Akamai Patches HTTP Request Smuggling Vulnerability in Edge Servers
2025/12/04 CyberSecurityNews — Akamai のエッジサーバ・インフラに存在する、深刻な HTTP リクエスト・スマグリング脆弱性が修正された。この脆弱性 CVE-2025-66373 は、無効なチャンク・エンコード本文を含む HTTP リクエストに対する不適切な処理に起因しており、広範なユーザー環境を高度な攻撃にさらす可能性を持つものだった。
Continue reading “Akamai Edge Server の脆弱性 CVE-2025-66373 が FIX:HTTP リクエスト・スマグリング”New Scanner Released to Detect Exposed ReactJS and Next.js RSC Endpoints (CVE-2025-55182)
2025/12/04 gbhackers — 最新の Web アプリケーションに存在する、脆弱な React Server Component (RSC) エンドポイントを特定するための専用スキャンツールを、セキュリティ研究者たちがリリースした。このツールは、脆弱性 CVE-2025-55182 の検出における深刻なギャップを解消するものだ。新たに提供された Python ベースのスキャナーは、洗練されたサーフェス検出手法を導入することで、ユーザー組織における脆弱性 CVE-2025-55182 の評価方法を変革する。
Continue reading “ReactJS/Next.js の脆弱性 CVE-2025-55182:RSC エンドポイント検出ツールが提供された!”Vim for Windows Vulnerability Let Attackers Execute Arbitrary Code
2025/12/04 CyberSecurityNews — Vim for Windows に深刻なセキュリティ脆弱性が発見された。この脆弱性を悪用する攻撃者は、ユーザーのコンピュータ上で悪意のコードを実行できる。この脆弱性 CVE-2025-66476 (CVSS:7.8:High) が影響を及ぼす範囲は、Vim のバージョン 9.1.1947 以下である。この脆弱性は、Vim が Windows システム上で外部プログラムを検索する方法に起因する。ユーザーが Vim で “grep” や “make” などのコマンドを実行するときに、この脆弱性の悪用が可能になるという。
Continue reading “Vim for Windows の脆弱性 CVE-2025-66476 が FIX:任意のコード実行の恐れ”PickleScan 0-Day Vulnerabilities Enable Arbitrary Code Execution via Malicious PyTorch Models
2024/12/04 CyberSecurityNews — 機械学習モデルをスキャンして悪意のコードを検出する、人気のオープンソース・ツール PickleScan に、深刻なゼロデイ脆弱性 CVE-2025-10155/10156/10157 が発見された。PickleScan は Hugging Face をはじめとする AI の世界で広く利用されており、Python の pickle 形式で保存された PyTorch モデルのチェックに使用されている。
Continue reading “PickleScan の脆弱性 CVE-2025-10155/10156/10157 が FIX:悪意の PyTorch モデルと任意のコード実行”K7 Antivirus Flaw Lets Attackers Gain SYSTEM-Level Privileges
2025/12/04 gbhackers — K7 Ultimate Security アンチウイルス・ソフトウェアに、深刻なセキュリティ脆弱性が発見された。この脆弱性 CVE-2024-36424 の悪用に成功した攻撃者は、Windows コンピュータ上の最高レベルである SYSTEM 権限を取得できる。なお、この脆弱性の悪用は、低権限のユーザーであっても可能なため、ユーザー組織にとって大きなリスクとなる。
Continue reading “K7 Antivirus の脆弱性 CVE-2024-36424:Windows SYSTEM 権限の不正取得”Critical React and Next.js Flaw Lets Remote Attackers Run Malicious Code
2025/12/04 gbhackers — React Server Components に存在する深刻なセキュリティ脆弱性を悪用する未認証の攻撃者は、この人気の Web フレームワークを実行するサーバ上での、悪意のコード実行の可能性を得る。この脆弱性は、React では CVE-2025-55182、Next.js では CVE-2025-66478 として追跡され、CVSS 値は 10.0 と評価されている。なお、この脆弱性が影響を及ぼす範囲は、開発者による設定変更が行われていない、デフォルト・コンフィグレーションの環境となる。
Critical Elementor Plugin Vulnerability Let Attackers Takeover WordPress Site Admin Control
