ミニ・いんふぉめーしょん

目　次
【1】Web Caster V130にクロスサイトリクエストフォージェリの脆弱性
【2】セイコーソリューションズ製SkyBridge BASIC MB-A130にOSコマンドインジェクションの脆弱性
【3】フィッシング対策協議会20周年記念セミナー開催のご案内
【4】JPCERT/CCが「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Web Caster V130にクロスサイトリクエストフォージェリの脆弱性
情報源
https://jvn.jp/jp/JVN65839588/

概要
NTT東日本株式会社およびNTT西日本株式会社が提供するWeb Caster V130には、クロスサイトリクエストフォージェリの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ntt-east.co.jp/info/detail/220903_01.html

https://www.ntt-west.co.jp/info/support/oshirase20250903.html

【2】セイコーソリューションズ製SkyBridge BASIC MB-A130にOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN22016482/

概要
セイコーソリューションズ株式会社が提供するSkyBridge BASIC MB-A130には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seiko-sol.co.jp/archives/90289/

【3】フィッシング対策協議会20周年記念セミナー開催のご案内
情報源
https://www.antiphishing.jp/news/event/antiphishing_seminar2025.html

概要
2025年11月14日、フィッシング対策協議会は、「フィッシング対策協議会20周年記念セミナー」を開催します。フィッシング詐欺に関連する法執行機関、金融機関、学術機関などから有識者を招き、フィッシングの傾向とその対応策などを紹介します。また、会場にはフィッシング対策サービスや各種ソリューションの展示ブースも設置予定です。

【4】JPCERT/CCが「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/09/rust_research.html

概要
JPCERT/CCは、「Rustで作成されたバイナリのリバースエンジニアリング調査レポート」を公開しました。本レポートは、Rustで作成されたバイナリに対するリバースエンジニアリングに関して検証した結果をまとめています。
関連文書
https://github.com/JPCERTCC/rust-binary-analysis-research-ja

目　次
【1】コニカミノルタ製bizhubシリーズにサービス運用妨害（DoS）の脆弱性
【2】複数のiND製品に脆弱性
【3】GitLabに複数の脆弱性
【4】複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性
【5】SS1に複数の脆弱性
【6】ScanSnap Managerのインストーラに権限昇格につながる脆弱性
【7】Google Chromeに脆弱性
【8】複数のHTTP/2サーバー実装におけるストリームリセット処理の不備
【9】IPAが「企業における営業秘密管理に関する実態調査2024」を公開
【10】Citrix Netscaler ADCおよびGatewayに脆弱性
【11】制御システムセキュリティカンファレンス2026講演募集
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】コニカミノルタ製bizhubシリーズにサービス運用妨害（DoS）の脆弱性
情報源
https://jvn.jp/vu/JVNVU99831542/

概要
コニカミノルタ株式会社が提供するbizhubシリーズには、不正な形式のファイルをインポートすることによりサービス運用妨害（DoS）を引き起こされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.konicaminolta.jp/business/support/important/250829_01_01.html

【2】複数のiND製品に脆弱性
情報源
https://jvn.jp/jp/JVN50585992/

概要
株式会社iNDが提供する複数の製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.i-netd.co.jp/vulnerability/dceid-2025-001/

【3】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/08/27/patch-release-gitlab-18-3-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のi-フィルター製品に不適切なファイルアクセス権設定の脆弱性
情報源
https://jvn.jp/jp/JVN55678602/

概要
デジタルアーツ株式会社が提供する複数のi-フィルター製品には、不適切なファイルアクセス権設定の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.daj.jp/shared/php/downloadset/c/parts.php?page=dl&filename=information_20250827_01.pdf

https://www.daj.jp/shared/php/downloadset/c/parts.php?page=dl&filename=information_20250827_02.pdf

【5】SS1に複数の脆弱性
情報源
https://jvn.jp/jp/JVN99577552/

概要
株式会社ディー・オー・エスが提供するSS1には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.dos-osaka.co.jp/news/2025/08/250827.html

【6】ScanSnap Managerのインストーラに権限昇格につながる脆弱性
情報源
https://jvn.jp/jp/JVN69684540/

概要
ScanSnap Managerのインストーラには、権限昇格につながる脆弱性があります。開発者によると、当該製品はサポートを終了しているとのことです。開発者が提供する情報を確認し、該当製品の使用停止および後継製品ScanSnap Homeへの移行を検討してください。
関連文書
https://www.pfu.ricoh.com/imaging/news/news20230606.html

【7】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_26.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のHTTP/2サーバー実装におけるストリームリセット処理の不備
情報源
https://jvn.jp/vu/JVNVU92928084/

