NVIDIA NVDebug Tool Vulnerability Let Attackers Escalate Privileges
2025/09/11 CyberSecurityNews — NVIDIA が公開した、NVDebug ツール向けのセキュリティ・アップデートは、権限昇格/コード実行/データ改竄を許す可能性のある、3件の深刻な脆弱性に対処するものだ。このセキュリティ・アドバイザリには、それらの脆弱性についての詳細が説明されている。NVIDIA がユーザーに対して強く推奨するのは、最新バージョンの速やかな導入により、システムを保護することだ。
Continue reading “NVIDIA NVDebug の脆弱性 CVE-2025-23342/23343/23344 が FIX:権限昇格/任意のコード実行”CoreDNS Vulnerability Allows Attackers to Poison DNS Cache and Block Updates
2025/09/11 gbhackers — CoreDNS の etcd プラグインに存在する深刻な脆弱性により、攻撃者が DNS レコードを長期間キャッシュに保持し、正当な更新を事実上ブロックできる可能性があるという。この脆弱性 CVE-2025-58063 は、etcd リース ID の不適切な処理に起因するものである。GitHub の研究者によると、この問題が影響を及ぼす範囲は、CoreDNS のバージョン 1.2.0 以降であり、バージョン 1.12.4 で修正されている。セキュリティ・チームにとって必要なことは、TTL 設定の更新および見直しを早急に実施し、長期的なキャッシュ・ポイズニングを防ぐことである。
Continue reading “CoreDNS の脆弱性 CVE-2025-58063 が FIX:長期的なキャッシュ・ポイズニングの可能性”Cisco Patches High-Severity IOS XR Vulnerabilities
2025/09/11 SecurityWeek — 9月10日 (水) に Cisco は、September 2025 セキュリティ・アドバイザリを公開し、IOS XR ソフトウェアの3件の脆弱性に対処するパッチをリリースした。1つ目の脆弱性 CVE-2025-20248 (CVSS:6.0) は、IOS XR のインストール・プロセスにおける高リスクの問題であり、イメージ署名の検証バイパスの可能性を、攻撃者に対して許すものだ。
Continue reading “Cisco IOS XR の脆弱性 CVE-2025-20248/20340/20159 が FIX:イメージ署名バイパスなどの可能性”ACSC Warns of Actively Exploited SonicWall Access Control Vulnerability
2025/09/11 gbhackers — オーストラリア の ACSC (Australian Cyber Security Centre) が発した緊急警告は、SonicWall ファイアウォール・デバイスに存在する深刻な脆弱性に関するものであり、脅威アクターにより積極的に悪用されているという。脆弱性 CVE-2024-40766 (CVSS v3.0:9.3:Critical) が影響を及ぼす範囲は、複数世代の SonicWall デバイスにおける、SonicOS 管理アクセスおよび SSLVPN 機能である。
Continue reading “SonicWall の不適切なアクセス制御の脆弱性 CVE-2024-40766:積極的な悪用を検知”Cursor AI Code Editor RCE Vulnerability Enables “autorun” of Malicious on your Machine
2025/09/10 CyberSecurityNews — Cursor AI Code Editor に、リモート・コード実行の脆弱性が発見された。この脆弱性により、悪意のコード・リポジトリが自動的に開かれ、ユーザーのマシン上でコードが実行される可能性がある。この脆弱性を発見した Oasis Security の研究チームは、人気エディタのデフォルト・コンフィグの悪用による、一般的なユーザー・プロンプトのバイパスを実証している。
Continue reading “Cursor AI Code Editor の脆弱性 CVE-N/A:Workspace Trust 無効化による悪意の自動実行”Multiple Vulnerabilities in GitLab Patched, Blocking DoS and SSRF Attack Vectors
2025/09/10 gbhackers — GitLab が公開したのは、6件の深刻な脆弱性に対応するための、重要なセキュリティ・アップデートである。それらの脆弱性は複数バージョンに影響を及ぼし、サービス拒否攻撃/サーバサイド・リクエスト・フォージェリ (SSRF)/情報漏洩などを引き起こす可能性のあるものだ。GitLab は、Community/Enterprise Edition のバージョン 18.3.2/18.2.6/18.1.6 をリリースし、すべてのセルフ・マネージド環境に対して、速やかなアップグレードを強く推奨している。
Continue reading “GitLab の深刻な脆弱性 CVE-2025-6454/2256 などが FIX:DoS と SSRF の可能性”Microsoft Warns of Active Directory Domain Services Vulnerability, Let Attackers Escalate Privileges