2025/12/03 CyberSecurityNews — WordPress プラグイン King Addons for Elementor に存在する深刻なセキュリティ脆弱性により、数千の Web サイトが乗っ取られる危険性があると、セキュリティ研究者が警告している。この脆弱性 CVE-2025-8489 を悪用する未認証の攻撃者は、このプラグインの安全でない登録機能を介して新規アカウントを作成し、完全な管理者権限を付与する可能性がある。
Continue reading “WordPress King Addons の脆弱性 CVE-2025-8489 が FIX:管理者権限の窃取試行を確認”Multiple Django Vulnerability Expose Applications to SQL Injection and DoS Attacks
2025/12/03 gbhackers — Django 開発チームがリリースしたのは、人気 Python Web フレームワークにおける3つのメジャー・バージョン向けの重大なセキュリティ・パッチである。このパッチで修正された、2件の脆弱性 CVE-2025-13372/CVE-2025-64460 は、アプリケーションを SQL インジェクション攻撃およびサービス拒否 (DoS) 攻撃にさらす可能性のあるものだ。
Chrome 143 Released With Fix for 13 Vulnerabilities that Enable Arbitrary Code Execution
2025/12/03 CyberSecurityNews — Chrome 143 の Stable チャンネルで Google がリリースしたのは、Linux 版 143.0.7499.40 および、Windows/Mac 版 143.0.7499.40/41 である。このアップデートで修正された 13 件のセキュリティ脆弱性には、任意コード実行やレンダリング・エンジンへの侵害を攻撃者に許す可能性のある、危険性の高い複数の欠陥も含まれている。
Continue reading “Chrome 143 の複数の脆弱性が FIX:深刻な V8 タイプ・コンフュージョンや UAF バグなどに対応”Angular Platform Vulnerability Lets Attackers Execute Code Through Malicious SVG Animations
2025/12/03 gbhackers — Angular チームがリリースしたのは、Angular テンプレート・コンパイラの深刻な脆弱性に対処するためのセキュリティ・アップデートである。この脆弱性 CVE-2025-66412 を悪用する攻撃者は、組み込みのセキュリティ保護を回避してユーザーのブラウザで悪意のコードを実行できる。その原因の根本は、Angular コンパイラのセキュリティ・モデルの不備に起因する、蓄積型クロスサイト・スクリプティング (XSS) の問題である。
Continue reading “Angular プラットフォームの脆弱性 CVE-2025-66412:SVG 属性の悪用とコード実行の恐れ”OpenVPN Vulnerabilities Let Hackers Triggers Dos Attack and Bypass Security Checks
2025/12/02 CyberSecurityNews — OpenVPN が公表したのは、安定版 (2.6 シリーズ)/開発ブランチ (2.7 シリーズ) 向けの、重要なセキュリティ・アップデートのリリース情報である。これらのアップデートで修正されたのは、ローカルでのサービス拒否 (DoS)/セキュリティ回避/バッファ・オーバーリードにつながる可能性がある3件の脆弱性である。
Continue reading “OpenVPN の脆弱性 CVE-2025-13751/13086/12106:DoS 攻撃やセキュリティ回避の可能性”nopCommerce Flaw Lets Attackers Access Accounts Using Captured Cookies
2025/12/02 gbhackers — nopCommerce に存在する深刻な脆弱性 CVE-2025-11699 が、セキュリティ研究者たちにより発見された。nopCommerce は、Microsoft/Volvo/BMW などの大手企業が利用する人気のオープンソース EC プラットフォームである。この脆弱性を悪用する攻撃者は、正当なユーザーがログアウトした後であっても、取得したセッション Cookie を介してユーザー・アカウントを乗っ取ることが可能である。
Continue reading “nopCommerce の脆弱性 CVE-2025-11699 が FIX:セッション Cookie 無効化不備とアカウント乗っ取り”Apache Struts Flaw Allows Attackers to Launch Disk Exhaustion Attacks
2025/12/02 gbhackers — Apache Struts に発見されたセキュリティ脆弱性 CVE-2025-64775 を悪用する攻撃者は、サーバのディスク容量を圧迫して正常な動作を妨げる可能性がある。Apache Struts は人気のオープンソース Web アプリケーション・フレームワークであり、世界中の多くの企業で使用されているため、この脆弱性の影響の大きさが懸念されている。
Continue reading “Apache Struts の脆弱性 CVE-2025-64775 が FIX:ディスク枯渇による DoS 攻撃の恐れ”OpenAI Codex CLI Command Injection Vulnerability Let Attackers Execute Arbitrary Commands
