Gitlab Patches Multiple Vulnerabilities that Enable Authentication Bypass and DoS Attacks
2025/11/27 CyberSecurityNews — GitLab がリリースしたのは、Community Edition (CE)/Enterprise Edition (EE) に存在する複数の深刻な脆弱性に対処するための、重要なセキュリティ・アップデートである。それらの脆弱性を悪用する攻撃者は、認証バイパス/ユーザー認証情報の窃取/サービス拒否 (DoS) 攻撃によるサーバ・クラッシュなどを引き起こすとされる。すでに GitLab は、パッチを取り込んだバージョン 18.6.1/18.5.3/18.4.5 をリリースし、この問題に対処している。
Continue reading “GitLab CE/EE の複数の脆弱性が FIX:認証バイパス/DoS 攻撃などの恐れ”New Unauthenticated DoS Vulnerability Crashes Next.js Servers with a Single Request
2025/11/27 CyberSecurityNews — Next.js フレームワークに発見された深刻な脆弱性 CVE-N/A を悪用する攻撃者は、単一の HTTP リクエストの送信のみで、ごくわずかなリソースを使用するだけで、セルフホスト型サーバをクラッシュさせる可能性がある。Harmony Intelligence の研究者が発見した、このサービス拒否 (DoS) 脆弱性は、パッチ適用前の最新の 15.x ブランチを含む広範なバージョンに影響を与える。
Continue reading “Next.js の脆弱性 CVE-N/A が FIX:認証不要の DoS 攻撃でセルフホスト型サーバがクラッシュ”Hackers Exploit NTLM Authentication Flaws to Target Windows Systems
2025/11/26 CyberSecurityNews — 最初の問題の発見から 20年以上が経った今でも、NTLM 認証プロトコルは世界中の Windows システムを悩ませ続けている。この問題は、2001年に理論上の脆弱性として始まったが、広範囲にわたるセキュリティ危機へと発展し、複数の NTLM の脆弱性を積極的に悪用する攻撃者は、さまざまな地域のネットワークに侵入している。
Continue reading “NTLM 認証への攻撃:いまもハッカーたちが悪用する4つの脆弱性とは?”ASUS MyASUS Flaw Lets Hackers Escalate to SYSTEM-Level Access
2025/11/26 CyberSecurityNews — ASUS が公表したのは、MyASUS アプリケーションに存在する深刻なセキュリティ脆弱性に関する情報である。この脆弱性を悪用するローカル攻撃者は、影響を受ける Windows デバイス上で SYSTEM レベル権限へと昇格する可能性がある。この深刻な脆弱性 CVE-2025-59373 (CVSS 4.0:8.5) は、世界中の数百万人の ASUS コンピューター・ユーザーに深刻なリスクをもたらす可能性がある。
Continue reading “ASUS MyASUS の脆弱性 CVE-2025-59373 が FIX:SYSTEM レベル権限昇格の可能性”Apache Syncope Flaw Lets Attackers Access Internal Database Content
2024/11/25 gbhackers — Apache Syncope にセキュリティ脆弱性 CVE-2025-65998 が発見された。この脆弱性を悪用する攻撃者が、内部データベースへのアクセスに成功すると、保存されているパスワードが復号化される可能性がある。この脆弱性は、ハードコードされたデフォルトの AES 暗号化キーの使用に起因している。つまり、機密性の高いユーザー認証情報を安全に保つために設計された、パスワード保護メカニズムに問題が生じている。
Continue reading “Apache Syncope の脆弱性 CVE-2025-65998 が FIX:ハードコード・キーとパスワード複合”NVIDIA’s Isaac-GROOT Robotics Platform Vulnerability Let Attackers Inject Malicious Codes
2025/11/25 CyberSecurityNews — NVIDIA が公表したのは、Isaac-GROOT ロボティクス・プラットフォームに影響を及ぼす2件の深刻なコード・インジェクションの脆弱性に関する情報である。これらの脆弱性 CVE-2025-33183/CVE-2025-33184 (CVSS:7.8) は、いずれも Python コンポーネント内に存在する。これらの脆弱性を悪用する認証済み攻撃者は、任意のコードを実行し、権限を昇格させ、システム・データを改竄する可能性を得る。
Continue reading “NVIDIA Isaac-GROOT の脆弱性 CVE-2025-33183/33184 が FIX:悪意のコード実行の可能性”HashiCorp Vault Vulnerability Allow Attackers to Authenticate to Vault Without Valid Credentials
2025/11/25 CyberSecurityNews — HashiCorp の Vault Terraform Provider に重大なセキュリティ上の欠陥が発見された。この脆弱性を悪用する攻撃者は、有効な認証情報を必要とせずに認証をバイパスし、Vault にアクセスする機会を得る。この脆弱性 CVE-2025-13357 は、Vault の Terraform プロバイダーにおける誤ったデフォルト・コンフィグに起因し、Vault で LDAP 認証を使用する組織に影響を及ぼす。具体的に言うと、LDAP 認証方式の deny_null_bind パラメータが、デフォルトで false にコンフィグされていたことに原因がある。