2025/09/10 CyberSecurityNews — Microsoft が発表したのは、Active Directory ドメイン・サービスに存在する、深刻なセキュリティ脆弱性 CVE-2025-21293 に関する警告である。すでにシステムへの初期アクセスを取得している攻撃者が、この脆弱性の悪用に成功すると権限昇格を達成し、影響を受けるドメイン・コントローラを完全に制御することで、ネットワーク・インフラのセキュリティ侵害の可能性が生じる。
Continue reading “Active Directory Domain Services の脆弱性 CVE-2025-21293:ドメイン・コントローラの完全制御にいたる”Critical Flaws in Microsoft Office Enable Remote Code Execution by Attackers
2025/09/10 gbhackers — Microsoft が 2025年9月9日の Patch Tuesday で公開したのは、Office スイートに存在する2件の深刻なセキュリティ脆弱性に関する情報である。これらの脆弱性を悪用する攻撃者は、影響を受けるシステム上で任意のコードを実行できる。脆弱性 CVE-2025-54910/CVE-2025-54906 が影響を及ぼす範囲は、Windows 版の Microsoft Office であり、攻撃に成功した攻撃者に、マシンの完全な制御を奪われる可能性がある。
Continue reading “Microsoft Office の RCE 脆弱性 CVE-2025-54910/54906 が FIX:悪意のファイルに要注意”Sophos Wireless Access Point Vulnerability Allows Attackers to Bypass Authentication
2025/09/10 gbhackers — Sophos が公開したのは、AP6 Series Wireless Points に存在する、深刻な認証バイパスの脆弱性 CVE-2025-10159 に対応する、重要なセキュリティ・アドバイザリである。影響を受けるデバイスの管理インターフェイスにアクセスできる攻撃者が、この脆弱性を悪用すると、完全な管理者権限を取得する可能性がある。定期的な社内セキュリティ・テストを通じて、この問題を発見した Sophos は、すでにファームウェア・アップデートをリリースし、潜在的な攻撃から顧客を保護している。
Continue reading “Sophos Wireless Access Point の脆弱性 CVE-2025-10159 が FIX:認証バイパスの恐れ”Windows BitLocker Vulnerability Let Attackers Elevate Privileges
2025/09/10 CyberSecurityNews — Microsoft は、Windows BitLocker 暗号化機能に影響を及ぼす、2件の重大な権限昇格の脆弱性に対応した。これらの脆弱性 CVE-2025-54911/CVE-2025-54912 は、2025年9月9日の Patch Tuesday で公開され、深刻度は Important と評価されている。この脆弱性を悪用する権限を持つ攻撃者は、侵害したマシン上の SYSTEM 権限を完全に取得し、BitLocker が提供すべきセキュリティ層を回避する可能性を手にする。
Continue reading “Windows BitLocker の脆弱性 CVE-2025-54911/54912 が FIX:メモリ破損による権限昇格”Chrome Security Update Patches Critical Remote Code Execution Vulnerability
2025/09/10 CyberSecurityNews — Google がリリースしたのは、Chrome の深刻な脆弱性 CVE-2025-10200/CVE-2025-10201 を修正する、緊急セキュリティ・アップデートである。この脆弱性を悪用する攻撃者は、リモートから任意のコードを実行できるため、ユーザーに対して強く推奨されるのは、Chrome ブラウザの速やかなアップデートとなる。Chrome の Stable チャンネルで提供される最新バージョンは、Windows 版の 140.0.7339.127/.128、Mac 版の 140.0.7339.132/.133/Linux 版の 140.0.7339.127 となる。
Continue reading “Google Chrome の脆弱性 CVE-2025-10200/10201 が FIX:リモート・コード実行の恐れ”Ivanti Endpoint Manager Vulnerabilities Allow Remote Code Execution by Attackers
2025/09/09 gbhackers — Ivanti が公開したのは Endpoint Manager バージョン 2024 SU3/2022 SU8 に関するセキュリティ・アドバイザリであり、新たに発見された深刻な2件の脆弱性 CVE-2025-9712/CVE-2025-9872 の詳細を説明するものだ。どちらの脆弱性もファイル名の検証不足に起因し、最小限のユーザー操作で、システムの完全な制御を奪われる可能性がある。
Continue reading “Ivanti Endpoint Manager の脆弱性 CVE-2025-9712/9872 が FIX:リモート・コード実行の可能性”FortiDDoS OS Command Injection Vulnerability Let Attackers Execute Unauthorized Commands
2025/09/09 CyberSecurityNews — Fortinet が公開したのは、FortiDDoS-F 製品ラインにおける脆弱性のアドバイザリであり、高権限を持つ攻撃者に対して不正コマンドの実行を許す欠陥を説明するものだ。この脆弱性 CVE-2024-45325 (CVSSv3:6.5:Medium) は、Command-Line Interface (CLI) に存在する OS コマンド・インジェクション (CWE-78) として分類される。