2025/12/01 CyberSecurityNews — OpenAI が公表したのは、Codex CLI ツールのコマンド・インジェクション脆弱性の修正に関する情報である。この脆弱性を悪用する攻撃者は、悪意のコンフィグ・ファイルをプロジェクト・リポジトリに配置するだけで、開発者のマシン上で任意のコマンド実行の可能性を得る。この問題は、すでに Codex CLI バージョン 0.23.0 で修正されている。修正前の Codex CLI では codex コマンドの日常的な使用が、サイレントなリモート・コード実行のトリガーとなっていた。
Continue reading “OpenAI Codex CLI にコマンド・インジェクション:リポジトリを介した悪用のシナリオとは?”Devolutions Server Hit by SQL Injection Flaw Allowing Data Theft
2025/12/01 gbhackers — 集中型パスワード/特権アクセスを管理する Devolutions Server に、深刻な脆弱性が発見された。開発元の Devolutions は、2025年11月27日にセキュリティ・アドバイザリ (DEVO-2025-0018) を公表して3件の脆弱性に対処した。最も危険なのは、サーバのログデータ処理に影響を及ぼす SQLインジェクション 脆弱性である。この欠陥を悪用する攻撃者は、機密データの窃取や内部記録の改竄を可能にするとされており、専門家たちは深刻度 Critical と評価している。
Continue reading “Devolutions の脆弱性 CVE-2025-13757/13758/13765 が FIX:SQLi/機密情報漏洩などの可能性”2025/12/01 CyberSecurityNews — Microsoft Azure API Management (APIM) 開発者ポータルに存在する深刻なセキュリティ脆弱性により、管理者がポータル・インターフェイス経由のユーザー・サインアップを明示的に無効化している場合であっても、攻撃者が異なるテナント・インスタンスをまたがってアカウントを登録する可能性がある。この脆弱性について、Microsoft が設計によるものと分類しており、2025年12月1日時点では修正されておらず、ユーザー組織においては不正アクセスの危険に晒される状況が続いている。
Continue reading “Azure API Management 開発者ポータルの脆弱性:不正アカウントの作成が可能”Critical Apache bRPC Flaw Allows Attackers to Crash Servers
2025/12/01 gbhackers — Apache bRPC に存在する深刻なセキュリティ脆弱性を悪用する攻撃者は、細工した JSON データを送信するだけでサーバをクラッシュさせる可能性がある。この脆弱性 CVE-2025-59789 が影響を及ぼす範囲は、Apache bRPC のバージョン 1.15.0 未満であり、信頼できないネットワークに公開されているシステムに、重大なリスクをもたらすものである。
Continue reading “Apache bRPC の脆弱性 CVE-2025-59789 が FIX:JSON データの悪用によるサーバ・クラッシュ”PoC Exploit Released for Critical Outlook 0-Click Remote Code Execution Vulnerability
2025/12/01 CyberSecurityNews — Microsoft Outlook に存在する、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2024-21413 の悪用を実証する PoC エクスプロイト・コードが公開された。この MonikerLink と呼ばれる脆弱性を悪用する攻撃者は、Outlook のセキュリティ機構の保護ビューを回避して、悪意のコード実行や資格情報の窃取を可能にする。
Continue reading “Microsoft Outlook の RCE 脆弱性 CVE-2024-21413:GitHub 上で PoC が公開”Mystery OAST Tool Exploits 200 CVEs Using Google Cloud for Large-Scale Attacks
2025/11/29 gbhackers — Google Cloud インフラ上で、非公開の Out-of-band Application Security Testing (OAST) サービスを運用する高度な脅威アクターが、VulnCheck の最新調査により発見された。このキャンペーンでは、200 以上の CVE を標的とする大規模なエクスプロイトが展開されているという。
Continue reading “200 件以上の CVE を標的とする大規模攻撃キャンペーン:Google Cloud を悪用する非公開 OAST ツール”Legacy Python Package Vulnerabilities Enable PyPI Attacks Through Domain Takeover
