XML-Crypto – IoT OT Security News

Node.js ライブラリ xml-crypto の脆弱性 CVE-2025-29774／29775 が FIX：IoC も提供

Million-Download Node.js Library xml-crypto Hit by Critical Security Flaws (CVE-2025-29774, CVE-2025-29775)

2025/03/18 SecurityOnline — Node.js 向けの XML デジタル署名／暗号化ライブラリである xml-crypto に、２つの深刻な脆弱性が発見された。毎週 110万回以上ダウンロードを誇る、このライブラリの脆弱性を放置すると、XML 署名検証を利用するアプリケーションに広範な影響が生じる。

XML-Crypto の脆弱性 CVE-2024-32962 が FIX：CVSS 値は 10.0

CVE-2024-32962 (CVSS 10): Critical Vulnerability in XML-Crypto Affects Millions

2024/05/01 SecurityOnline — XML ドキュメントの暗号セキュリティにおいて、広く使用されている不可欠なツール XML-Crypto npm パッケージに、深刻なセキュリティ上の欠陥が発見された。この脆弱性には CVE-2024-32962 が採番され、その深刻度は CVSS 値 10.0 と評価されている。この脆弱性は、電子署名の真正性を適切に検証しないという、同パッケージのデフォルト設定における基本機能の欠陥に起因しており、悪用に成功した攻撃者に対して、なりすまし署名を許してしまう。

API (238)
APT (523)
Asia (398)
AuthN AuthZ (789)
BruteForce (66)
BugBounty (73)
CyberAttack (3,201)
DarkWeb (228)
DataBreach (550)
DataLeak (194)
DDoS (164)
DoubleExtortion (15)
Exploit (1,361)
Literacy (2,281)
LOLbin (57)
MageCartAttack (14)
Malware (1,421)
MCP (16)
MisConfiguration (57)
NHI (8)
Outage (106)
ParadigmShift (181)
Privacy (240)
Protection (649)
RaaS (121)
Ransomware (721)
RAT (777)
Repository (325)
Research (1,210)
Resilience (133)
Scammer (614)
SecTools (210)
SocialEngineering (47)
SupplyChain (404)
TTP (1,001)
Uncategorized (11)
Vulnerability (4,503)
WateringHoleAttack (4)
Zero Trust (382)
_AI/ML (306)
_CDN (4)
_Cloud (364)
_Container (73)
_CryptCcurrency (40)
_Defence (162)
_Education (8)
_Finance (160)
_Government (1,037)
_HealthCare (47)
_Human (51)
_ICS (85)
_IDS/IPS (182)
_Industry (221)
_Infrastructure (129)
_Mobile (162)
_OpenSource (1,385)
_PLC (39)
_Regulation (158)
_Retail (76)
_RTOS (6)
_Space (26)
_Statistics (415)
_Storage (70)
_Telecom (77)
_Transportation (56)