Continue reading “Fortinet FortiDDoS の脆弱性 CVE-2024-45325 が FIX:OS コマンド・インジェクションの恐れ”New Exploitation Method Discovered for Linux Kernel Use-After-Free Vulnerability
2025/09/09 gbhackers — Linux Kernel の Use-After-Free (UAF) 脆弱性を悪用する、新たな手法が発見された。この脆弱性 CVE-2024-50264 は、主要な Linux ディストリビューションに影響を及ぼし、その複雑さから Pwnie Award 2025 の Best Privilege Escalation を受賞したものである。研究者たちが開発した PoC は、kernel slab allocator と競合状態保護を回避する手法であり、これまでと比べて悪用が容易になることを示している。
Continue reading “Linux Kernel の Use-After-Free 脆弱性 CVE-2024-50264:新たな悪用手法と PoC の登場”Zoom Security Update – Patch for Multiple Vulnerabilities in Clients for Windows and macOS
2025/09/09 CyberSecurityNews — Zoom が公開したのは、Zoom Workplace for Windows/macOS クライアントに存在する、複数の脆弱性を修正するセキュリティ・アップデートである。今回のパッチは、深刻度の High 脆弱性1件と、複数の Medium レベルの問題に対応しており、ユーザーに対して強く推奨されるのは、速やかなアプリケーションの更新となる。
Continue reading “Zoom Workplace for Windows/macOS の複数の脆弱性が FIX:修正パッチが公開”Multiple Vulnerabilities Discovered in Ivanti Connect Secure, Policy Secure, and ZTA Gateways
2025/09/09 gbhackers — 9月9日 (火) に Ivanti が公開したのは、Ivanti Connect Secure/Policy Secure/ZTA Gateways/Neurons for Secure Access に影響を及ぼす、深刻度 High の脆弱性5件と、Medium の6件を詳述するセキュリティ・アドバイザリである。これらの脆弱性は、認証チェックの不備やサービス拒否攻撃から、クロス・サイト・リクエスト・フォージェリ (CSRF) やサーバ・サイド・リクエスト・フォージェリ (SSRF) に至るという。現時点において、ユーザー・サイドにおける悪用の事例は確認されていない。また、多様な問題に対処するためのパッチと修正プログラムが、直ちに提供されている。
Continue reading “Ivanti Connect Secure/Policy Secure/ZTA Gateways の複数の脆弱性が FIX:ただちにパッチを!”Adobe patches critical SessionReaper flaw in Magento eCommerce platform
2025/09/09 BleepingComputer — Adobe が発した警告は、Adobe Commerce/Magento Open Source プラットフォームに存在する、攻撃で認証を必要としない深刻な脆弱性 CVE-2025-54236 に関するものだ。この脆弱性を SessionReaper と呼ぶ研究者たちは、Magento の歴史において、最も深刻な欠陥の一つと位置付けている。9月9日 (火) に Adobe は、セキュリティ問題に対処するパッチをリリースし、Commerce REST API を介して顧客アカウントが乗っ取られる可能性があると警告した。
Continue reading “Adobe Magento に深刻な脆弱性 CVE-2025-54236:初期ホット・フィックスを脅威アクターが取得?”Microsoft September 2025 Patch Tuesday fixes 81 flaws, two zero-days
2025/09/09 BleepingComputer — 今日は、Microsoft の 2025年9月 Patch Tuesday の日だ。今月のパッチでは、81件の脆弱性に対するセキュリティ・アップデートが提供され、その中には、公開済みのゼロデイ脆弱性2件が含まれる。この月例パッチでは、”Critical” 9件 が修正されている。そのうち5件はリモートコード実行の脆弱性、1件は情報漏洩の脆弱性、2件は権限昇格の脆弱性である。
Continue reading “Microsoft 2025-09 月例アップデート:2件のゼロデイを含む 81件の脆弱性に対応”Progress OpenEdge AdminServer Vulnerability Let Attackers Execute Remote Code
2025/09/08 CyberSecurityNews — ビジネス・アプリケーションの開発およびデプロイメントのプラットフォームである、Progress OpenEdge に発見された深刻なセキュリティ脆弱性は、複数のバージョンに影響を及ぼすものだ。この脆弱性 CVE-2025-7388 を悪用する攻撃者は、リモートコード実行 (RCE) を引き起こし、昇格したシステム権限で任意のコマンドを実行する可能性を手にする。
