率化するための、ライトウェイトな “Faux Bus” フレームワークが導入されている。
Continue reading “Linux Kernel 6.14 rc3 がリリース:いくつかの弱点の修正とドライバー開発の簡素化”LibreOffice Vulnerabilities (CVE-2024-12425 & CVE-2024-12426): PoCs Released, Patch ASAP
2025/02/17 SecurityOnline — LibreOffice に存在する2つの脆弱性を、Codean Labs のサイバー・セキュリティ研究者たちが発見した。これらの脆弱性の悪用に成功した攻撃者は、環境変数やコンフィグ・ファイルに関連する、任意の書き込みやリモート・データの抽出が可能になる。任意のファイル書き込みの脆弱性 CVE-2024-12425 と、リモート・ファイル読み取りの脆弱性 CVE-2024-12426 は、基本的にユーザーの操作を必要としないため、デスクトップ/サーバ環境での悪用の可能性が高くなる。
Continue reading “LibreOffice の脆弱性 CVE-2024-12425/12426 が FIX:深刻な情報漏洩と PoC のリリース”CVE-2024-12562: Critical s2Member Pro Flaw Leaves Millions of WordPress Sites Vulnerable
2025/02/17 SecurityOnline — WordPress の人気プラグイン s2Member Pro に、深刻なセキュリティ脆弱性が発見され、数百万の Web サイトに影響が及ぶ可能性があるという。この脆弱性 CVE-2024-12562 (CVSS:9.8) の悪用に成功した未認証の攻撃者には、脆弱なサイトへの悪意の PHP オブジェクト・インジェクションが許される可能性が生じる。
Continue reading “WordPress s2Member Pro の脆弱性 CVE-2024-12562 が FIX:PHP オブジェクト挿入の可能性”CVE-2022-31631 (CVSS 9.1): Critical PHP Flaw Exposes Websites to SQL Injection Attacks
2025/02/16 SecurityOnline — PHP で発見された深刻な脆弱性により、Web サイトやアプリケーションが SQL インジェクション攻撃にさらされる可能性が生じている。ユーザーに対して、強く推奨されるのは、可能な限り早急に、最新バージョンへと PHP を更新することだ。
Continue reading “PHP の深刻な脆弱性 CVE-2022-31631 (CVSS 9.1) が FIX:SQLite との不整合から SQLi にいたる恐れ”Mailcow Patches Password Reset Poisoning Vulnerability (CVE-2025-25198)
2025/02/16 SecurityOnline — 人気の OSS メール・サーバ・スイート Mailcow が公表したのは、攻撃者によるユーザー・アカウントの乗っ取りが生じ得る、深刻な脆弱性に対処するパッチのリリースである。この脆弱性 CVE-2025-25198 (CVSS:7.1:High) は、パスワード・リセット・ポイズニングに関係するものだという。
Continue reading “Mailcow の脆弱性 CVE-2025-25198 が FIX:パスワード・リセット・ポイズニングの恐れ”CVE-2024-32838 (CVSS 9.4): Critical SQL Injection Flaw Threatens Apache Fineract Users
2025/02/13 SecurityOnline — デジタル金融サービスのコア・バンキング・システムの構築に使用される、人気の OSS プラットフォーム Apache Fineract に、深刻なセキュリティ脆弱性が発見された。その脆弱性 CVE-2024-32838 は、金融機関とユーザーに深刻なリスクをもたらすが、Fineract サービスの重要なユーザーである、銀行口座を持たない人々や、銀行口座を十分に利用できない人々に対して、顕著な影響が生じることになる。
Continue reading “Apache Fineract の脆弱性 CVE-2024-32838 (CVSS 9.4) が FIX:深刻な SQLi の恐れ”XSS Flaw in Apache Atlas (CVE-2024-46910) Puts Data Governance at Risk
2025/02/13 SecurityOnline — Hadoop などのエンタープライズ・ データ・エコシステムで広く使用される、OSS のガバナンス/メタデータ管理ツール Apache Atlas に、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-46910 を悪用する攻撃者は、クロス・サイト・スクリプティング (XSS) 攻撃を仕掛け、他のユーザーになりすます可能性があるため、データ・ガバナンスとセキュリティに重大なリスクをもたらすという。