Continue reading “HashiCorp Vault の脆弱性 CVE-2025-13357:認証情報なしで Vault に不正アクセス”vLLM Flaw Allows Remote Code Execution Through Malicious Payloads
2025/11/24 gbhackers — LLM 向けの高スループット推論/サービング・エンジンとして広く利用されている vLLM に、深刻なセキュリティ欠陥が発見された。この脆弱性 CVE-2025-62164 を悪用する攻撃者は、Completions API エンドポイントに悪意のペイロードを送信することで、任意のリモート・コード実行を可能にする。
Continue reading “vLLM の脆弱性 CVE-2025-62164:悪意のペイロード経由による RCE の恐れ”Attackers deliver ShadowPad via newly patched WSUS RCE bug
2025/11/24 SecurityAffairs — Windows WSUS の脆弱性 CVE-2025-59287 を悪用する脅威アクターたちが、ShadowPad マルウェアを配布していると、AhnLab Security Intelligence Center (ASEC) の研究者たちが報告した。ShadowPad は中国由来の APT グループに広く利用され、非公開で流通するバックドアである。この攻撃者は、WSUS サーバへのアクセス権を取得した後に、PowerCat を用いてシステム・シェルを取得し、”certutil” と “curl” により ShadowPad を取得しインストールしている。研究者たちは、この侵入チェーンと、ShadowPad の動作、推奨される防御策を詳細に説明している。
Continue reading “Windows Server WSUS の RCE 脆弱性 CVE-2025-59287:ShadowPad の配布と PoC のリリース”Wireshark Vulnerabilities Let Attackers Crash by Injecting a Malformed Packet
2025/11/24 CyberSecurityNews — Wireshark Foundation が公開したのは、広く利用されているネットワーク・プロトコル・アナライザーに存在する脆弱性へのセキュリティ・アップデートである。このアップデートは、サービス拒否 (DoS) につながる可能性のある、複数の脆弱性に対処している。最新リリースであるバージョン 4.6.1 は、Bundle Protocol バージョン 7 (BPv7) および Kafka のディセクタに発見された脆弱性に対処するものである。これらの脆弱性が修正されないまま放置されると、ネットワーク・ストリームまたはトレース・ファイルに悪意のあるデータを挿入する攻撃者は、アプリケーションを強制的にクラッシュさせることが可能になる。
Continue reading “Wireshark の脆弱性 CVE-N/A が FIX:BPv7 や Kafka に関連する問題に対処”Tenda N300 Flaws Allow Attackers to Run Commands as Root
2025/11/24 gbhackers — Tenda の N300 4G03 Pro モデルに、深刻なコマンド・インジェクション脆弱性 CVE-2025-13207/CVE-2024-24481 が発見された。この脆弱性を悪用する認証済みの攻撃者は、影響を受けるデバイス上のルート権限で任意のコマンドを実行できる。現時点において、メーカーからパッチが提供されていない。したがって、セキュリティ専門家がユーザーに推奨するのは、ネットワークを潜在的な侵害から保護するための代替ソリューションの検討である。
Continue reading “Tenda N300 の脆弱性 CVE-2025-13207/CVE-2024-24481:ルート権限での任意のコマンド実行”DeepSeek-R1 Makes Code for Prompts With Severe Security Vulnerabilities
中国で開発された人工知能コーディング・アシスタント “DeepSeek-R1” に、懸念すべき脆弱性が発見された。この AI モデルは、中国共産党に関連する政治的にセンシティブなトピックに遭遇すると、深刻なセキュリティ欠陥を含むコードを通常より最大 50% 高い割合で生成する。中国の AI スタートアップ企業 DeepSeek が、2025年1月にリリースした R1 モデルは、コーディング品質において欧米の競合製品と遜色ないように見えていた。
Continue reading “DeepSeek-R1 の脆弱性:政治的なプロンプトを入力すると生成されるコードが変化する?”PoC Published for W3 Total Cache Flaw Exposing 1M+ Sites to RCE
2025/11/24 gbhackers — WordPress で人気のキャッシュ・プラグインであり、100 万件以上のアクティブ・インストール数を誇る W3 Total Cache に存在する、深刻なリモート・コード実行の脆弱性 CVE-2025-9501 に対する PoC エクスプロイトを、セキュリティ研究者たちが公開した。この脆弱性を悪用する攻撃者は、特定の条件下において脆弱な Web サイト上で任意のコードを実行できる。
