2025年12月24日 (水)

■12/14(日)〜12/20(土) のセキュリティ関連情報

目 次
【1】Firefoxに複数の脆弱性
【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
【5】Google Chromeに複数の脆弱性
【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
【7】複数のApple製品に脆弱性
【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Firefoxに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/

概要
Firefoxには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-97/


【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
情報源
https://systeminformation.io/security.html

概要
Node.jsライブラリ「systeminformation」のfsSize関数には、OSコマンドインジェクションの脆弱性(CVE-2025-68154)があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-wphj-fx3q-84ch


【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019

概要
SonicWallのSMA1000シリーズには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。複数の海外セキュリティ機関が、本脆弱性と他の脆弱性(CVE-2025-23006)との組み合わせにより、遠隔からroot権限でコード実行を行う悪用事例について言及しています。詳細は、開発者が提供する情報を参照してください。


【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

概要
Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerには、不適切な入力確認の脆弱性があります。特定の条件下で利用している場合、遠隔からroot権限で任意のコマンドを実行可能とのことです。なお、Ciscoは前述の条件下で利用される製品が侵害された事例を確認しているとのことです。開発者は、この問題を緩和するための推奨事項を公開しています。詳細は、開発者が提供する情報を参照してください。

関連文書
https://blog.talosintelligence.com/uat-9686/


【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
情報源
https://jvn.jp/jp/JVN51846148/

概要
セイコーエプソン株式会社が提供する複数のプリンター製品に導入されているWeb Configには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。なお、開発者は、対策ファームウェアの提供予定のない製品については、ワークアラウンドの適用を強く推奨しています。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.epson.jp/support/misc_t/251216_oshirase.htm


【7】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125884

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは、今回修正された脆弱性の一部について、特定の個人を標的とした限定的な攻撃で悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書
https://support.apple.com/ja-jp/125885

https://support.apple.com/ja-jp/125886

https://support.apple.com/ja-jp/125887

https://support.apple.com/ja-jp/125888

https://support.apple.com/ja-jp/125889

https://support.apple.com/ja-jp/125890

https://support.apple.com/ja-jp/125891

https://support.apple.com/ja-jp/125892


【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20251216.html

概要
独立行政法人情報処理推進機構(IPA)は、「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開しました。年末年始における、個人の利用者、企業や組織の利用者、企業や組織の管理者、それぞれの対象者に対して取るべき対策を説明しています。

投稿時刻 13:21 セキュリティ | | コメント (0)

2025年12月17日 (水)

■12/07(日)〜12/13(土) のセキュリティ関連情報

目 次
【1】Gogsにリモートコード実行可能な脆弱性
【2】QNDに権限昇格の脆弱性
【3】ブラザー製iPrint&Scanにバンドルされている.NET 8.0に複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】GitLabに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Apache Struts 2にサービス運用妨害(DoS)の脆弱性
【8】複数のFortinet製品に脆弱性
【9】エレコム製クローン for Windowsに引用符で囲まれていないファイルパスの脆弱性
【10】複数のアドビ製品に脆弱性
【11】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Gogsにリモートコード実行可能な脆弱性
情報源
https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

概要
Gogsには、リモートコード実行可能な脆弱性があります。海外セキュリティ企業Wizは、本脆弱性を悪用する攻撃を確認しており、インターネットに公開されている700件以上のGogsサーバーが侵害されている可能性を指摘しています。本記事執筆時点において、この問題を修正するアップデートは提供されていませんが、Wizから緩和策や攻撃の痕跡に関する情報が提供されています。詳細は、Wizが提供する情報を参照してください。また、今後開発者から提供される情報を注視してください。

関連文書
https://www.cve.org/CVERecord?id=CVE-2025-8110


【2】QNDに権限昇格の脆弱性
情報源
https://jvn.jp/jp/JVN40102375/

概要
クオリティソフト株式会社が提供するQNDには、権限昇格の脆弱性があります。この問題は、当該製品に開発者が提供するパッチを適用することで解決します。なお、パッチ適用にあたり、事前にバージョンをVer.11.0.9iにする必要があります。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.qualitysoft.com/product/qnd_vulnerabilities_2025/


【3】ブラザー製iPrint&Scanにバンドルされている.NET 8.0に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99295063/

