Triple Threat in Frappe Framework: SQL Injection, RCE, and Info Disclosure Fixed in Recent Patches
2025/03/27 SecurityOnline — ERPNext などのデータベース駆動型アプリケーションを支える、フルスタック Web フレームワーク Frappe Framework に、複数の深刻なセキュリティ脆弱性が発生した。Frappe は、Python/JavaScript ベースの多用途 Web フレームワークであり、データベース・セントリックなアプリケーションの開発を簡素化する。その堅牢な機能セットにより、複雑な Web ソリューションの構築に多用されている。
Continue reading “Frappe Framework の深刻な3つの脆弱性が FIX:SQLi/RCE/情報漏洩の恐れ”1.08M Downloads at Risk: Volt Fixes Severe RCE Vulnerability (CVE-2025-27517)
2025/03/09 SecurityOnline — Livewire で広く採用され、ダウンロード数が 108 万回を超える Functional API の Volt が、深刻なリモート・コード実行 (RCE) 脆弱性 CVE-2025-27517 に対する、パッチ適用を発表した。Volt を使用する開発者は、PHP ロジックと Blade テンプレートを単一ファイル・コンポーネント内でシームレスに統合できる。ただし、そのためのリクエスト処理メカニズムで発見された欠陥により、深刻なセキュリティ・リスクが生じている。
Continue reading “Volt の RCE 脆弱性 CVE-2025-27517 が FIX:任意の PHP コード実行の可能性”ShadowSyndicate Ransomware Gang Targets aiohttp CVE-2024-23334 Flaw: Patch Now!
2024/03/15 SecurityOnline — 人気の Python Web Framework である AIOHTTP の、最近にパッチが適用された脆弱性が、悪名高いランサムウェア・オペレーターたちに悪用されたことが、Cyble Global Sensor Intelligence (CGSI) の調査により判明した。この脆弱性 CVE-2024-23334 (CVSS:7.5) の悪用に成功した攻撃者は、AIOHTTP の古いバージョンを実行しているサーバ上の機密ファイルに、自由にアクセスする可能性を得るという。
Continue reading “AIOHTTP の脆弱性 CVE-2024-23334 と PoC:ShadowSyndicate による悪用を確認”
IoT OT Security News 