Continue reading “WordPress W3 Total Cache プラグインの脆弱性 CVE-2025-9501:実用的な PoC が登場”Critical Vulnerability in Azure Bastion Let Attackers Bypass Authentication and Escalate privileges
2025/11/23 CyberSecurityNews — Azure Bastion の深刻な脆弱性 CVE-2025-49752 により、リモートの攻撃者が認証メカニズムをバイパスし、管理者レベルの権限を取得できる状況にある。この欠陥は認証バイパス脆弱性に分類され、クラウド・インフラへの安全な管理アクセスにおいて Azure Bastion に依存する組織に差し迫ったリスクをもたらすという。
Continue reading “Azure Bastion の脆弱性 CVE-2025-49752:認証バイパスによる管理者権限取得の恐れ”Metasploit Adds Exploit Module for Recently Disclosed FortiWeb 0-Day Vulnerabilities
2025/11/22 CyberSecurityNews — Fortinet の FortiWeb に存在する深刻な脆弱性を標的とする新たなエクスプロイト・モジュールが、Metasploit Framework に導入された。このモジュールは、先日に公開された2つの脆弱性 CVE-2025-64446/CVE-2025-58034 を連鎖させ、未認証のユーザーによる root 権限でのリモート・コード実行 (RCE) を可能にするものだ。このリリースは、Fortinet からのサイレント・パッチと、その後に発生したバイパスにより、数多くの WAF アプライアンスが無防備な状態になっている状況や、実環境での悪用の報告などに対応するものである。
Continue reading “FortiWeb WAF 攻撃用のエクスプロイトを Metasploit が導入:CVE‑2025‑64446/58034 攻撃チェーン”CISA warns Oracle Identity Manager RCE flaw is being actively exploited
2025/11/21 BleepingComputer — 積極的な攻撃で悪用されている Oracle Identity Manager の CVE-2025-61757 は、ゼロデイ攻撃の可能性がある脆弱性だ。この脆弱性 CVE-2025-61757 は、Searchlight Cyber のアナリスト Adam Kues と Shubham Shah が発見/公開した、Oracle Identity Manager の認証前リモートコード実行 (RCE) の脆弱性である。
Continue reading “CISA KEV 警告 25/11/21:Oracle Identity Manager の RCE 脆弱性 CVE-2025-61757 を登録”SonicOS SSLVPN Vulnerability Let Attackers Crash the Firewall Remotely
2025/11/21 CyberSecurityNews — SonicWall が公表したのは、SonicOS SSLVPN サービスに存在する深刻なスタックバッファ・オーバーフローの脆弱性に関する情報である。この脆弱性を悪用する未認証のリモート攻撃者は、サービス拒否攻撃を仕掛けることでファイアウォールをクラッシュさせる可能性がある。この脆弱性 CVE-2025-40601 (CVSS:7.5) は、SonicWall のセキュリティ・チームにより社内で発見/報告されたものであり、複数世代の SonicWall ファイアウォール製品に影響を与える。
Continue reading “SonicOS SSLVPN の脆弱性 CVE-2025-40601 が FIX:リモートからのサービス拒否攻撃”Milvus Proxy Flaw Lets Attackers Forge Headers and Skip Authorization
2025/11/21 gbhackers — Milvus ベクトル・データベースに存在する、深刻な認証バイパスの脆弱性 CVE-2025-64513 を悪用する攻撃者は、認証情報を必要とすることなく管理者権限を取得する可能性がある。この脆弱性は、Milvus Proxy コンポーネントが HTTP ヘッダーを処理する方法に起因し、ユーザーが制御するデータを信頼できる内部認証情報として扱う状況を生み出す。
Continue reading “Milvus Proxy の脆弱性 CVE-2025-64513 が FIX:ヘッダー偽造による認証バイパスと PoC”Grafana Patches CVSS 10.0 SCIM Flaw Enabling Impersonation and Privilege Escalation
2025/11/21 TheHackerNews — Grafana がリリースしたのは、特定のコンフィグ下で権限昇格やユーザーなりすましを許す可能性がある、深刻なセキュリティ脆弱性 CVE-2025-41115 に対処するアップデートである。この脆弱性は、CVSS スコア 10.0 と評価されており、ユーザー・プロビジョニングの自動化と管理を可能にする System for Cross-domain Identity Management (SCIM) コンポーネントに存在する。なお、SCIM は 2025年4月に導入され、現在はパブリック・プレビュー段階にある。
Continue reading “Grafana Enterprise の脆弱性 CVE-2025-41115 (CVSS:10.0) が FIX:権限昇格となりすましの恐れ”Critical Twonky Server Vulnerabilities Let Attackers Bypass Authentication