2025/11/27 gbhackers — Python のレガシー・パッケージに潜む脆弱性について、ReversingLabs の研究者たちが警鐘を鳴らしている。この脆弱性は、Python Package Index (PyPI) のユーザーを、ドメイン侵害によるサプライチェーン攻撃の脅威にさらすものである。それらの脆弱なコードは、最近のプロジェクトではほとんど使用されていないが、古い本番システムに残り続けているため、依然としてリスクは消え去っていない。
Continue reading “Python のレガシー・パッケージに潜む脆弱性:放棄されたドメインとブートストラップ・スクリプト”Angular HTTP Client Flaw Leaks XSRF Tokens to Attacker-Controlled Domains
2025/11/27 gbhackers — Angular HTTP Client に存在する、深刻なセキュリティ脆弱性 CVE-2025-66035 (CVSS:7.5) が明らかにされた。この脆弱性を悪用する脅威アクターは、脆弱なアプリケーションからクロスサイト・リクエスト・フォージェリ (XSRF) トークンを盗み取る。この脆弱性は、Angular チーム・メンバーの Alan-Agius4 により公開されたものであり、複数のバージョンの @angular/standard パッケージに影響を与える。
Continue reading “Angular HTTP Client の脆弱性に CVE-2025-66035 が FIX:XSRF トークン漏洩の恐れ”NVIDIA DGX Spark Flaws Allow Attackers to Run Malicious Code and Launch DoS Attacks
2025/11/27 gbhackers — NVIDIA が公開したのは、DGX Spark システムに存在する 14 件の重大な脆弱性に対処するセキュリティ更新プログラムである。それらの脆弱性を悪用する攻撃者は、任意のコード実行や機密情報の窃取を行い、システムをクラッシュさせるサービス拒否攻撃を仕掛ける可能性を得る。これらの脆弱性が影響を及ぼす範囲は、最新の OTA0 アップデート以前の、すべての NVIDIA DGX OS である。
Continue reading “NVIDIA DGX Spark の 14件の脆弱性が FIX:任意のコード実行や DoS 攻撃の可能性”Gitlab Patches Multiple Vulnerabilities that Enable Authentication Bypass and DoS Attacks
2025/11/27 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)/Enterprise Edition (EE) に存在する複数の深刻な脆弱性に対処するための、重要なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、認証バイパス/ユーザー認証情報の窃取/サービス拒否 (DoS) 攻撃によるサーバ・クラッシュなどを引き起こすとされる。すでに GitLab は、パッチを取り込んだバージョン 18.6.1/18.5.3/18.4.5 をリリースし、この問題に対処している。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:認証バイパス/DoS 攻撃などの恐れ”New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request
2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。
Continue reading “Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ”Hackers Exploit NTLM Authentication Flaws to Target Windows Systems
2025/11/26 CyberSecurityNews — 最初の問題の発見から 20年以上が経った今でも、NTLM 認証プロトコルは世界中の Windows システムを悩ませ続けている。この問題は、2001年に理論上の脆弱性として始まったが、広範囲にわたるセキュリティ危機へと発展し、複数の NTLM の脆弱性を積極的に悪用する攻撃者は、さまざまな地域のネットワークに侵入している。
Continue reading “NTLM 認証への攻撃:いまもハッカーたちが悪用する4つの脆弱性とは?”ASUS MyASUS Flaw Lets Hackers Escalate to SYSTEM-Level Access
2025/11/26 CyberSecurityNews — ASUS が公表したのは、MyASUS アプリケーションに存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用するローカル攻撃者は、影響を受ける Windows デバイス上で SYSTEM レベル権限へと昇格する可能性がある。この深刻な脆弱性 CVE-2025-59373 (CVSS 4.0:8.5) は、世界中の数百万人の ASUS コンピューター・ユーザーに深刻なリスクをもたらす可能性がある。
Continue reading “ASUS MyASUS の脆弱性 CVE-2025-59373 が FIX:SYSTEM レベル権限昇格の可能性”Apache Syncope Flaw Lets Attackers Access Internal Database Content