Continue reading “Progress OpenEdge の脆弱性 CVE-2025-7388 が FIX:リモートコード実行とシステム権限昇格の可能性”PoC Exploit Released for ImageMagick RCE Vulnerability – Update Now
2025/09/08 CyberSecurityNews — ImageMagick 7 の MagickCore サブシステムに存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-57807 に対して、PoC エクスプロイトが公開された。この脆弱性は、BLOB I/O (BlobStream) 実装に影響を及ぼすものであり、攻撃者に強力なエクスプロイト手段を与える可能性がある。セキュリティ研究者および ImageMagick チームが、すべてのユーザーおよび組織に強く推奨するのは、速やかなアップデートである。
Continue reading “ImageMagick の RCE 脆弱性 CVE-2025-57807:容易な悪用を実証する PoC エクスプロイトが公開”Apache Jackrabbit Exposes Systems To Arbitrary Code Execution Attacks
2025/09/08 CyberSecurityNews — エンタープライズ CMS や Web アプリで広く利用される、OSS コンテンツ・リポジトリ Apache Jackrabbit に、深刻なセキュリティ脆弱性 CVE-2025-58782 が発見された。この脆弱性を悪用する未認証の攻撃者は、脆弱なサーバ上で任意コード実行 (RCE) を引き起こす可能性があり、システム・セキュリティおよびデータ機密性に深刻なリスクが生じている。
Continue reading “Apache Jackrabbit の脆弱性 CVE-2025-58782:未認証攻撃者による任意コード実行の恐れ”PgAdmin Vulnerability Allows Attackers to Gain Unauthorized Account Access
2025/09/08 gbhackers — pgAdmin 4 に発見されたセキュリティ上の欠陥は、機密データ侵害やアカウント乗っ取りに直結する深刻なリスクを伴うものだ。PostgreSQL データベース管理に広く利用されているオープンソース・ツールの欠陥が、世界中の開発者やデータベース管理者に懸念を引き起こしている。この脆弱性 CVE-2025-9636 は、GitHub アドバイザリ・データベースで注目されており、深刻度 High と評価されている。この問題は pgAdmin のバージョン 9.7 以下に影響を及ぼすものであり、Cross-Origin Opener Policy (COOP) の欠陥に起因する。
Continue reading “PgAdmin の脆弱性 CVE-2025-9636 が FIX:機密データ侵害やアカウント乗っ取りの可能性”Critical Argo CD API Vulnerability Exposes Repository Credentials
2025/09/05 CyberSecurityNews — Argo CD に、深刻な脆弱性 CVE-2025-55190 が発見された。この脆弱性により、権限が制限された API トークンであっても、機密リポジトリの認証情報にアクセスできてしまう。このプロジェクト詳細 API エンドポイントの脆弱性により、ユーザー名とパスワードが公開され、明示的な権限を必要としないアクセスが許可されるため、シークレットに関するプラットフォームのセキュリティ・モデルが損なわれる。
Continue reading “Argo CD – Project API の脆弱性 CVE-2025-55190 (CVSS:10.0) が FIX:容易に悪用できる情報漏洩”Critical SAP S/4HANA vulnerability now exploited in attacks
2025/09/05 BleepingComputer — SAP S/4HANA の深刻なコード・インジェクション脆弱性が、公開サーバへの侵入を目的とした攻撃に悪用されていると、研究者たちが警告している。この脆弱性 CVE-2025-42957 は、SAP S/4HANA の RFC 公開機能モジュールに存在する、ABAP コード・インジェクションの問題であり、低権限の認証ユーザーであっても、任意のコードを注入して認証をバイパスし、SAP を完全に乗っ取る可能性があるという。
Continue reading “SAP S/4HANA の脆弱性 CVE-2025-42957 が FIX:限定的な悪用を確認”U.S. CISA adds Sitecore, Android, and Linux flaws to its Known Exploited Vulnerabilities catalog
2025/09/05 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Sitecore/Android/Linux の脆弱性を、Known Exploited Vulnerabilities (KEV) に登録した。それらの脆弱性は、以下のものである。
Google Warns of Zero-Day Vulnerability in Sitecore Products Allowing Remote Code Execution