2025/11/20 CyberSecurityNews — Twonky Server バージョン 8.5.2 には、深刻な認証バイパスの脆弱性 CVE-2025-13315/CVE-2025-13316 が存在する。Rapid7 が明らかにしたのは、これらの脆弱性が未認証の攻撃者に連鎖的に悪用され、ユーザーによる操作や有効な認証情報なしに、管理者アカウントが侵害される可能性があることだ。これらの脆弱性は、Twonky Server の Linux/Windows プラットフォームに影響を与え、サーバ・ソフトウェアへの完全な管理者アクセス権を、攻撃者に許すことになる。
Continue reading “Twonky Server の脆弱性 CVE-2025-13315/13316:深刻な認証バイパスに No Patch”2025/11/20 CyberSecurityNews — N-able の N-central RMM (remote management and monitoring) プラットフォームの脆弱性 CVE-2025-9316/CVE-2025-11700 が報告された。Horizon3.ai によると、この脆弱性により、認証されていない攻撃者が認証を回避してレガシー API にアクセスし、認証情報やデータベース・バックアップを含む機密ファイルを流出させる可能性がある。
Continue reading “N-able N-central の脆弱性 CVE-2025-9316/11700 が FIX:認証バイパスによる機密情報漏洩”W3 Total Cache Security Vulnerability Exposes One Million WordPress Sites to RCE
2025/11/20 gbhackers — 広く利用されている WordPress プラグイン W3 Total Cache に深刻なセキュリティ脆弱性 CVE-2025-9501 が発見され、100 万以上の WordPress サイトが深刻なリスクに晒されている。この脆弱性を悪用する攻撃者は、ログイン認証情報を必要とせずに、影響を受けるサイトを完全に制御する可能性がある。
Continue reading “WordPress W3 Total Cache の脆弱性 CVE-2025-9501 が FIX:認証不要のリモート・コマンド実行”CISA Warns of Google Chrome 0-Day Vulnerability Exploited in Attacks
2025/11/20 CyberSecurityNews — 米国の Cybersecurity and Infrastructure Security Agency (CISA) が発令したのは、Google Chrome のゼロデイ脆弱性に関する緊急アラートである。この脆弱性 CVE-2025-13223 は Chromium V8 JavaScript エンジンの欠陥であり、脅威アクターにより積極的に悪用され、世界中のユーザーにリモート・コード実行やデータ侵害の恐れが生じている。
Continue reading “CISA KEV 警告 25/11/19:Google Chrome のゼロデイ CVE-2025-13223 を登録”SolarWinds Patches Three Critical Serv-U Vulnerabilities
2025/11/20 SecurityWeek — 今週に SolarWinds が発表したのは、Observability Self-Hosted に存在する深刻度 Medium の脆弱性に対するパッチである。それらの3件の脆弱性は、SolarWinds Serv-U 15.5.2.2.102 に影響を及ぼすものであり、すでにバージョン 15.5.3 のリリースで修正されている。
Continue reading “SolarWinds Serv-U の脆弱性 CVE-2025-40547/40548/40549 が FIX:任意コード実行の可能性”Threat Actors Allegedly Selling Microsoft Office 0-Day RCE Vulnerability on Hacking Forums
2025/11/20 CyberSecurityNews — Microsoft Office/Windows システムを標的とする、ゼロデイのリモート・コード実行 (RCE) 脆弱性とサンドボックス・エスケープを、Zeroplayer と呼ばれる脅威アクターがアンダーグラウンドで販売しているとの報道がなされている。このエクスプロイトは $30,000 で販売され、最新バージョンを含む大半の Office ファイル形式で動作し、パッチが完全に適用された Windows にも影響を与えるとされている。
Continue reading “Microsoft Office のゼロデイを $30,000 で販売:Zeroplayer 脅威アクターはロシア由来?”Ollama Flaws Let Hackers Run Any Code Using Malicious Model Files
2025/11/20 gbhackers — GitHub で人気を博すオープンソース・プロジェクトであり、155,000 以上のスターを獲得している Ollama に、深刻なセキュリティ脆弱性 CVE-N/A が発見された。この脆弱性を悪用する攻撃者は、脆弱なシステム上で任意のコード実行の可能性を得る。これらの脆弱性は、Ollama のバージョン 0.7.0 未満に影響を及ぼすものであり、このプラットフォームにより LLM をローカルで実行している、数多くの AI 愛好家や開発者を危険にさらしている。