Continue reading “Apache Atlas の XSS 脆弱性 CVE-2024-46910 が FIX:データ・ガバナンス弱体化の恐れ”CVE-2025-24016 (CVSS 9.9): Critical RCE Vulnerability Discovered in Wazuh Server
2025/02/11 SecurityOnline — OSS セキュリティ・ ソリューションの大手プロバイダー Wazuh が発行したのは、同社のプラットフォームに影響を及ぼす、リモート・コード実行の脆弱性に関する重要なセキュリティ・アドバイザリである。この脆弱性 CVE-2025-24016 (CVSS:9.9) の悪用に成功した攻撃者は、脆弱な Wazuh サーバの完全な制御を奪う機会を手にする。
Continue reading “Wazuh Server の脆弱性 CVE-2025-24016 (CVSS 9.9) が FIX:PoC もリリース”CVE-2024-12366: Prompt Injection in PandasAI Enables Full System Compromise
2025/02/11 SecurityOnline — SinaptikAI が提供する OSS の AI 搭載データ分析ライブラリ PandasAI で、新たに公開されたセキュリティ脆弱性により、プロンプト・インジェクション攻撃によるリモート・コード実行 (RCE) の可能性が生じることが判明した。この脆弱性 CVE-2024-12366 を悪用する攻撃者は、自然言語プロンプトを操作して任意の Python コードを実行し、システム侵害を引き起こす機会を手にする。
Continue reading “PandasAI の脆弱性 CVE-2024-12366 が FIX:Python コードの実行”CVE-2024-12797 – High-Severity OpenSSL Flaw: Update Now to Prevent MITM Attacks
2025/02/11 SecurityOnline — 無数の Web サイトやオンライン・サービスを保護するために広く使用されている、暗号化ライブラリである OpenSSL に、深刻な脆弱性が発見された。その脆弱性 CVE-2024-12797 は、従来からの X.509 証明書に代わる認証方法である、Raw Public Keys (RPK) の実装に影響するものだ。
Continue reading “OpenSSL RPK の深刻な脆弱性 CVE-2024-12797 が FIX:MITM 攻撃の可能性”Beelzebub: Open-source honeypot framework
2025/02/10 HelpNetSecurity — Beelzebub は、サイバー脅威を検出/分析するための、安全な環境を設計する OSS のハニーポット・フレームワークだ。ローコード設計によるシームレスな導入を特徴とし、高インタラクション・ハニーポットの振舞を、AI を活用してエミュレートする。
Continue reading “Beelzebub は OSS のハニーポット:LLM モジュールで高インタラクションを実現”CVE-2025-25064 (CVSS 9.8): Critical SQL Injection Bug in Zimbra Collaboration
2025/02/09 SecurityOnline — 広く使用されている OSS の電子メール/コラボレーション・プラットフォームで Zimbra Collaboration に、2つのセキュリティ脆弱性 CVE-2025-25064/CVE-2025-25065 が発見された。これらの脆弱性の悪用に成功した攻撃者は、機密データや内部ネットワーク・リソースへの不正アクセスを達成し、電子メール/カレンダー/ファイル共有/タスク管理などに深刻なリスクをもたらす。
Continue reading “Zimbra Collaboration の脆弱性 CVE-2025-25064/25065 が FIX:SQLi と SSRF”7,000 Exposed Ollama APIs Leave DeepSeek AI Models Wide Open to Attack\
2025/02/07 HackRead — 実行中の AI モデルへのアクセスを提供する、オープンな Ollama API に関連する脆弱性を、サードパーティ・リスク管理企業 UpGuard のサイバーセキュリティ研究者たちが特定した。これらのオープン API は、モデル所有者にセキュリティ上のリスクをもたらすだけではなく、DeepSeek などの特定の AI モデルの採用率と地理的分布といった、データを測定するユニークな機会も提供してしまう。
Continue reading “Ollama API と DeepSeek のブーム:どのような AI リスクが生じるのだろうか?”Apache James Mail Server Hit by Double Denial-of-Service Vulnerabilities