2025/09/04 CyberSecurityNews — Sitecore 製品群に存在する深刻なゼロデイ脆弱性により、リモート・コード実行にいたる可能性がある。この脆弱性 CVE-2025-53690 は、ViewState のデシリアライゼーションの欠陥に起因し、現在も積極的に悪用されている。Mandiant の調査により明らかになったのは、2017 年以前の Sitecore 導入ガイドに含まれていた、オープンな ASP.NET マシンキーが、攻撃者により悪用されていたことだ。
Continue reading “Sitecore のゼロデイ CVE-2025-53690 が FIX:サンプル・コンフィグの悪用を Mandiant が発見”Django Web Vulnerability Allows Attackers to Execute SQL Injection
2025/09/04 gbhackers — Django 開発チームが公表したのは、FilteredRelation 機能に存在する、深刻度の高い SQL インジェクションの脆弱性に対するセキュリティ・アップデートのリリースである。この脆弱性 CVE-2025-57833 を悪用する攻撃者は、想定外のクエリ・パラメータを作成し、有害なデータベース・コマンドを実行する可能性を手にする。Django 5.2/5.1/4.2 を利用するユーザーにとって必要なことは、速やかにアップデートを行い、アプリケーションを保護することだ。
Continue reading “Django の脆弱性 CVE-2025-57833 が FIX:SQL インジェクションの可能性”Apache DolphinScheduler Vulnerability Patched — Update Immediately
2025/09/03 gbhackers — Apache DolphinScheduler における軽微なセキュリティ問題が、最新のリリースにより修正された。この脆弱性 CVE-2024-43166 は、CWE-276 (不適切なデフォルト権限) に分類されており、バージョン 3.2.2 未満に影響を及ぼす。ユーザーに対して強く推奨されるのは、速やかにバージョン 3.3.1 へとアップグレードすることである。この問題には CVE-2024-43166 の識別子が割り当てられ、2025年9月3日 (水) の時点でメンテナーの Lidong Dai により、プロジェクトのセキュリティ・メーリングリストで開示された。
Continue reading “Apache DolphinScheduler の脆弱性 CVE-2024-43166 が FIX:情報漏洩のリスクに対応”CISA Adds TP-Link and WhatsApp Flaws to KEV Catalog Amid Active Exploitation
2025/09/03 TheHackerNews — 9月2日 (火) に米国の Cybersecurity and Infrastructure Security Agency (CISA) は、TP-Link TL-WA855RE Wi-Fi Ranger Extender 製品に影響を及ぼすセキュリティ脆弱性 CVE-2020-24363 を、現在も悪用されている証拠を引用し、Known Exploited Vulnerabilities (KEV) カタログに追加した。また、先週に WhatsApp が公表した、脆弱性 CVE-2025-55177 も同時に追加した。
Continue reading “CISA KEV 警告 25/09/02:TP-Link/WhatsApp の脆弱性を登録”Chrome 140 Released With Fix For Six Vulnerabilities that Enable Remote Code Execution Attacks
2025/09/03 CyberSecurityNews — Google は Chrome 140 を正式に Stable チャンネルに昇格させ、Windows/Mac/Linux/Android/iOS 向けに新バージョンの展開を開始した。このアップデートでは、通常通りの安定性とパフォーマンスの向上が取り込まれているが、特筆すべきはリモート・コード実行の可能性がある、深刻な脆弱性6件を修正する重要なセキュリティ・パッチである。ユーザーに対して強く推奨されるのは、速やかなブラウザ・アップグレードによる、潜在的な悪用からの保護である。
Continue reading “Chrome 140 がリリース:深刻な Use-after-free の脆弱性 CVE-2025-9864 など6件を修正”IIS WebDeploy RCE Vulnerability Gets Public PoC
2025/09/03 gbhackers — Microsoft の IIS Web Deploy ツールチェーンに発見された、リモート・コード実行 (RCE) の脆弱性の PoC エクスプロイトが公開された。この脆弱性 CVE-2025-53772 は、2025年8月の Patch Tuesday で修正されたものだが、新たな展開が注目を集めている。この脆弱性は、”msdeployagentservice” および “msdeploy.axd” エンドポイントにおける安全ではないデシリアライズ処理に存在し、認証された攻撃者に対して、脆弱な Web サーバ上での任意のコード実行を許す可能性がある。
HashiCorp Vault Vulnerability Let Attackers to Crash Servers
2025/09/02 CyberSecurityNews — HashiCorp Vault に存在する、深刻なサービス拒否 (DoS) 脆弱性が明らかになった。この脆弱性を悪用する攻撃者は、細工した JSON ペイロードを用いてサーバを過負荷状態に陥らせ、過剰なリソース消費を引き起こし、Vault インスタンスを応答不能にするとされる。2025年8月28日に公開された、この脆弱性 CVE-2025-6203 が影響を及ぼす範囲は、Vault Community/Enterprise エディションのバージョン 1.15.0 以降における、複数のパッチ・リリースまでとなる。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-6203 が FIX:深刻なサービス拒否 (DoS) の可能性”MobSF Vulnerability Allows Attackers to Upload Malicious Files