概要
ブラザー工業株式会社が提供するiPrint&Scanには.NET 8.0コンポーネントがバンドルされており、それらコンポーネントに複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13714


【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/


【5】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/12/10/patch-release-gitlab-18-6-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。開発者によると、今回修正された一部の脆弱性の悪用を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【7】Apache Struts 2にサービス運用妨害(DoS)の脆弱性
情報源
https://jvn.jp/vu/JVNVU95258252/

概要
The Apache Software Foundationが提供するApache Struts 2には、サービス運用妨害(DoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://cwiki.apache.org/confluence/display/WW/S2-068

https://struts.apache.org/announce-2025#a20251201


【8】複数のFortinet製品に脆弱性
情報源
https://www.fortiguard.com/psirt/FG-IR-25-647

概要
複数のFortinet製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.fortiguard.com/psirt?filter=1


【9】エレコム製クローン for Windowsに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN33172708/

概要
エレコム株式会社が提供するクローン for Windowsには、Windowsサービス登録時にプログラムのファイルパスが引用符で囲まれていない脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.elecom.co.jp/news/security/20251209-01/


【10】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250026.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://helpx.adobe.com/security/security-bulletin.html


【11】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250025.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトによると、今回修正された一部の脆弱性を悪用する攻撃を確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/12/202512-security-update/

投稿時刻 17:19 セキュリティ | | コメント (0)

2025年12月10日 (水)

■11/30(日)〜12/06(土) のセキュリティ関連情報

目 次
【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】JPCERT/CCが「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開
【4】Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97286548/

概要
Apache HTTP Server 2.4には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.66


【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】JPCERT/CCが「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開
情報源
https://www.jpcert.or.jp/newsflash/2025120501.html

概要
JPCERT/CCは、「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開しました。攻撃者が細工したHTTPリクエスト(HTTP経由の不正なFlightペイロード)をReact Server Components(RSC)を処理するサーバーに送信することで、リモートコード実行につながる可能性があります。JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。React Server Componentsまたは影響対象のフレームワークを使用している場合、開発元が提供する情報を参照し、対策や調査の実施をご検討ください。
関連文書
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components


【4】Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250024.html

概要
Array Networksが提供するArray AGシリーズのDesktopDirect機能には、コマンドインジェクションの脆弱性があります。JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://x.com/ArraySupport/status/1921373397533032590

投稿時刻 13:18 セキュリティ | | コメント (0)

2025年12月 3日 (水)

11/23(日)〜11/29(土) のセキュリティ関連情報

目 次
【1】JavaScriptライブラリ「Forge」に署名検証不備の脆弱性
【2】GitLabに複数の脆弱性
【3】ASUS製ルーターに複数の脆弱性
【4】Fluent Bitに複数の脆弱性
【5】インターコム製MaLionの端末エージェント(Windows)に複数の脆弱性
【6】ソニー製SNC-CX600Wに複数の脆弱性
【7】スマートフォンアプリ「FOD」 にハードコードされた暗号鍵使用の脆弱性
【8】JPCERT/CC ベストレポーター賞 2025
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】JavaScriptライブラリ「Forge」に署名検証不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU90064104/

概要
JavaScriptライブラリForge(npmパッケージではnode-forgeとして利用可能)には、メッセージ認証コード(MAC)データなどのフィールドが細工されたASN.1構造のデータを処理する際に、署名検証がバイパスされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/digitalbazaar/forge/pull/1116


【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】ASUS製ルーターに複数の脆弱性
情報源
https://www.bleepingcomputer.com/news/security/asus-warns-of-new-critical-auth-bypass-flaw-in-aicloud-routers/

概要
ASUSが提供するルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.asus.com/security-advisory/


【4】Fluent Bitに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98826583/

概要
Fluent Bitには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fluentbit.io/announcements/v4.1.0/


【5】インターコム製MaLionの端末エージェント(Windows)に複数の脆弱性
情報源
https://jvn.jp/jp/JVN76298784/

概要
株式会社インターコムが提供するMaLionの端末エージェント(Windows)には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intercom.co.jp/information/2025/1125.html


【6】ソニー製SNC-CX600Wに複数の脆弱性
情報源
https://jvn.jp/jp/JVN75140384/

概要
ソニー株式会社が提供するSNC-CX600Wには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、一部の脆弱性においては、推奨されるワークアラウンドを実施することで、影響を緩和することが可能です。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sony.jp/snc/download/service/verup_vb600_vm600.html