2024/02/06 SecurityOnline — 広く使用されている OSS ソリューション Apache James (Java Apache Mail Enterprise Server) メール・サーバーは、サービス拒否 (DoS) 攻撃に対する脆弱性が存在していることが判明した。脆弱性 CVE-2024-45626/CVE-2024-37358 の悪用に成功した攻撃者は、悪意のあるリクエストでサーバを圧倒し、電子メール・サービスの妨害を達成するとされる。
Continue reading “Apache James Mail Server の脆弱性 CVE-2024-45626/37358 が FIX:サービス拒否攻撃の可能性”Vitest Vulnerability Exposes Developers to Remote Code Execution – CVE-2025-24964 (CVSS 9.7)
2025/02/06 SecurityOnline — 人気のユニット・テスト・フレームワーク Vitest に、深刻なセキュリティ脆弱性 CVE-2025-24964 (CVSS:9.7) が発見された。この脆弱性の悪用に成功した攻撃者は、開発者のマシン上で任意のコードを実行する可能性を手にする。この脆弱性の影響範囲は、Vitest のバージョン 3.0.4 以下となる。
Continue reading “Vitest の RCE 脆弱性 CVE-2025-24964 (CVSS 9.7) が FIX:PoC も提供!”F5 Warns of TLS Session Resumption Vulnerability in NGINX (CVE-2025-23419)
2025/02/05 SecurityOnline — F5 が発行したのは、人気の Web サーバ・ ソフトウェア NGINX に存在する脆弱性に関するセキュリティ・アドバイザリ警告である。この脆弱性 CVE-2025-23419 の悪用に成功した攻撃者は、クライアント証明書の認証をバイパスし、機密リソースへの不正アクセスの可能性を手にする。
Continue reading “NGINX の脆弱性 CVE-2025-23419 が FIX:TLS Session 再開の問題”2025/02/05 SecurityOnline — 人気の OSS NoSQL データベース Apache Cassandra だが、深刻な脆弱性に直面しており、機密データへの不正アクセスや不正操作が生じる可能性があるという。Cassandra の各バージョンに影響を及ぼす、3件の明確なセキュリティ上の欠陥が特定されている。したがって、このプラットフォームに依存して、ミッション・クリティカルなデータを運用する組織に、深刻な懸念が生じている。
Continue reading “Apache Cassandra の複数の深刻な脆弱性が FIX:認証バイパスや権限昇格の恐れ”DeepSeek’s popularity exploited to push malicious packages via PyPI
2025/02/03 HelpNetSecurity — DeepSeek の名前を悪用する、2つの悪意のパッケージが Python Package Index (PyPI) に公開され、その後の約 30分間で 36回もダウンロードされたという。この攻撃は、2025年1月29日の時点で、すでに存在するアカウントが、2つのパッケージを公開したときから始まっていた。
Continue reading “DeepSeek の人気に便乗:PyPI で公開されたインフォ・スティーラーとは?”CVE-2025-0851 (CVSS 9.8): Deep Java Library Vulnerability Allows Path Traversal Exploits
2025/02/02 SecurityOnline — ZipUtils.unzip/TarUtils.untar ユーティリティに、パス・トラバーサルの脆弱性 CVE-2025-0851 (CVSS 9.8) が発見された。これらのユーティリティは、DJL (Deep Java Library) で用いられるモデルをロードする際に、tar/zip モデル・アーカイブを抽出するために使用される。この問題は、DJL のバージョン 0.1.0〜0.31.0 に影響を及ぼすものであり、抽出プロセス中の絶対パス・トラバーサルに対する不十分な保護により発生する。
Continue reading “Deep Java Library の脆弱性 CVE-2025-0851 (CVSS 9.8) が FIX:パス・トラバーサルの恐れ”.Gov No More: Government Domains Weaponized in Phishing Surge
2025/02/02 SecurityOnline — 最近の Cofense Intelligence レポートで明らかになったのは、フィッシング・キャンペーンで .gov TLD (top-level domains) を悪用する脅威アクターが増えているという、懸念すべき傾向である。この2年間 (2022年1 月~ 2024年11月) において攻撃者たちは、複数の国々の政府 Web サイトにおいて、そこに存在する脆弱性の悪用や、悪意のコンテンツのホスト、Command and Control (C2) サーバとしての悪用、認証情報フィッシング・サイトへのユーザーのリダイレクトなどを行ってきた。