Continue reading “Ollama の脆弱性 CVE-N/A が FIX:悪意のモデル・ファイルを介した RCE”Hackers Actively Exploiting 7-Zip RCE Vulnerability in the Wild
2025/11/19 CyberSecurityNews — 7-Zip の深刻なリモート・コード実行の脆弱性 CVE-2025-11001 を積極的に悪用するハッカーにより、人気のファイル・アーカイバを利用する多数のユーザーが、マルウェア感染やシステム侵害の危険にさらされている。この欠陥は、ZIP アーカイブ内のシンボリック・リンクの不適切な処理に起因するものであり、攻撃者は脆弱なシステム上でディレクトリをトラバースし、任意のコードを実行できる。2025年10月に公表された CVE-2025-11001 は、権限昇格を必要とせずに広範な悪用が可能であることから、CVSS v3 スコア 7.0 と評価されている。
Continue reading “7-Zip の RCE 脆弱性 CVE-2025-11001 が FIX:PoC 公開後に実環境での悪用が加速”CISA Warns of Fortinet FortiWeb OS Command Injection Vulnerability Exploited in the Wild
2025/11/19 CyberSecurityNews — Fortinet FortiWeb アプライアンスに影響を与える深刻な脆弱性について、Cybersecurity and Infrastructure Security Agency (CISA) が緊急警告を発した。この脆弱性は、現在、脅威アクターによる活発な攻撃で悪用されている。2025年11月18日に CISA は、脆弱性 CVE-2025-58034 を Known Exploited Vulnerabilities (KEV) カタログに追加し、影響を受ける製品を使用している組織に差し迫ったリスクが生じていることを警告した。
Continue reading “CISA KEV 警告 25/11/18:FortiWeb の脆弱性 CVE-2025-58034 を登録”Chrome Type Confusion Zero-Day Vulnerability Actively Exploited in the Wild
2025/11/18 CyberSecurityNews — Google がリリースした Chrome ブラウザの緊急アップデートは、実際に悪用されているゼロデイ脆弱性 CVE-2025-13223/CVE-2025-13224 に対処するためのものだ。同社はユーザーに対して、直ちにアップデートを行い、高度な攻撃者からのリスクを軽減すべきだと呼びかけている。Windows/Linux 向けの Chrome 安定版 142.0.7444.175 と、Mac 向けの Chrome 安定版 142.0.7444.176 が公開されている。このパッチは、V8 JavaScript エンジンにおける深刻度の高いタイプ・コンフュージョンのバグ2件を修正するものだ。
Continue reading “Chrome のゼロデイ脆弱性 CVE-2025-13223/13224 が FIX:積極的な悪用を観測”Hackers Use Rogue MCP Server to Inject Malicious Code and Control the Cursor’s Built-in Browser
2025/11/17 CyberSecurityNews — Cursor の深刻な脆弱性を悪用する攻撃者は、侵害した MCP (Model Context Protocol) サーバを介して、Cursor のビルトイン・ブラウザに悪意のコードを注入できる。この脆弱性の背景にあるのは、VS Code などの環境とは異なり、Cursor の独自機能に対する整合性の検証が欠落しているという設計上の欠点である。そのため、Cursor は、改竄を試行する脅威アクターたちの格好の標的となっている。
Continue reading “Cursor の深刻な脆弱性:悪意の MCP サーバ経由でビルトイン・ブラウザに悪意のコード注入”RondoDox Exploits Unpatched XWiki Servers to Pull More Devices Into Its Botnet
2025/11/15 TheHackerNews — パッチ未適用の XWiki インスタンスを標的とするボットネット・マルウェア RondoDox が、深刻なセキュリティ欠陥を突き、任意のコード実行を可能にしていることが確認された。問題の脆弱性 CVE-2025-24893 (CVSS:9.8) は、評価インジェクションのバグである。このバグを悪用するゲスト・ユーザーは、”/bin/get/Main/SolrSearch” エンドポイントへのリクエストを通じて、任意のリモート・コード実行を可能にする。すでに XWiki のメンテナたちは、2025年2月下旬の時点でバージョン 15.10.11/16.4.1/16.5.0RC1 をリリースし、この問題に対処している。
Continue reading “XWiki の脆弱性 CVE-2025-24893:RondoDox などの参戦と攻撃のピーク”Critical pgAdmin4 Vulnerability Lets Attackers Execute Remote Code on Servers
2025/11/15 CyberSecurityNews — PostgreSQL データベース向けの OSS インターフェイスである pgAdmin 4 に存在する、深刻なリモート・コード実行 (RCE) の脆弱性 CVE-2025-12762 が報告された。この脆弱性が影響を及ぼす範囲はバージョン 9.9 以下であり、ホスト・サーバ上での任意のコマンド実行を攻撃者に許し、データベース・インフラ全体を危険に晒す可能性がある。