2024/11/25 gbhackers — Apache Syncope にセキュリティ脆弱性 CVE-2025-65998 が発見された。この脆弱性を悪用する攻撃者が、内部データベースへのアクセスに成功すると、保存されているパスワードが復号化される可能性がある。この脆弱性は、ハードコードされたデフォルトの AES 暗号化キーの使用に起因している。つまり、機密性の高いユーザー認証情報を安全に保つために設計された、パスワード保護メカニズムに問題が生じている。
Continue reading “Apache Syncope の脆弱性 CVE-2025-65998 が FIX:ハードコード・キーとパスワード複合”NVIDIA’s Isaac-GROOT Robotics Platform Vulnerability Let Attackers Inject Malicious Codes
2025/11/25 CyberSecurityNews — NVIDIA が公表したのは、Isaac-GROOT ロボティクス・プラットフォームに影響を及ぼす2件の深刻なコード・インジェクションの脆弱性に関する情報である。これらの脆弱性 CVE-2025-33183/CVE-2025-33184 (CVSS:7.8) は、いずれも Python コンポーネント内に存在する。これらの脆弱性を悪用する認証済み攻撃者は、任意のコードを実行し、権限を昇格させ、システム・データを改竄する可能性を得る。
Continue reading “NVIDIA Isaac-GROOT の脆弱性 CVE-2025-33183/33184 が FIX:悪意のコード実行の可能性”HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials
2025/11/25 CyberSecurityNews — HashiCorp の Vault Terraform Provider に重大なセキュリティ上の欠陥が発見された。この脆弱性を悪用する攻撃者は、有効な認証情報を必要とせずに認証をバイパスし、Vault にアクセスする機会を得る。この脆弱性 CVE-2025-13357 は、Vault の Terraform プロバイダーにおける誤ったデフォルト・コンフィグに起因し、Vault で LDAP 認証を使用する組織に影響を及ぼす。具体的に言うと、LDAP 認証方式の deny_null_bind パラメータが、デフォルトで false にコンフィグされていたことに原因がある。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-13357:認証情報なしで Vault に不正アクセス”vLLM Flaw Allows Remote Code Execution Through Malicious Payloads
2025/11/24 gbhackers — LLM 向けの高スループット推論/サービング・エンジンとして広く利用されている vLLM に、深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2025-62164 を悪用する攻撃者は、Completions API エンドポイントに悪意のペイロードを送信することで、任意のリモート・コード実行を可能にする。
Continue reading “vLLM の脆弱性 CVE-2025-62164:悪意のペイロード経由による RCE の恐れ”Attackers deliver ShadowPad via newly patched WSUS RCE bug
2025/11/24 SecurityAffairs — Windows WSUS の脆弱性 CVE-2025-59287 を悪用する脅威アクターたちが、ShadowPad マルウェアを配布していると、AhnLab Security Intelligence Center (ASEC) の研究者たちが報告した。ShadowPad は中国由来の APT グループに広く利用され、非公開で流通するバックドアである。この攻撃者は、WSUS サーバへのアクセス権を取得した後に、PowerCat を用いてシステム・シェルを取得し、”certutil” と “curl” により ShadowPad を取得しインストールしている。研究者たちは、この侵入チェーンと、ShadowPad の動作、推奨される防御策を詳細に説明している。
Continue reading “Windows Server WSUS の RCE 脆弱性 CVE-2025-59287:ShadowPad の配布と PoC のリリース”Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
2025/11/24 CyberSecurityNews — Wireshark Foundation が公開したのは、広く利用されているネットワーク・プロトコル・アナライザーに存在する脆弱性へのセキュリティ・アップデートである。このアップデートは、サービス拒否 (DoS) につながる可能性のある、複数の脆弱性に対処している。最新リリースであるバージョン 4.6.1 は、Bundle Protocol バージョン 7 (BPv7) および Kafka のディセクタに発見された脆弱性に対処するものである。これらの脆弱性が修正されないまま放置されると、ネットワーク・ストリームまたはトレース・ファイルに悪意のあるデータを挿入する攻撃者は、アプリケーションを強制的にクラッシュさせることが可能になる。