概要
複数のHTTP/2サーバー実装に対して、ストリームリセット処理の不備に関する「MadeYouReset」と呼ばれる脆弱性（CVE-2025-8671）が報告されています。幾つかの製品ベンダーは、この問題への対策に関する情報を提供しています。各製品ベンダーの対応状況については、JVNおよびCERT/CCの情報を参照してください。
関連文書
https://www.kb.cert.org/vuls/id/767506

【9】IPAが「企業における営業秘密管理に関する実態調査2024」を公開
情報源
https://www.ipa.go.jp/pressrelease/2025/press20250829.html

概要
独立行政法人情報処理推進機構（IPA）は、「企業における営業秘密管理に関する実態調査2024」を公開しました。この調査は、企業・組織のセキュリティ実務担当者や経営層を対象にしており、企業における営業秘密の漏えいの発生状況、漏えい対策等の実態をまとめています。

【10】Citrix Netscaler ADCおよびGatewayに脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250018.html

概要
Citrix Netscaler ADCおよびGatewayには、複数の脆弱性があります。これらの脆弱性のうち、任意のコード実行などにつながる脆弱性（CVE-2025-7775）の悪用を開発元は確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694938

【11】制御システムセキュリティカンファレンス2026講演募集
情報源
https://www.jpcert.or.jp/event/ics-conf-cfp2026/

概要
JPCERTコーディネーションセンターは、2026年2月10日（火）に「制御システムセキュリティカンファレンス2026」の開催を予定しております。現在、講演希望者を広く募集しています。講演をご希望の方は、URLに記載の開催概要とCFP募集要項をお読みいただき、講演申込事項を記載の上、メールにてCFP担当までお送りください。

目　次
【1】複数のApple製品に境界外書き込みの脆弱性
【2】Movable Typeに複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに脆弱性
【5】JPCERT/CCが「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開
【6】フィッシング対策協議会が「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のApple製品に境界外書き込みの脆弱性
情報源
https://support.apple.com/ja-jp/124925

概要
複数のApple製品には、境界外書き込みの脆弱性があります。Appleは、今回修正された脆弱性について、特定の個人を標的とした限定的な攻撃で悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/124926

https://support.apple.com/ja-jp/124927

https://support.apple.com/ja-jp/124928

https://support.apple.com/ja-jp/124929

【2】Movable Typeに複数の脆弱性
情報源
https://jvn.jp/jp/JVN76729865/

概要
シックス・アパート株式会社が提供するMovable Typeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2025/08/20-1100.html

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-64/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Firefox for iOS、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-65/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-66/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-67/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-68/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-69/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-70/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-71/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-72/

【4】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_19.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】JPCERT/CCが「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開
情報源
https://www.jpcert.or.jp/ics/20250821_ICSsecStandards-08.pdf

概要
JPCERT/CCは、「標準から学ぶICSセキュリティ #8 ICSのシステムに対するセキュリティ要件」を公開しました。ICSのシステムに対するセキュリティ認証基準をベースに、ICSのシステムが満たすべきセキュリティ要件を定義した IEC62443-3-3 「システムのセキュリティ要件とセキュリティ水準」について解説しています。
関連文書
https://www.jpcert.or.jp/ics/information07.html

【6】フィッシング対策協議会が「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_explaindoc_20250819.html

概要
フィッシング対策協議会の証明書普及促進ワーキンググループは、「SSL/TLSサーバー証明書における 有効期間短縮化について」を公開しました。2025年4月にパブリックな証明書の要件を定める業界団体CA/Browser Forumで可決されたサーバー証明書の有効期限の段階的な短縮により、最終的に2029年3月15日以降に発行されるサーバー証明書の最大有効期間は47日まで短縮されます。本ドキュメントでは、この有効期間を短縮する目的について解説しています。

目　次
【1】PostgreSQLに複数の脆弱性
【2】Seagate Toolkitに引用符で囲まれていない検索パスの脆弱性
【3】複数のIntel製品に脆弱性
【4】GitLabに複数の脆弱性
【5】複数のSAP製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】JPCERT/CCが「Cobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻撃」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに複数の脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-176-1610-1514-1419-1322-and-18-beta-3-released-3118/

概要
PostgreSQLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Seagate Toolkitに引用符で囲まれていない検索パスの脆弱性
情報源
https://jvn.jp/jp/JVN89385114/

概要
Seagate Technologyが提供するSeagate Toolkitには、引用符で囲まれていない検索パスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.seagate.com/product-security/#security-advisories

【3】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU90372902/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/08/13/patch-release-gitlab-18-2-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/august-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】JPCERT/CCが「Cobalt Strike Beaconの機能をクロスプラットフォームへと拡張するツール「CrossC2」を使った攻撃」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/08/crossc2.html