Continue reading ““.gov” は信用できない?数多くのフィッシング・キャンペーンにおける悪用の実態”PyPI adds project archiving system to stop malicious updates
2025/02/02 BleepingComputer — Python Package Index (PyPI) は、“Project Archival” の導入を発表した。それは、プロジェクトをアーカイブしたパブリッシャーが、更新を期待しないでほしいという旨のメッセージを、ユーザーに対して示す、新しいシステムである。
Continue reading “PyPI が導入した Project Archival:開発が止まったプロジェクトを固定して悪用を防止”CVE-2024-56529: mailcow Patches Session Fixation Vulnerability in Web Panel
2025/02/01 SecurityOnline — OSS メールサーバ・プラットフォームである mailcow プロジェクトは、攻撃者にユーザー・セッションを乗っ取られる可能性がある、セッションの固定化の脆弱性に対処した。
Continue reading “mailcow メールサーバの脆弱性 CVE-2024-56529 が FIX:Web Panel への不正アクセス”DeepSeek AI Leaks Over a Million Chat Logs and Sensitive Data Online
2025/01/30 HackRead — 中国の AI 企業 DeepSeek が、OpenAI のシステムに匹敵する AI モデルで名を馳せている。しかし、同社の台頭につれて、深刻なセキュリティ問題が発生している。Wiz の研究者が発見したのは、同社に関連付けられたデータベースが一般公開されており、100 万件を超えるログ・エントリ/バックエンドの詳細/ソフトウェア・キーなどが公開されている状況である。
Continue reading “DeepSeek からリークした大量のデータ:チャット・ログや機密情報が流出”CVE-2024-23953 and CVE-2024-29869: Apache Hive Patches Two Important Security Flaws
2025/01/30 SecurityOnline — 先日に Apache Hive プロジェクトが公表したのは、データ・レイク・システムへの侵害を攻撃者に許す可能性のある、2つの深刻なセキュリティ脆弱性への対処の完了である。ビッグ・データ環境の基盤として多用される Apache Hive は、大規模なデータセットに対する、SQL ベースの分析を可能にするという重要な役割を果たすものだ。その Hive Metastore (HMS) は、メタデータのセンタライズされたリポジトリとして機能するため、運用の妨害や機密情報への不正アクセスを試みる攻撃者の、主要なターゲットにされている。
Continue reading “Apache Hive の深刻な脆弱性 CVE-2024-23953/29869 が FIX:署名の偽造と過度の資格付与”Unpatched PHP Voyager Flaws Leave Servers Open to One-Click RCE Exploits
2025/01/30 TheHackerNews — オープンソースの PHP パッケージ Voyager に、3件のセキュリティ上の欠陥が発見された。それらを悪用する攻撃者は、影響を受けるインスタンス上で、ワンクリックのリモート・コード実行を達成するという。Sonar の研究者である Yaniv Nizry は、「認証された Voyager ユーザーが、悪意のリンクをクリックすると、攻撃者はサーバ上で任意のコードを実行できる」と、今週の初めに公開した記事で述べている。
Continue reading “PHP Voyager の脆弱性 CVE-2024-55415/55416/55417:パッチ未適用の One-Click RCE”CVE-2025-22604 (CVSS 9.1): Remote Code Execution Flaw in Cacti, PoC Released
2025/01/28 SecurityOnline — Cacti が公開したセキュリティ勧告は、同社のネットワーク監視ソフトウェアに存在する、深刻な脆弱性 CVE-2025-22604 (CVSS:9.1) に対処するものだ。この脆弱性の悪用に成功した認証済みの攻撃者は、システム上でのリモート・コード実行を達成し、機密データへの不正アクセスや、ネットワーク運用妨害の可能性を手にする。
Continue reading “Cacti の RCE 脆弱性 CVE-2025-22604 (CVSS 9.1) が FIX:PoC エクスプロイトも提供”Authentication Bypass in Deepin D-Bus Proxy Service (CVE-2025-23222): A Critical Design Flaw Exposed