Continue reading “Wireshark の脆弱性 CVE-N/A が FIX:BPv7 や Kafka に関連する問題に対処”Tenda N300 Flaws Allow Attackers to Run Commands as Root
2025/11/24 gbhackers — Tenda の N300 4G03 Pro モデルに、深刻なコマンド・インジェクション脆弱性 CVE-2025-13207/CVE-2024-24481 が発見された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデバイス上のルート権限で任意のコマンドを実行できる。現時点において、メーカーからパッチが提供されていない。したがって、セキュリティ専門家がユーザーに推奨するのは、ネットワークを潜在的な侵害から保護するための代替ソリューションの検討である。
Continue reading “Tenda N300 の脆弱性 CVE-2025-13207/CVE-2024-24481:ルート権限での任意のコマンド実行”DeepSeek-R1 Makes Code for Prompts With Severe Security Vulnerabilities
中国で開発された人工知能コーディング・アシスタント “DeepSeek-R1” に、懸念すべき脆弱性が発見された。この AI モデルは、中国共産党に関連する政治的にセンシティブなトピックに遭遇すると、深刻なセキュリティ欠陥を含むコードを通常より最大 50% 高い割合で生成する。中国の AI スタートアップ企業 DeepSeek が、2025年1月にリリースした R1 モデルは、コーディング品質において欧米の競合製品と遜色ないように見えていた。
Continue reading “DeepSeek-R1 の脆弱性:政治的なプロンプトを入力すると生成されるコードが変化する?”PoC Published for W3 Total Cache Flaw Exposing 1M+ Sites to RCE
2025/11/24 gbhackers — WordPress で人気のキャッシュ・プラグインであり、100 万件以上のアクティブ・インストール数を誇る W3 Total Cache に存在する、深刻なリモート・コード実行の脆弱性 CVE-2025-9501 に対する PoC エクスプロイトを、セキュリティ研究者たちが公開した。この脆弱性を悪用する攻撃者は、特定の条件下において脆弱な Web サイト上で任意のコードを実行できる。
Continue reading “WordPress W3 Total Cache プラグインの脆弱性 CVE-2025-9501:実用的な PoC が登場”Critical Vulnerability in Azure Bastion Let Attackers Bypass Authentication and Escalate privileges
2025/11/23 CyberSecurityNews — Azure Bastion の深刻な脆弱性 CVE-2025-49752 により、リモートの攻撃者が認証メカニズムをバイパスし、管理者レベルの権限を取得できる状況にある。この欠陥は認証バイパス脆弱性に分類され、クラウド・インフラへの安全な管理アクセスにおいて Azure Bastion に依存する組織に差し迫ったリスクをもたらすという。
Continue reading “Azure Bastion の脆弱性 CVE-2025-49752:認証バイパスによる管理者権限取得の恐れ”Metasploit Adds Exploit Module for Recently Disclosed FortiWeb 0-Day Vulnerabilities
2025/11/22 CyberSecurityNews — Fortinet の FortiWeb に存在する深刻な脆弱性を標的とする新たなエクスプロイト・モジュールが、Metasploit Framework に導入された。このモジュールは、先日に公開された2つの脆弱性 CVE-2025-64446/CVE-2025-58034 を連鎖させ、未認証のユーザーによる root 権限でのリモート・コード実行 (RCE) を可能にするものだ。このリリースは、Fortinet からのサイレント・パッチと、その後に発生したバイパスにより、数多くの WAF アプライアンスが無防備な状態になっている状況や、実環境での悪用の報告などに対応するものである。
Continue reading “FortiWeb WAF 攻撃用のエクスプロイトを Metasploit が導入:CVE‑2025‑64446/58034 攻撃チェーン”CISA warns Oracle Identity Manager RCE flaw is being actively exploited
2025/11/21 BleepingComputer — 積極的な攻撃で悪用されている Oracle Identity Manager の CVE-2025-61757 は、ゼロデイ攻撃の可能性がある脆弱性だ。この脆弱性 CVE-2025-61757 は、Searchlight Cyber のアナリスト Adam Kues と Shubham Shah が発見/公開した、Oracle Identity Manager の認証前リモートコード実行 (RCE) の脆弱性である。