Continue reading “pgAdmin 4 の脆弱性 CVE-2025-12762 が FIX:サーバ上での RCE の恐れ”U.S. CISA adds Fortinet FortiWeb flaw to its Known Exploited Vulnerabilities catalog
2025/11/15 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、Fortinet FortiWeb の脆弱性 CVE-2025-64446 (CVSS:9.1) を Known Exploited Vulnerabilities (KEV) カタログに追加した。この脆弱性は、Fortinet FortiWeb 8.0.0~8.0.1/7.6.0~7.6.4/7.4.0~7.4.9/7.2.0~7.2.11/7.0.0~7.0.11 に存在する相対パス・トラバーサルを原因とするものだ。この脆弱性を悪用する攻撃者は、脆弱なデバイスに細工した HTTP/HTTPS リクエストを送信することで、標的システム上で管理コマンドを実行できる。
Continue reading “CISA KEV 警告 25/11/04:Fortinet FortiWeb の脆弱性 CVE-2025-64446 を登録”Critical CVE-2025-59367 flaw lets hackers access ASUS DSL routers remotely
2025/11/14 SecurityAffairs — ASUS がリリースしたのは、複数の DSL ルーターに存在する深刻な認証バイパスの脆弱性 CVE-2025-59367 (CVSS:9.3) を修正するファームウェアである。この脆弱性を悪用する未認証のリモート攻撃者は、パッチ未適用のデバイスに容易にアクセスできるようになる。この脆弱性の影響を受ける範囲は、DSL-AC51/DSL-N16/DSL-AC750 ルーター・ファミリであり、ファームウェア・バージョン 1.1.2.3_1010 により修正が提供される。
Continue reading “ASUS DSL ルーターの脆弱性 CVE-2025-59367 が FIX:リモートからの認証バイパスの恐れ”Critical Zoho Analytics Plus Flaw Allows Attackers to Run Arbitrary SQL Queries
2024/11/14 gbhackers — Zoho Analytics Plus オンプレミス版において、深刻な SQL インジェクションの脆弱性が発見された。この脆弱性 CVE-2025-8324 を悪用する攻撃者は、認証を必要とせずに任意の SQL クエリを実行し、データ漏洩やアカウント乗っ取りを引き起こす可能性を得る。したがって、この脆弱性の影響を受けるバージョンを運用する組織は、深刻なリスクにさらされる。
Continue reading “Zoho Analytics Plus の脆弱性 CVE-2025-8324 が FIX:認証不要の SQLi”Multiple Cisco Unified CCX Vulnerabilities Enable Arbitrary Command Execution by Attackers
2025/11/14 gbhackers — Cisco が公開したのは、Cisco Unified Contact Center Express (Unified CCX) に影響を与える重大なセキュリティ脆弱性である。この脆弱性により、未認証のリモート攻撃者が任意のコマンドを実行し、権限を root まで昇格させ、認証メカニズムの回避を可能にする。脆弱性 CVE-2025-20354/CVE-2025-20358 は、Java Remote Method Invocation (RMI) プロセスと CCX Editor アプリケーションに存在し、ユーザー企業における Contact Center 導入環境に深刻なリスクをもたらす。
Continue reading “Cisco の Unified CCX の脆弱性 CVE-2025-20354/20358 が FIX:RCE と root 権限取得の恐れ”NVIDIA NeMo Framework Vulnerabilities Allows Code Injection and Privilege Escalation
2025/11/14 CyberSecurityNews — NVIDIA が公開したのは、NeMo Framework に存在する2件の深刻な脆弱性 CVE-2025-23361/CVE-2025-33178 (CVSS:7.8) に対処する緊急セキュリティ・アップデートである。これらの脆弱性の悪用に成功した攻撃者は、影響を受けるシステム上で悪意のコードを実行し、権限昇格を可能にする。これらの脆弱性が影響を及ぼす範囲は、すべてのプラットフォームにおける NeMo Framework バージョン 2.5.0 以下となる。
Continue reading “NVIDIA NeMo Framework の脆弱性 CVE-2025-23361/33178 が FIX:コード実行と権限昇格の恐れ”Critical Imunify360 Vulnerability Exposes Millions of Linux-Hosted Sites to RCE Attacks
2025/11/14 gbhackers — 世界中で約 5,600 万の Web サイトを保護するセキュリティ製品 Imunify360 AV の、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-N/A が修正された。そのため、ホスティング企業にとって必要なことは、直ちにパッチを適用し、サーバ侵害を防ぐことである。この脆弱性の詳細は 2024年10月下旬に報告され始め、影響を受けるホスティング・プロバイダーにはサーバの完全性の確認が求められてきた。しかし、深刻な脆弱性にもかかわらず、Imunify360 チームは公式声明を発表しておらず、CVE 識別子も割り当てられていない。この問題は 2025年11月4日の時点で、Zendesk サポート・ポータルにひっそりと記載され、推定 CVSS スコア 8.2 と評価されている。