2025/01/28 SecurityOnline — Deepin デスクトップ環境の dde-api-proxy サービスに、重大なセキュリティ脆弱性 CVE-2025-23222 (CVSS:8.4) が発見され、SUSE セキュリティ・チームの Matthias Gerstner から、詳細なレポートが公開されている。このレポートが浮き彫りにするのは、Deepin の認証メカニズムにおける設計上の重大な欠陥である。この脆弱性の悪用に成功したローカルの攻撃者は、権限を昇格させ、不正な操作を実行するとされる。
Continue reading “Deepin D-Bus における認証バイパスの脆弱性 CVE-2025-23222:特権昇格の可能性”CVE-2024-56626 & CVE-2024-56627: Critical Linux Kernel SMB Server Bugs Uncovered, PoC Published
2025/01/27 SecurityOnline — Linux カーネル・サーバ内の SMB モジュールである KSMBD に、2つの重大な脆弱性 CVE-2024-56626/CVE-2024-56627 が存在することが、セキュリティ研究者の Jordy Zomer により発見された。これらの脆弱性の悪用に成功した攻撃者は、脆弱なシステムを制御する可能性を手にする。
Continue reading “Linux Kernel SMB サーバの深刻な脆弱性 CVE-2024-56626/56627 が FIX:PoC も公開”Bitwarden makes it harder to hack password vaults without MFA
2025/01/27 BleepingComputer — OSS パスワード・マネジャーである Bitwarden が発表したのは、2FA で保護されていないアカウントに対する、新たなセキュリティ対策だ。具体的には、セキュリティ・レイヤーを追加し、アカウントへのアクセスを許可する前に、ユーザーによる認証を求めるというものだ。
Continue reading “Bitwarden の新たなセキュリティ対策:2FA 未設定のアカウント向けのハッキング防止策”CVE-2024-55573 & CVE-2024-53923: Centreon Hit by Critical SQL Injection Flaws
2025/01/27 SecurityOnline — 人気のオープンソース IT 監視ツール Centreon がリリースした緊急セキュリティ・アップデートは、2つの深刻な SQL インジェクション脆弱性 CVE-2024-55573/CVE-2024-53923 に対処するためのものだ。これらの脆弱性の悪用に成功した認証済みの攻撃者は、脆弱なシステム上で高権限を用いて、悪意のコード実行の可能性を手にする。
Continue reading “Centreon の SQLi 脆弱性 CVE-2024-55573/53923 が FIX:直ちにアップデートを!”Podman and Buildah Vulnerable to Container Breakout – CVE-2024-11218
2025/01/26 SecurityOnline — 人気のコンテナ・ツールである Podman と Buildah に、深刻な脆弱性 CVE-2024-11218 (CVSS:8.6) が発見された。この脆弱性の悪用に成功した攻撃者は、コンテナ・エスケープを達成し、ホスト・システム上の機密情報へのアクセスを可能にするという。この脆弱性は競合状態に起因するものであり、”–jobs=2″ フラグを使用して、悪意の Containerfile を構築する際に発生する。それにより攻撃者は、RUN 命令の “–mount” フラグを悪用して、ホスト上のコンテンツをコンテナに公開できるようになる。
Continue reading “Podman/Buildah の脆弱性 CVE-2024-11218 が FIX:ただちにパッチ適用を!”CVE-2024-43707: Kibana Patches High Severity Vulnerability Exposing Sensitive Information
2025/01/23 SecurityOnline — データ視覚化/探索のための OSS ツール Kibana がリリースしたセキュリティ・アップデートは、2つの脆弱性 CVE-2024-43707/CVE-2024-43710 に対処するものだ。すべてのユーザーに推奨されるのは、これらの脆弱性が修正されたバージョン 8.15.0へと、直ちにアップグレードすることである。
Continue reading “Kibana の脆弱性 CVE-2024-43707/43710 が FIX:情報漏えい/SSRF の可能性”2025/01/21 SecurityOnline — 世界中で 8,743以上の販売実績を誇る、WordPress のプレミアム広告テーマ AdForest に、深刻な脆弱性 CVE-2024-12857 (CVSS 9.8) が発見された。この脆弱性の悪用に成功した攻撃者は、認証メカニズムを完全バイパスする可能性を手にする。