【7】スマートフォンアプリ「FOD」 にハードコードされた暗号鍵使用の脆弱性
情報源
https://jvn.jp/jp/JVN63368617/

概要
株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、ハードコードされた暗号鍵使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://help.fod.fujitv.co.jp/hc/ja/articles/48337068747033


【8】JPCERT/CC ベストレポーター賞 2025
情報源
https://www.jpcert.or.jp/award/best-reporter-award/2025.html

概要
JPCERT/CCは11月27日、ベストレポーター賞2025の受賞者を発表しました。ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、記念品の贈呈とともに感謝の意を表するものです。
JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

投稿時刻 13:42 セキュリティ | | コメント (0)

2025年11月27日 (木)

■11/16(日)〜11/22(土) のセキュリティ関連情報

目 次
【1】LogStare Collectorに複数の脆弱性
【2】EPSON WebConfig / Epson Web Controlに過度な認証試行の不適切な制限の脆弱性
【3】複数のAtlassian製品に脆弱性
【4】SonicWallのSonicOSにスタックベースのバッファオーバーフローの脆弱性
【5】FortinetのFortiWebにOSコマンドインジェクションの脆弱性
【6】PostgreSQLのpgAdminに複数の脆弱性
【7】Google Chromeに複数の脆弱性
【8】JPCERT/CCが「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】LogStare Collectorに複数の脆弱性
情報源
https://jvn.jp/jp/JVN77560819/

概要
株式会社LogStareが提供するLogStare Collectorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.logstare.com/vulnerability/2025-001/


【2】EPSON WebConfig / Epson Web Controlに過度な認証試行の不適切な制限の脆弱性
情報源
https://jvn.jp/vu/JVNVU95021911/

概要
セイコーエプソン株式会社が提供する一部のプロジェクターのEPSON WebConfig / Epson Web Controlには、過度な認証試行の不適切な制限の脆弱性があります。この問題は、修正済みのファームウェアに更新する、またはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.epson.jp/support/misc_t/251120_oshirase.htm


【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【4】SonicWallのSonicOSにスタックベースのバッファオーバーフローの脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0016

概要
SonicWallが提供するSonicOSには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【5】FortinetのFortiWebにOSコマンドインジェクションの脆弱性
情報源
https://fortiguard.fortinet.com/psirt/FG-IR-25-513

概要
Fortinetが提供するFortiWebには、OSコマンドインジェクションの脆弱性があります。開発者は、本脆弱性が悪用されていることを確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】PostgreSQLのpgAdminに複数の脆弱性
情報源
https://www.postgresql.org/about/news/pgadmin-4-v910-released-3173/

概要
PostgreSQLが提供するpgAdminには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。開発者は、今回修正された一部の脆弱性が悪用された可能性があるとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【8】JPCERT/CCが「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/11/YAMAGoya.html

概要
JPCERT/CCは、「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開しました。本ブログでは、SigmaおよびYARAルールを直接利用できるオープンソースのスレットハンティングツールであるYAMAGoyaについて解説しています。
関連文書
https://github.com/JPCERTCC/YAMAGoya

投稿時刻 15:45 セキュリティ | | コメント (0)

2025年11月19日 (水)

■11/09(日)〜11/15(土) のセキュリティ関連情報

目 次
【1】FortinetのFortiWebに相対パストラバーサルの脆弱性
【2】Cisco Catalyst Centerに複数の脆弱性
【3】Drupal coreに複数の脆弱性
【4】GitLabに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のMozilla製品に脆弱性
【7】Google Chromeにヒープ破壊される可能性のある脆弱性
【8】複数のSAP製品に脆弱性
【9】QNAP製OS QTSおよびQuTS heroに複数の脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】FortinetのFortiWebに相対パストラバーサルの脆弱性
情報源
https://fortiguard.fortinet.com/psirt/FG-IR-25-910

概要
Fortinetが提供するFortiWebには、相対パストラバーサルの脆弱性があります。開発者は、本脆弱性が悪用されていることを確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【2】Cisco Catalyst Centerに複数の脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-priv-esc-VS8EeCuX