Continue reading “CISA KEV 警告 25/11/21:Oracle Identity Manager の RCE 脆弱性 CVE-2025-61757 を登録”SonicOS SSLVPN Vulnerability Let Attackers Crash the Firewall Remotely
2025/11/21 CyberSecurityNews — SonicWall が公表したのは、SonicOS SSLVPN サービスに存在する深刻なスタックバッファ・オーバーフローの脆弱性に関する情報である。この脆弱性を悪用する未認証のリモート攻撃者は、サービス拒否攻撃を仕掛けることでファイアウォールをクラッシュさせる可能性がある。この脆弱性 CVE-2025-40601 (CVSS:7.5) は、SonicWall のセキュリティ・チームにより社内で発見/報告されたものであり、複数世代の SonicWall ファイアウォール製品に影響を与える。
Continue reading “SonicOS SSLVPN の脆弱性 CVE-2025-40601 が FIX:リモートからのサービス拒否攻撃”Milvus Proxy Flaw Lets Attackers Forge Headers and Skip Authorization
2025/11/21 gbhackers — Milvus ベクトル・データベースに存在する、深刻な認証バイパスの脆弱性 CVE-2025-64513 を悪用する攻撃者は、認証情報を必要とすることなく管理者権限を取得する可能性がある。この脆弱性は、Milvus Proxy コンポーネントが HTTP ヘッダーを処理する方法に起因し、ユーザーが制御するデータを信頼できる内部認証情報として扱う状況を生み出す。
Continue reading “Milvus Proxy の脆弱性 CVE-2025-64513 が FIX:ヘッダー偽造による認証バイパスと PoC”Grafana Patches CVSS 10.0 SCIM Flaw Enabling Impersonation and Privilege Escalation
2025/11/21 TheHackerNews — Grafana がリリースしたのは、特定のコンフィグ下で権限昇格やユーザーなりすましを許す可能性がある、深刻なセキュリティ脆弱性 CVE-2025-41115 に対処するアップデートである。この脆弱性は、CVSS スコア 10.0 と評価されており、ユーザー・プロビジョニングの自動化と管理を可能にする System for Cross-domain Identity Management (SCIM) コンポーネントに存在する。なお、SCIM は 2025年4月に導入され、現在はパブリック・プレビュー段階にある。
Continue reading “Grafana Enterprise の脆弱性 CVE-2025-41115 (CVSS:10.0) が FIX:権限昇格となりすましの恐れ”Critical Twonky Server Vulnerabilities Let Attackers Bypass Authentication
2025/11/20 CyberSecurityNews — Twonky Server バージョン 8.5.2 には、深刻な認証バイパスの脆弱性 CVE-2025-13315/CVE-2025-13316 が存在する。Rapid7 が明らかにしたのは、これらの脆弱性が未認証の攻撃者に連鎖的に悪用され、ユーザーによる操作や有効な認証情報なしに、管理者アカウントが侵害される可能性があることだ。これらの脆弱性は、Twonky Server の Linux/Windows プラットフォームに影響を与え、サーバ・ソフトウェアへの完全な管理者アクセス権を、攻撃者に許すことになる。
Continue reading “Twonky Server の脆弱性 CVE-2025-13315/13316:深刻な認証バイパスに No Patch”2025/11/20 CyberSecurityNews — N-able の N-central RMM (remote management and monitoring) プラットフォームの脆弱性 CVE-2025-9316/CVE-2025-11700 が報告された。Horizon3.ai によると、この脆弱性により、認証されていない攻撃者が認証を回避してレガシー API にアクセスし、認証情報やデータベース・バックアップを含む機密ファイルを流出させる可能性がある。
Continue reading “N-able N-central の脆弱性 CVE-2025-9316/11700 が FIX:認証バイパスによる機密情報漏洩”W3 Total Cache Security Vulnerability Exposes One Million WordPress Sites to RCE
2025/11/20 gbhackers — 広く利用されている WordPress プラグイン W3 Total Cache に深刻なセキュリティ脆弱性 CVE-2025-9501 が発見され、100 万以上の WordPress サイトが深刻なリスクに晒されている。この脆弱性を悪用する攻撃者は、ログイン認証情報を必要とせずに、影響を受けるサイトを完全に制御する可能性がある。
Continue reading “WordPress W3 Total Cache の脆弱性 CVE-2025-9501 が FIX:認証不要のリモート・コマンド実行”CISA Warns of Google Chrome 0-Day Vulnerability Exploited in Attacks