2025/09/02 gbhackers — Mobile Security Framework (MobSF) のバージョン 4.4.0 に深刻なセキュリティ欠陥が発見された。これらの脆弱性はパス・トラバーサルおよび任意ファイル書き込みに関連するものであり、認証済み攻撃者に悪用されると、システム整合性の侵害/機密データの漏洩などにつながる可能性がある。この問題は MobSF バージョン 4.4.1 で修正されており、具体的には、パス検証の強化やファイル抽出ルーチンの安全化が施されている。
Continue reading “MobSFの脆弱性 CVE-2025-58161/58162:パス・トラバーサル/任意ファイル書き込みの恐れ”Critical Qualcomm Vulnerabilities Allow Attackers to Execute Arbitrary Code Remotely
2025/09/02 CyberSecurityNews — Qualcomm Technologies の Data Network Stack and Multi-Mode Call Processor には、リモート攻撃者による任意コード実行を許す、深刻な脆弱性 CVE-2025-21483/CVE-2025-27034 が存在する。いずれも CVSS 3.1 スコアで 9.8 と評価されており、バッファ破損に起因するものである。これらの脆弱性が悪用されると、デバイスのセキュリティが侵害される可能性が生じる。
Continue reading “Qualcomm チップセットの脆弱性 CVE-2025-21483/CVE-2025-27034 が FIX:RCE の可能性”Zscaler data breach exposes customer info after Salesloft Drift compromise
2025/09/01 BleepingComputer — サイバー・セキュリティ企業 Zscaler が発したのは、Salesforce インスタンスにアクセスした脅威アクターが、サポート・ケースの内容を含む顧客情報を盗み出すという、同社が受けた侵害に関する警告である。この問題は、Salesforce に統合された Salesloft と Drift への侵害に起因する。攻撃者は OAuth トークンとリフレッシュ・トークンを盗み出し、顧客の Salesforce と Drift の環境にアクセスして機密データを窃取した。Zscaler はアドバイザリにおいて、このサプライチェーン攻撃により Salesforce インスタンスが影響を受け、同社の顧客情報が漏洩したと述べている。
Continue reading “Zscaler の顧客情報が侵害された:Salesloft の脆弱性に関連するインシデントが止まらない”High-Risk SQLi Flaw Exposes WordPress Memberships Plugin Users
2025/09/01 InfoSecurity — WordPress の 10,000 以上のサイトで会員登録と定期支払いの管理に使用されている、有料会員管理プラグイン Paid Membership Subscriptions に、深刻なセキュリティ問題が発見された。このプラグインのバージョン 2.15.1 以下には、未認証の SQL インジェクション (SQLi) の脆弱性 CVE-2025-49870 が存在する。したがって、攻撃者はログイン認証を必要とすることなく、悪意の SQL クエリをデータベースに注入できる。
Continue reading “WordPress Paid Membership プラグインの脆弱性 CVE-2025-49870 が FIX:深刻な SQLi の恐れ”SUSE Fleet: Plain Text Storage of Vulnerability Exploit Helm Values
2025/09/01 gbhackers — SUSE Fleet に存在する深刻な脆弱性 CVE-2024-52284 が、GitHub セキュリティ・アドバイザリ GHSA-6h9x-9j5v-7w9h で公開された。この欠陥は、機密性の高い認証情報などを取り込む可能性の高い Helm チャートの値を、BundleDeployment リソース内に平文で保存するものであり、GET/LIST 権限を持つ全てのユーザーが、それらの値を閲覧できる状態にある。Kubernetes クラスター向けの GitOps 管理ツールの脆弱性を発見したのは、セキュリティ研究の samjustus である。
Continue reading “SUSE Fleet の脆弱性 CVE-2024-52284:Helm 値の平文保存による情報漏洩の可能性”Critical Next.js Framework Vulnerability Let Attackers Bypass Authorization
2025/09/01 CyberSecurityNews — Next.js フレームワークに発見された、深刻な脆弱性 CVE-2025-29927 を悪用する攻撃者は、認証メカニズムを完全にバイパスするため、Web アプリケーションに深刻な脅威が生じている。この脆弱性は、Next.js ミドルウェア実行時の x-middleware-subrequest ヘッダの不適切な処理に起因し、機密性の高い管理領域や保護されたリソースへの不正アクセスを引き起こす可能性がある。