概要
Cisco Catalyst Centerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【3】Drupal coreに複数の脆弱性
情報源
https://www.drupal.org/sa-core-2025-005

概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.drupal.org/security


【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/11/12/patch-release-gitlab-18-5-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【5】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU90530817/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html


【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-91/


【7】Google Chromeにヒープ破壊される可能性のある脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html

概要
Google Chromeには、ヒープ破壊される可能性のある脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【8】複数のSAP製品に脆弱性
情報源
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【9】QNAP製OS QTSおよびQuTS heroに複数の脆弱性
情報源
https://www.qnap.com/en/security-advisory/qsa-25-45

概要
QNAP製NAS製品に搭載されるOS QTSおよびQuTS heroには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250023.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/11/202511-security-update/

投稿時刻 13:46 セキュリティ | | コメント (0)

2025年11月12日 (水)

■11/02(日)〜11/08(土) のセキュリティ関連情報

目 次
【1】バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性
【2】CLUSTERPRO XにOSコマンドインジェクションの脆弱性
【3】GROWIに格納型クロスサイトスクリプティングの脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のCisco製品に脆弱性
【6】複数のApple製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性
情報源
https://jvn.jp/jp/JVN13754005/

概要
株式会社バッファローが提供するWi-Fiルーター「WSR-1800AX4シリーズ」には、強度が不十分なパスワードハッシュの使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20251107-01.html


【2】CLUSTERPRO XにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN59387134/

概要
日本電気株式会社が提供するCLUSTERPRO X(英語名:EXPRESSCLUSTER X)には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-006.html

https://jpn.nec.com/security-info/secinfo/nv25-006_en.html


【3】GROWIに格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN95942191/

概要
株式会社GROWIが提供するGROWIには、格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://growi.co.jp/news/39/


【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【5】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-unauth-rce-QeN8h7mQ

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計4件(Critical 1件、High 1件、Medium 2件)公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x


【6】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125632

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/100100

投稿時刻 17:38 セキュリティ | | コメント (0)

2025年11月 6日 (木)

■10/26(日)〜11/01(土) のセキュリティ関連情報

【1】Apache Tomcatに複数の脆弱性
【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性
【3】Google Chromeに複数の脆弱性
【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性
【5】NCAが「CSIRTスタータキット V3」を公開
【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開
【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Apache Tomcatに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95235705/

概要
Apache Tomcatには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

概要
Mozillaが提供するFirefoxには、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU90150763/

概要
TP-LINKが提供するOmadaゲートウェイには、複数のOSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.omadanetworks.com/en/document/108455/


【5】NCAが「CSIRTスタータキット V3」を公開
情報源
https://www.nca.gr.jp/activity/pub_doc/csirtstarterkit.html

概要
一般社団法人日本シーサート協議会(NCA)が、「CSIRTスタータキット V3」を公開しました。CSIRTの新規設立や体制整備を検討している組織向けに必要な規程や手順などについて整理されたガイドとしている、とのことです。


【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開
情報源
https://www.jpcert.or.jp/newsflash/2025102901.html

概要
JPCERT/CCは、「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開しました。Webアプリケーションの構築に際し、Webフレームワークなどに推測可能な弱いシークレットなどを設定して本番運用しているサイトが攻撃者の標的となる事案が観測されており、対処を呼び掛けています。


【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/10/APT-C-60_update.html

概要
JPCERT/CCは、「攻撃グループAPT-C-60による攻撃のアップデート」を公開しました。当攻撃グループに関し昨年11月に公開した情報に続き、今回は2025年6月から8月にかけて確認した攻撃について、前回の観測からのアップデートを中心に解説しています。

投稿時刻 13:38 セキュリティ | | コメント (0)

2025年10月29日 (水)

■10/19(日)〜10/25(土) のセキュリティ関連情報

目 次
【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
【2】複数のAtlassian製品に脆弱性
【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
【4】2025年10月Oracle Critical Patch Updateについて
【5】Squidに情報漏えいの脆弱性
【6】JAIPA Cloud Conference 2025開催のお知らせ
【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
【8】ISC BIND 9における複数の脆弱性について(2025年10月)
【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性(CVE-2025-9242)について
【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性(CVE-2025-61932)について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN20611740/

概要
株式会社インプリムが提供するプリザンターには、複数の格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-20251024