Continue reading “WordPress AdForest Theme の脆弱性 CVE-2024-12857 が FIX:認証バイパスの可能性”Yubico Addresses Authentication Bypass Vulnerability CVE-2025-23013 in pam-u2f Package
2025/01/16 SecurityOnline — セキュリティ・キーおよび認証ソリューションの、大手プロバイダである Yubico が公開したセキュリティ勧告は、同社の OSS パッケージ pam-u2f に存在する認証バイパスの脆弱性 CVE-2025-23013 に対応するものだ。
Continue reading “Yubico pam-u2f の脆弱性 CVE-2025-23013 が FIX:認証バイパスの可能性”CVE-2024-9636: Popular WordPress Plugin ComboBlocks Exposes Thousands of Sites to Complete Takeover
2025/01/16 SecurityOnline — WordPress のプラグインである ComboBlocks (旧 Post Grid) に、深刻な脆弱性 CVE-2024-9636 (CVSS:9.8) が発見された。Web サイトのデザインと機能を強化するプラグインとして人気の ComboBlocks を使用している、4万以上の Web サイトが、この脆弱性による完全な乗っ取りの危険に晒されている。この脆弱性の悪用に成功した未認証の攻撃者は、管理者としてアカウントを登録し、影響を受ける Web サイトを完全に制御する可能性を手にする。
Continue reading “WordPress ComboBlocks の脆弱性 CVE-2024-9636 が FIX:4万件のサイトが危険な状態に”Critical Vulnerability in Rasa Framework Enables Remote Code Execution (CVE-2024-49375)
2025/01/15 SecurityOnline — 人気のオープンソース・フレームワークである Rasa に、深刻な脆弱性 CVE-2024-49375 (CVSS:9.1) が発見された。この脆弱性を悪用する攻撃者は、悪意を持って細工したデルをリモートから読み込むことで、リモート・コード実行 (RCE:Remote Code Execution) の可能性を手にする。Rasa は、テキスト/音声ベースの会話型 AI アプリケーション開発に使用されており、そのダウンロード数は 2500万件以上を記録し、機械学習の導入における重要な基盤となっている。
Continue reading “Rasa フレームワークの脆弱性 CVE-2024-49375 が FIX:RCE の可能性”2025/01/15 SecurityOnline — 機械学習のデモや Web アプリ開発で人気を博す、Python ライブラリ Gradio において、深刻な脆弱性 CVE-2025-23042 (CVSS:9.1) に対するパッチが適用された。この脆弱性が悪用されると、Access Control List (ACL) のバイパスが生じ、機密ファイルが暴露する恐れがある。
Continue reading “Gradio の脆弱性 CVE-2025-23042 が FIX:機密ファイルの漏洩に至る可能性”CVE-2024-56337: Apache Tomcat Patches Critical RCE Vulnerability
2024/12/22 SecurityOnline — Apache Tomcat が発表したのは、リモート・コード実行 (RCE) 脆弱性 CVE-2024-56337 に対処する、セキュリティ・アップデートのリリースである。この脆弱性の影響の範囲は、Tomcat 11.0.0-M1〜11.0.1/10.1.0-M1〜10.1.33/9.0.0.M1〜9.0.97 などの、各種バージョンに及ぶ。
Continue reading “Apache Tomcat の脆弱性 CVE-2024-56337 が FIX:PoC も提供”CVE-2024-47208 & CVE-2024-48962: Apache OFBiz Exposed to Remote Code Execution
2024/11/19 SecurityOnline — Apache Software Foundation が公表したのは、Apache OFBiz に存在する2つの深刻な脆弱性 CVE-2024-47208/ CVE-2024-48962 に対する、セキュリティ・アップデートをリリースである。この人気の OSS ビジネス アプリケーション・スイート Apache OFBiz の、脆弱性の悪用に成功した攻撃者は、任意のコード実行を達成し、機密データやビジネス ・オペレーションを危険にさらす可能性を手にする。