Continue reading “Imunify360 の重大な脆弱性 CVE-N/A が FIX:5,600 万以上の Web サイトが危険な状況”Cisco Catalyst Center Vulnerability Allows Attackers to Escalate Privileges
2025/11/14 gbhackers — Cisco Catalyst Center Virtual Appliance に深刻なセキュリティ脆弱性が確認されている。この脆弱性を悪用する認証済のリモート攻撃者は、影響を受けるシステム上で管理者権限に昇格する可能性を得る。この脆弱性 CVE-2025-20341 は、ユーザー入力に対する不十分な検証に起因している。この脆弱性は、VMware ESXi 上で動作する Cisco Catalyst Center Virtual Appliance に存在するため、同プラットフォームを使用する組織は早急にパッチ適用を行う必要がある。
Continue reading “Cisco Catalyst Center の脆弱性 CVE-2025-20341 が FIXの:権限昇格の可能性”FortiWeb Authentication Bypass Vulnerability Exploited – Script to Detect Vulnerable Appliances
2025/11/14 CyberSecurityNews — Fortinet の FortiWeb WAF (Web Application Firewall) に存在する、深刻な認証バイパスの脆弱性 CVE-2025-52970 を脅威アクターたちが積極的に悪用しており、防御側は警戒を強めている。watchTowr Labs の研究者たちがリリースした検出アーティファクト生成スクリプトは、ユーザー環境をスキャンして脆弱な FortiWeb アプライアンスを検出し、迅速にリスクを軽減するためのものだ。
Continue reading “FortiWeb の脆弱性 CVE-2025-52970:積極的な悪用に対する watchTowr 検出スクリプト”Clop Ransomware Group Allegedly Claims Breach of Entrust in Oracle 0-Day EBS Hack
2025/11/14 CyberSecurityNews — デジタル・セキュリティ企業 Entrust への侵入を、悪名高い Clop ランサムウェア・グループが主張している。この攻撃で悪用されたのは、Oracle E-Business Suite (EBS) の深刻なゼロデイ脆弱性 CVE-2025-61882 であり、Oracle のエンタープライズ・ソフトウェアを利用する組織を標的にした、Clop の継続的な攻撃の姿勢を示している。
Continue reading “Oracle EBS のゼロデイ CVE-2025-61882 を悪用:Clop ランサムウェアが Entrust 侵害を主張”2025/11/13 SecurityAffairs — 米国の Cybersecurity and Infrastructure Security Agency (CISA) は、WatchGuard Firebox/Microsoft Windows/Gladinet Triofox の脆弱性を Known Exploited Vulnerabilities (KEV) カタログに追加した。カタログに追加された脆弱性は以下のとおりである:
Kibana Vulnerabilities Expose Systems to SSRF and XSS Attacks
2025/11/13 gbhackers — Elastic が公表したのは、Kibana の Origin 検証のエラーに対応するセキュリティ・アドバイザリである。このエラーにより、システムがサーバサイド・リクエスト・フォージェリ (SSRF) 攻撃にさらされる可能性がある。この脆弱性 CVE-2025-37734 は Kibana の複数バージョンに影響を与えており、それらのデプロイメントに対する速やかなパッチ適用が求められている。
Continue reading “Kibana AI Assistant の脆弱性 CVE-2025-37734 が FIX:SSRF 攻撃の可能性”Palo Alto PAN-OS Firewall Vulnerability Let Attackers Reboot Firewall by Sending Malicious Packet
2025/11/13 CyberSecurityNews — Palo Alto Networks が公表したのは、PAN-OS ファイアウォール・ソフトウェアのソフトウェア・データプレーンに存在する、深刻なサービス拒否 (DoS) の脆弱性の情報である。この脆弱性を悪用する未認証の攻撃者は、細工したパケットを送信することで、リモートからのファイアウォールの再起動を可能にする。この脆弱性 CVE-2025-4619 は、CWE-754 (異常または例外的な状況に対する不適切なチェック) として識別され、ネットワーク・セキュリティのために Palo Alto ファイアウォールを利用している組織に対して、深刻なリスクをもたらすものだ。
Continue reading “Palo Alto PAN-OS Firewall の脆弱性 CVE-2025-4619 が FIX:悪意のパケットによる想定外の再起動”Critical Dell Data Lakehouse Flaw Allows Remote Attackers to Escalate Privileges