【2】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN03295012/

概要
株式会社アイ・オー・データ機器が提供するNarSuSアプリには、引用符で囲まれていないファイルパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/10_NarSuS_App


【4】2025年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。


【5】Squidに情報漏えいの脆弱性
情報源
https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr

概要
Squidには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】JAIPA Cloud Conference 2025開催のお知らせ
情報源
https://cloudconference.jaipa.or.jp/

概要
2025年11月6日、一般社団法人 日本インターネットプロバイダー協会 クラウド部会が「JAIPA Cloud Conference 2025」を開催します。クラウドサービスプロバイダー(IaaS/PaaS/SaaS)、システムインテグレーター、ソリューションベンダーなどが参加するイベントです。JPCERT/CCはJAIPA Cloud Conference 2025を後援しています。参加費は無料で、参加には事前の申し込みが必要です。


【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
情報源
https://www.meti.go.jp/press/2025/10/20251024002/20251024002.html

概要
経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開しました。本ガイドラインは、主に半導体デバイスメーカーの製造部門(実務者レベル)を想定読者としており、国家の支援を受けたグループ(APT)を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針が示されています。


【8】ISC BIND 9における複数の脆弱性について(2025年10月)
情報源
https://www.jpcert.or.jp/newsflash/2025102401.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2025-8677

https://kb.isc.org/docs/cve-2025-40778

https://kb.isc.org/docs/cve-2025-40780

https://jvn.jp/vu/JVNVU94483818


【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性(CVE-2025-9242)について
情報源
https://www.jpcert.or.jp/newsflash/2025102101.html

概要
WatchGuard製ファイアウォール「Firebox」のikedには、境界外書込みの脆弱性があります。本脆弱性が悪用されると、遠隔の第三者に認証を回避され、任意のコードを実行される可能性があります。JPCERT/CCでは、実証コードが公開されていることを確認しています。また、本脆弱性の影響を受ける製品が国内で広く利用されていることを確認しており、速やかな対策の実施を推奨します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015


【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性(CVE-2025-61932)について
情報源
https://www.jpcert.or.jp/newsflash/2025102001.html

概要
エムオーテックス株式会社のLANSCOPE エンドポイントマネージャー オンプレミス版には、通信チャネルの送信元検証不備の脆弱性があります。開発者によると、国内の顧客環境において特定のポートに不正なパケットを受信する事例が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.motex.co.jp/news/notice/2025/release251020/

https://jvn.jp/jp/JVN86318557/

投稿時刻 13:08 セキュリティ | | コメント (0)

2025年10月23日 (木)

■10/12(日)〜10/18(土) のセキュリティ関連情報

目 次
【1】複数のSAP製品に脆弱性
【2】desknet's NEOに複数の脆弱性
【3】ChatLuckに複数の脆弱性
【4】複数のF5製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに解放済みメモリの使用の脆弱性
【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/october-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【2】desknet's NEOに複数の脆弱性
情報源
https://jvn.jp/jp/JVN90757550/

概要
株式会社ネオジャパンが提供するグループウェア「desknet's NEO」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.desknets.com/neo/support/mainte/17475/


【3】ChatLuckに複数の脆弱性
情報源
https://jvn.jp/jp/JVN13030751/

概要
株式会社ネオジャパンが提供するビジネスチャットツール「ChatLuck」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.chatluck.com/support/package/mainte/pchatluck-製品における、複数のセキュリティ上の問題に/


【4】複数のF5製品に脆弱性
情報源
https://my.f5.com/manage/s/article/K000154696

概要
F5は、2025年10月15日(現地時間)、BIG-IP製品の開発環境やエンジニアリングナレッジ管理プラットフォームに攻撃者が侵入し、ファイルを流出させた事実を本年8月に確認していたことを公表しました。流出したファイルには、BIG-IP製品のソースコードの一部やBIG-IPで対応中の未公表脆弱性に関する情報が含まれていたとのことです。同社は同日、BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアドバイザリを公表しており、迅速なアップデートをユーザーに推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000156572


【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/


【6】Google Chromeに解放済みメモリの使用の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

概要
Google Chromeには解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2025/QR_FY2025-Q2.pdf

概要
JPCERT/CCは、2025年7月から9月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。


【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250022.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/

投稿時刻 14:17 セキュリティ | | コメント (0)

»