2025/11/20 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発令したのは、Google Chrome のゼロデイ脆弱性に関する緊急アラートである。この脆弱性 CVE-2025-13223 は Chromium V8 JavaScript エンジンの欠陥であり、脅威アクターにより積極的に悪用され、世界中のユーザーにリモート・コード実行やデータ侵害の恐れが生じている。
Continue reading “CISA KEV 警告 25/11/19:Google Chrome のゼロデイ CVE-2025-13223 を登録”SolarWinds Patches Three Critical Serv-U Vulnerabilities
2025/11/20 SecurityWeek — 今週に SolarWinds が発表したのは、Observability Self-Hosted に存在する深刻度 Medium の脆弱性に対するパッチである。それらの3件の脆弱性は、SolarWinds Serv-U 15.5.2.2.102 に影響を及ぼすものであり、すでにバージョン 15.5.3 のリリースで修正されている。
Continue reading “SolarWinds Serv-U の脆弱性 CVE-2025-40547/40548/40549 が FIX:任意コード実行の可能性”Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums
2025/11/20 CyberSecurityNews — Microsoft Office/Windows システムを標的とする、ゼロデイのリモート・コード実行 (RCE) 脆弱性とサンドボックス・エスケープを、Zeroplayer と呼ばれる脅威アクターがアンダーグラウンドで販売しているとの報道がなされている。このエクスプロイトは $30,000 で販売され、最新バージョンを含む大半の Office ファイル形式で動作し、パッチが完全に適用された Windows にも影響を与えるとされている。
Continue reading “Microsoft Office のゼロデイを $30,000 で販売:Zeroplayer 脅威アクターはロシア由来?”Ollama Flaws Let Hackers Run Any Code Using Malicious Model Files
2025/11/20 gbhackers — GitHub で人気を博すオープンソース・プロジェクトであり、155,000 以上のスターを獲得している Ollama に、深刻なセキュリティ脆弱性 CVE-N/A が発見された。この脆弱性を悪用する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を得る。これらの脆弱性は、Ollama のバージョン 0.7.0 未満に影響を及ぼすものであり、このプラットフォームにより LLM をローカルで実行している、数多くの AI 愛好家や開発者を危険にさらしている。
Continue reading “Ollama の脆弱性 CVE-N/A が FIX:悪意のモデル・ファイルを介した RCE”Hackers Actively Exploiting 7-Zip RCE Vulnerability in the Wild
2025/11/19 CyberSecurityNews — 7-Zip の深刻なリモート・コード実行の脆弱性 CVE-2025-11001 を積極的に悪用するハッカーにより、人気のファイル・アーカイバを利用する多数のユーザーが、マルウェア感染やシステム侵害の危険にさらされている。この欠陥は、ZIP アーカイブ内のシンボリック・リンクの不適切な処理に起因するものであり、攻撃者は脆弱なシステム上でディレクトリをトラバースし、任意のコードを実行できる。2025年10月に公表された CVE-2025-11001 は、権限昇格を必要とせずに広範な悪用が可能であることから、CVSS v3 スコア 7.0 と評価されている。
Continue reading “7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX:PoC 公開後に実環境での悪用が加速”CISA Warns of Fortinet FortiWeb OS Command Injection Vulnerability Exploited in the Wild
2025/11/19 CyberSecurityNews — Fortinet FortiWeb アプライアンスに影響を与える深刻な脆弱性について、Cybersecurity and Infrastructure Security Agency (CISA) が緊急警告を発した。この脆弱性は、現在、脅威アクターによる活発な攻撃で悪用されている。2025年11月18日に CISA は、脆弱性 CVE-2025-58034 を Known Exploited Vulnerabilities (KEV) カタログに追加し、影響を受ける製品を使用している組織に差し迫ったリスクが生じていることを警告した。
Continue reading “CISA KEV 警告 25/11/18:FortiWeb の脆弱性 CVE-2025-58034 を登録”
IoT OT Security News 
You must be logged in to post a comment.