Continue reading “Apache OFBiz の脆弱性 CVE-2024-47208/48962 が FIX:RCE などの恐れ”CVE-2024-52308: GitHub CLI Vulnerability Could Allow Remote Code Execution
2024/11/18 SecurityOnline — GitHub CLI (Command Line Interface) に、深刻なセキュリティ脆弱性 CVE-2024-52308 (CVSS:8.1) が発見された。この脆弱性を悪用する攻撃者に対しては、ユーザーのワークステーション上での RCE (remote code execution) を許される可能性があるという。それのより、浮き彫りにされるのは、開発者によるソフトウェア更新の適切な実施と、セキュリティに対する意識の重要性である。
Continue reading “GitHub CLI の RCE 脆弱性 CVE-2024-52308 が FIX:ただちにアップデートを!”LibreNMS Vulnerability (CVE-2024-51092): Mitigating the Risk of Server Compromise
2024/11/18 SecurityOnline — 先日の LibreNMS プロジェクトのセキュリティ・アドバイザリで明らかになったのは、バージョン 24.9.1 以下に影響を及ぼす、深刻な脆弱性 CVE-2024-51092 (CVSS:9.1) の存在である。この、広く使用されるネットワーク監視プラットフォームの脆弱性が、認証された攻撃者により悪用されると、任意の OS コマンドの実行により、サーバの完全に乗っ取りにいたる可能性がある。
Continue reading “LibreNMS の脆弱性 CVE-2024-51092 が FIX:PoC エクスプロイトも提供”Trio of Apache Tomcat Flaws Disclosed: Authentication Bypass, HTTP/2 Request Mix-Up, and XSS Flaw
2024/11/18 SecurityOnline — 先日に Apache Software Foundation が公開したのは、広く利用されている OSS の Web Server/Servlet Container である、Apache Tomcat に影響を及ぼす3件の脆弱性に関する情報である。認証バイパスから XSS 攻撃にいたるまでの、これらの脆弱性により、多数の Web アプリケーションが攻撃者に対して無防備になる可能性が生じる。
Continue reading “Apache Tomcat の3件の脆弱性が FIX:認証バイパスや XSS の恐れ”CVE-2024-31141: Apache Kafka Vulnerability Exposes User Data to Potential Attackers
2024/11/18 SecurityOnline — Apache Kafka クライアントで発見された、脆弱性 CVE-2024-31141 を悪用する攻撃者は、機密情報への不正アクセスの可能性を手にする。その結果として、この人気の OSS イベント・ストリーミング・プラットフォームを、重要なデータ操作に利用している、何千もの企業に影響が及ぶ可能性がある。
Continue reading “Apache Kafka の脆弱性 CVE-2024-31141 が FIX:機密データへの不正アクセスの恐れ”Urgent: Critical WordPress Plugin Vulnerability Exposes Over 4 Million Sites
2024/11/18 TheHackerNews — WordPress の Really Simple Security (旧 Really Simple SSL) プラグインに、深刻な認証バイパスの脆弱性が発見された。この脆弱性の悪用に成功した攻撃者は、脆弱なサイトでの完全な管理者権限を、リモートから取得する可能性を得る。今回の脆弱性 CVE-2024-10924 (CVSS:9.8) は、400 万を超える WordPress サイトにインストールされている、このプラグインの無料版とプレミアム版に影響を及ぼす。
Continue reading “WordPress の Really Simple Security の脆弱性 CVE-2024-10924 が FIX:400 万を超えるサイトに影響”Sonatype Nexus Repository 2 Hit By RCE (CVE-2024-5082) and XSS (CVE-2024-5083) Flaws
2024/11/17 SecurityOnline — Sonatype が発行したセキュリティ勧告は、ソフトウェア・アーティファクトの保存/配布用リポジトリ・マネージャー Nexus Repository Manager 2.x 存在する、2件の脆弱性に関するものだ。これらの脆弱性 CVE-2024-5082/CVE-2024-5083 の悪用に成功した攻撃者は、悪意のコードを実行し、システムを侵害する可能性を得る。したがって、Sonatype はユーザーに対して、早急な対応を求めている。