Continue reading “Next.jsフレームワークの脆弱性 CVE-2025-29927:新たな認証バイパス PoC ?”MediaTek Security Update – Patch for Multiple Vulnerabilities Across Chipsets
2025/09/01 CyberSecurityNews — MediaTek が公開したのは、最新のモデム・チップセットに存在する、複数の脆弱性に対処するための重要なセキュリティ情報であり、デバイス OEM 各社に対して直ちにアップデートを適用するよう強く推奨している。この公開情報は、OEM への非公開通知から2ヶ月後に公開されたものであり、現時点において、実環境での悪用事例は確認されていないという。
Continue reading “MediaTek モデム・チップセットの複数の脆弱性 が FIX:境界外アクセスとメモリ破損の可能性”Critical ImageMagick Vulnerability Allows Remote Code Execution
2025/09/01 gbhackers — 広く使用されるオープンソース画像処理ソフトウェア ImageMagick に、深刻な脆弱性 CVE-2025-57803 (CVSS 3.1:9.8) が発見された。この脆弱性を悪用する攻撃者は、リモートからのコード実行を可能にするという。なお、この脆弱性の影響を受けるのは、ImageMagick 32-Bit 版のバージョン 7.1.2-2/6.9.13-28 未満である。
Continue reading “ImageMagick の脆弱性 CVE-2025-57803 が FIX:32-Bit 環境での RCE の可能性”Linux UDisks Daemon Vulnerability Allows Attackers Access to Privileged User Files
2025/09/01 CyberSecurityNews — Linux UDisks デーモンに、深刻なセキュリティ脆弱性 CVE-2025-8067 が発見された。この脆弱性を悪用することで、権限を持たない攻撃者であっても、特権ユーザーが所有するファイルへのアクセスを可能にするという。公開日は 2025年8月28日であり、その深刻度は CVSS v3 ベース・スコア 8.5 (Important) と評価されている。
Continue reading “Linux UDisks デーモンの脆弱性 CVE-2025-8067:ローカル権限昇格に対してパッチ未適用”Vulnerabilities in Sitecore CMS Platform Allow Excute Arbitrary Code Remotely
2025/08/31 gbhackers — Sitecore Experience Platform に存在する脆弱性 CVE-2025-53693/53691 の連鎖が、watchTowr Labs のセキュリティ研究者たちにより発見された。これらの脆弱性を悪用する攻撃者は、認証を必要とすることなく、企業の Web サイトを完全に侵害し、壊滅的な被害を及ぼすという。この調査で明らかにされたのは、標的 Web サイトのキャッシュ・システムを改竄するサイバー犯罪者が、権限を昇格させた後に、システム上でリモート・コードを実行する手法である。
Continue reading “Sitecore CMS の脆弱性 CVE-2025-53693/53691:連鎖による侵害シナリオとは?”QNAP Flaw Allows Attackers to Bypass Authentication
2025/08/30 gbhackers — QNAP Systems が公開したのは、レガシー VioStor Network Video Recorder (NVR) システムの QVR ファームウェアに影響を及ぼす、複数の脆弱性に対処するセキュリティ・パッチである。2025年8月29日に同社は 、2件の深刻な脆弱性 CVE-2025-52856/CVE-2025-52861 を公表し、ユーザーに対して速やかなシステム更新を強く推奨し、潜在的な侵害を防ぐよう求めている。
Continue reading “QNAP VioStor NVR の脆弱性 CVE-2025-52856/52861 が FIX:認証バイパスとパス・トラバーサルの可能性”Critical Citrix 0-Day Vulnerability Exploited Since May, Leaving Global Entities Exposed
2025/08/30 CyberSecurityNews — Citrix NetScaler 製品に存在する深刻なゼロデイ脆弱性 CVE-2025-6543 は、パッチが公開される以前の 2025年5月ころから、脅威アクターにより積極的に悪用されていたという。当初、Citrix は、この脆弱性を “意図しない制御フローとサービス拒否につながるメモリ・オーバーフローの脆弱性” と過小評価していたが、その後に判明したのは、未認証のリモート・コード実行 (RCE) の脆弱性だった。それにより、世界中の政府機関や法務サービスに対して、広範なセキュリティ侵害が生じている。
Continue reading “Citrix NetScaler のゼロデイ脆弱性 CVE-2025-6543:2025年5月からの悪用を示唆 – 蘭 NCSC”NodeBB Vulnerability Let Attackers Inject Boolean-Based Blind and PostgreSQL Error-Based Payloads