2025/11/13 gbhackers — Dell Technologies が公開したのは、Data Lakehouse プラットフォームに影響を与える深刻なセキュリティ脆弱性である。この脆弱性を悪用する高権限を持つ攻撃者は、アクセス権限を昇格してシステムの整合性を侵害する可能性を得る。この脆弱性 CVE-2025-46608 の CVSS スコアは 9.1 であり、影響を受ける環境に対するリスクが極めて高いことを示している。
Continue reading “Dell Data Lakehouse の脆弱性 CVE-2025-46608 が FIX:権限昇格とシステム整合性の侵害”Hackers Actively Exploiting Cisco and Citrix 0-Days in the Wild to Deploy Webshell
2025/11/12 CyberSecurityNews — Cisco Identity Services Engine (ISE) および Citrix のゼロデイ脆弱性を、高度なハッキンググループが積極的に悪用している。実環境で確認されている一連の攻撃において、ハッカーたちはカスタム Web シェルを展開し、企業ネットワークの深層へのアクセスを得ている。調査結果が浮き彫りにするのは、ユーザー・ログインとネットワーク制御の管理を担う主要システムを標的とする攻撃者が、企業を高いリスクにさらしているという実態である。
Continue reading “Cisco の CVE-2025-20337 と Citrix の CVE-2025-5777 が標的:実環境での Webshell デプロイを観測”2025/11/12 CyberSecurityNews — Apache OpenOffice がリリースしたバージョン 4.1.16 では、不正なリモート・ドキュメント読み込みやメモリ破損攻撃を可能にする7件の深刻なセキュリティ脆弱性が修正されている。これらの脆弱性は、人気の高いオープンソース Office Suite のユーザーにとって深刻なセキュリティ・リスクとなるものだ。最も深刻な脆弱性は、ユーザーへの確認や警告なしに不正なリモート・コンテンツを読み込む点にある。これらの脆弱性を悪用する攻撃者は、複数の攻撃経路を通じて悪意の外部ドキュメントを読み込む可能性を得る。
Continue reading “Apache OpenOffice の複数の脆弱性が FIX:不正なドキュメント読み込みやメモリ破損に対処”Hackers Exploit SSRF Flaw in Custom GPTs to Steal ChatGPT Secrets
2025/11/12 gbhackers — OpenAI の ChatGPT にサーバサイド・リクエスト・フォージェリ (SSRF) の脆弱性が存在することを、サイバー・セキュリティ研究者が発見した。Custom GPT 機能に存在する脆弱性を悪用する攻撃者は、Azure 管理 API トークンなどの機密性の高いクラウド・インフラ・シークレットにアクセスする可能性があった。この問題は、OpenAI のバグ報奨金プログラムを通じて公開され、直ちに修正されたが、改めて浮き彫りにされたのは、クラウド・ベースの AI サービスにおける SSRF の危険性である。
Continue reading “ChatGPT の Custom GPT に SSRF の脆弱性:クラウド IMDS へのエスカレーションも確認”Citrix NetScaler ADC and Gateway Vulnerability Enables Cross-Site Scripting Attacks
2025/11/12 CyberSecurityNews — Cloud Software Group が公開したのは、Citrix NetScaler ADC/NetScaler Gateway 製品に影響を与えるクロスサイト・スクリプティング (XSS) の脆弱性 CVE-2025-12101 (CVSSv4:5.9) である。この脆弱性を悪用する攻撃者は、ユーザーが閲覧する Web ページに悪意のスクリプトを挿入し、セッション・ハイジャック/データ窃取/不正な操作などを引き起こす可能性を得る。ネットワークからの悪用が可能であるが、ユーザーの操作に依存すると指摘されている。
Continue reading “Citrix NetScaler ADC/Gateway の脆弱性 CVE-2025-12101 が FIX:XSS 攻撃の恐れ”SecureVibes – AI Tool Scans for Vulnerabilities in 11 Languages with Claude AI Agents
2025/11/12 CyberSecurityNews — AI を活用してアプリケーションを迅速に構築する、Vibecoding という手法が急速に進化を遂げる世界へ向けて、セキュリティ・リスクを低減する新たなオープンソース・ツールが登場した。Anshuman Bhartiya が開発した SecureVibes は、マルチエージェント・システムを通じて Anthropic の Claude AI を活用し、コードベースの脆弱性を自動検出する。2025年10月にリリースされた Python ベースのスキャナー SecureVibes は、深い専門知識を必要とせずにプロレベルのセキュリティ分析を可能にすることを目指している。
Continue reading “SecureVibes が脆弱性を自動検出:Claude AI Agents を介して 11種類の言語をサポート”
IoT OT Security News 
You must be logged in to post a comment.