Continue reading “Sonatype Nexus Repository 2 の脆弱性 CVE-2024-5082/5083 が FIX:RCE/XSS に至る恐れ”CVE-2024-8856: WP Time Capsule Plugin Vulnerability Exposes 20,000+ Sites to TakeOver
2024/11/16 SecurityOnline — WordPress バックアップ・プラグインである、WP Time Capsule の深刻度の高い脆弱性により、20,000 を超える Web サイトにおいて、完全な乗っ取りの可能性が生じている。セキュリティ研究者 Rein Daelman により発見された、この脆弱性 CVE-2024-8856 を悪用する未認証の攻撃者により、Web サイトのサーバへの任意のファイルのアップロードが可能になるという。つまり、攻撃者による、バックドアやマルウェアの挿入や、サイトの完全な乗っ取りも可能になる。
Continue reading “WP Time Capsule の脆弱性 CVE-2024-8856 が FIX:20,000+ のサイトに乗っ取りの可能性”CVE-2024-45784: Apache Airflow Vulnerability Exposes Sensitive Data in Logs
2024/11/16 SecurityOnline — Apache Airflow に存在する脆弱性により、機密コンフィグ・データが誤って公開され、システム・セキュリティが侵害される可能性が生じている。この人気のワークフロー管理プラットフォームで発見された、脆弱性 CVE-2024-45784 (CVSS:7.5) は、Airflow バージョン 2.10.3 未満に影響を及ぼすものだ。この問題は、Airflow プラットフォームのデフォルトでは、タスク・ログ内の機密コンフィグ値をマスクできないことに起因している。
Continue reading “Apache Airflow の脆弱性 CVE-2024-45784 が FIX:ログ内の機密データ流出の可能性”Critical Laravel Flaw (CVE-2024-52301) Exposes Millions of Web Applications to Attack
2024/11/14 SecurityOnline — Laravel フレームワークに、深刻なセキュリティ脆弱性 CVE-2024-52301 (CVSS:8.7) が発見された。この、堅牢なアプリケーションを構築するための、洗練された構文と包括的なツールセットで知られるフレームワークの欠陥により、多数の Laravel ベースのアプリケーションにおいて、不正アクセス/データ改竄/権限昇格の危険が生じる恐れがある。
Continue reading “Laravel の脆弱性 CVE-2024-52301 が FIX:Web アプリへの多様な攻撃での悪用可能性”Cable: Open-Source, Powerful Tool for Active Directory Post-Exploitation and Enumeration
2024/11/05 SecurityOnline — Active Directory (AD) は、依然としてエンタープライズ環境のコア コンポーネントであり、その脆弱性を理解することは、攻撃者と防御者の双方にとって重要である。そこに登場した Cable は、Active Directory 環境の悪用方法を列挙するために設計された、合理的なオープンソースのポスト・エクスプロイト・ツールである。.NET で作成された Cable は、セキュリティ・プロフェッショナルに対して提供するのは、AD のセキュリティ態勢のチェック方式であり、また、制御された環境で権限昇格戦術を実行するための各種の悪意の手法である。
Continue reading “Active Directory のポスト・エクスプロイトを列挙する:Cable はパワフルな OSS ツール”Open-source software: A first attempt at organization after CRA
2024/11/05 HelpNetSecurity — オープンソース・ソフトウェア (OSS) 業界が開発しているのは、グローバル・インフラスのコアとなるソフトウェアであり、プロプライエタリ・ソフトウェアの大手企業の一部でさえ、クラウド・サービスに Linux サーバを採用しているほどである。しかし、Cyber Resilience Act により提起されたヨーロッパにおける問題などに対して、有機的な対応ができる代表団体の設立/組織化などは、これまでに一度も試みられていない。
Continue reading “オープンソース・ソフトウェアの行方:Cyber Resilience Act 発行後の組織化に注目”
IoT OT Security News 
You must be logged in to post a comment.