2025/08/29 CyberSecurityNews — NodeBB バージョン 4.3.0 に、深刻な SQL インジェクションの脆弱性 CVE-2025-50979 が発見された。この脆弱性は NodeBB の検索カテゴリ API エンドポイントに存在し、未認証のリモート攻撃者に対して、ブール値ベースのブラインド・ペイロード/PostgreSQL エラーベースのペイロードの注入を許すものである。この CVE-2025-50979 が悪用されると、不正なデータ・アクセスや情報漏洩に加えて、システム侵害の可能性が生じる。
Continue reading “NodeBB の SQL インジェクション脆弱性 CVE-2025-50979:ブール値/エラーベースのペイロード注入が可能”PhpSpreadsheet Library Vulnerability Enables Attackers to Feed Malicious HTML Input
2025/08/29 CyberSecurityNews — 広く使用されている PhpSpreadsheet ライブラリで確認されたのは、深刻なサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性 CVE-2025-54370 (CVSS v4.0:8.7) の存在である。この脆弱性は、phpoffice/phpspreadsheet パッケージの複数のバージョンに影響するため、内部ネットワーク・リソースを悪用する攻撃者に対して、サーバ・セキュリティの侵害を許す可能性が高まっている。
Cisco Nexus 3000 and 9000 Series Vulnerability Let Attackers Trigger DoS Attack
2025/08/28 CyberSecurityNews — Cisco が発表したのは、Nexus 3000/9000 Series スイッチ向け NX-OS ソフトウェアの、Intermediate System-to-Intermediate System (IS-IS) 機能に存在する、深刻な脆弱性を警告するセキュリティ・アドバイザリである。この脆弱性 CVE-2025-20241 は、CVSS 3.1 ベース・スコア 7.4 (High) と評価されている。認証されていない Layer 2 隣接攻撃者が、不正な パケットを送信することで IS-IS プロセスを再起動させ、デバイスのリロードによるサービス拒否 (DoS) 状態を引き起こす恐れが生じる。
Continue reading “Cisco Nexus 3000/9000 の脆弱性 CVE-2025-20241 が FIX:DoS 攻撃の可能性”FreePBX Servers Hit by 0-Day Exploit, Disable Internet Access Advised
2025/08/28 gbhackers — FreePBX の商用 Endpoint Manager モジュールに深刻なゼロデイ脆弱性が発見されたことで、ユーザー組織の管理者たちに求められるのは、自社システムへのパブリック・インターネット・アクセスを直ちに無効化することである。Sangoma FreePBX Security Team が確認したのは、インターネットに Administrator Control Panel が公開されているシステムにおいては、攻撃者が制御するエクスプロイト・コードにより未認証でのリモート・コード実行が可能になることだ。そのため、8月26日の時点で Sangoma FreePBX 緊急アドバイザリを公開し、その後のロックダウン対策の継続を促すフォローアップを発表した。
Continue reading “FreePBX のゼロデイ脆弱性 CVE-2025-57819:インターネット遮断が推奨される”Kea DHCP Server Vulnerability Let Remote Attacker Crash With a Single Crafted Packet
2025/08/28 CyberSecurityNews — 広く利用されている ISC Kea DHCP サーバに新たに発見された脆弱性は、世界中のネットワーク・インフラに深刻なセキュリティ・リスクをもたらすものだ。この脆弱性 CVE-2025-40779 を悪用するリモート攻撃者は、細工したパケットを1つだけ送信することで、DHCP サービスをクラッシュさせ、組織全体のネットワーク運用に支障をきたす可能性を持つ。この脆弱性が影響を及ぼす範囲は、Kea DHCP サーバの複数のバージョン 2.7.1~2.7.9/3.0.0/3.1.0 となる。
Continue reading “ISC Kea DHCP の脆弱性 CVE-2025-40779 が FIX:細工されたユニキャスト・パケットでクラッシュ”Cisco IMC Virtual Keyboard Video Monitor Let Attacker Direct User to Malicious Website
2025/08/28 CyberSecurityNews — Cisco が公表したのは、Integrated Management Controller (IMC) の Virtual Keyboard Video Monitor (vKVM) コンポーネントに存在する、深刻度の高いオープン・リダイレクトの脆弱性に関する情報である。この脆弱性 CVE-2025-20317 は、CVSS 3.1 ベース・スコアで 7.1 と評価されている。この脆弱性を悪用する未認証のリモート攻撃者は、影響を受けるデバイスのユーザーを悪意の Web サイトへとリダイレクトし、フィッシングなどのソーシャル・エンジニアリングを通じて、認証情報を不正に取得する可能性を手にする。
Continue reading “Cisco IMC vKVM の脆弱性 CVE-2025-20317:悪意の Web サイトへ誘導の可能性”
IoT OT Security News 
You must be logged in to post a comment.