概要
JPCERT/CCは、2024年9月から12月にかけて行われた攻撃キャンペーンで、Linux上で動作するCobalt Strike Beaconを作成可能な拡張ツールCrossC2を用いる手法を確認しました。本ブログでは、この攻撃キャンペーンで確認したマルウェアやツールの解説に加え、JPCERT/CCが公開したCrossC2の分析をサポートするツールを紹介しています。

【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250017.html

概要
複数のマイクロソフト製品には、脆弱性があります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/08/202508-security-update/

目　次
【1】WordPress用プラグインAdvanced Custom FieldsにHTMLインジェクションの脆弱性
【2】Exchange Serverに権限昇格の脆弱性
【3】サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズに複数の脆弱性
【4】Google Chromeに脆弱性
【5】CSAジャパンのAIWG/CCMWGが「AICM（AI Controls Matrix） V1.0　日本語版」を公開
【6】SSL-VPN機能が有効化されたSonicWall製ファイアウォールGen 7以降を標的とする脅威活動について
【7】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数のOSコマンドインジェクションの脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】WordPress用プラグインAdvanced Custom FieldsにHTMLインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN21048820/

概要
WPEngine, Inc.が提供するWordPress用プラグインAdvanced Custom Fieldsには、HTMLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.advancedcustomfields.com/blog/acf-6-4-3-security-release/

【2】Exchange Serverに権限昇格の脆弱性
情報源
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53786

概要
Microsoftが提供するExchange Serverのハイブリッド構成（オンプレミス版およびクラウド版を同時に利用した構成）には、権限昇格の脆弱性があります。本脆弱性に対応したHotfixは2025年4月に提供されており、適用後にはサービスプリンシパルの資格情報のリセットなどの対応も推奨されています。詳細は、開発者が提供する情報を参照してください。

【3】サトー製ラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN16547726/

概要
株式会社サトーが提供するラベルプリンタCL4/6NX-J PlusおよびCL4/6NX Plusシリーズには、複数の脆弱性があります。この問題は、バージョンアップまたはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sato.co.jp/support/pdf/information_05.pdf

【4】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/08/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】CSAジャパンのAIWG/CCMWGが「AICM（AI Controls Matrix） V1.0　日本語版」を公開
情報源
https://www.cloudsecurityalliance.jp/site/?p=39561

概要
日本クラウドセキュリティアライアンス（CSAジャパン）は、「AICM（AI Controls Matrix）V1.0 日本語版」を公開しました。本文書は、CSAのAIWGが策定した「AICM V1.0 Based on CCM V4.1」を翻訳したもので、クラウド環境における安全かつ信頼性の高いAIシステムの開発・導入・運用を支援することを目的としており、AI特有のリスクに対応する管理策についてまとめられています。

【6】SSL-VPN機能が有効化されたSonicWall製ファイアウォールGen 7以降を標的とする脅威活動について
情報源
https://www.jpcert.or.jp/newsflash/2025080701.html

概要
SonicWallが提供するSSL-VPN機能が有効化されたファイアウォールGen 7以降において、既知の脆弱性（CVE-2024-40766）に関連する脅威活動の可能性が報告されています。一方、アメリカのセキュリティ企業Arctic WolfやHuntressは、最新のパッチが適用された当該製品においても被害を受けるケースについて報告しており、本脅威活動がゼロデイ脆弱性による攻撃の可能性を示唆しています。当該製品を使用している場合は、SonicWallが提供する最新の情報を注視いただき、対策や緩和策の適用、侵害有無の調査や必要な対処などの実施をご検討ください。
関連文書
https://www.sonicwall.com/support/notices/gen-7-and-newer-sonicwall-firewalls-sslvpn-recent-threat-activity/250804095336430

【7】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に複数のOSコマンドインジェクションの脆弱性に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250016.html

概要
トレンドマイクロ株式会社が提供する企業向けエンドポイントセキュリティ製品には、複数のOSコマンドインジェクションの脆弱性があります。同社は、一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題に対する一時的な緩和策として、製品へのFixtoolの適用が推奨されています。なお、トレンドマイクロ株式会社は、2025年8月中旬に本脆弱性の恒久対策として、Critical Patchのリリースを予定しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/ja-JP/solution/KA-0020653

https://appweb.trendmicro.com/SupportNews/NewsDetail.aspx?id=5564

https://jvn.jp/vu/JVNVU92409854/

目　次
【1】PowerCMSに複数の脆弱性
【2】Node-SAMLに不適切な認証の脆弱性
【3】複数のApple製品に脆弱性
【4】Google Chromeに脆弱性
【5】SysTrackにファイル検索パスの制御不備の脆弱性
【6】Apache HTTP Server 2.4.64にRewriteCondディレクティブの実装不備の脆弱性
【7】WordPress用プラグインPost SMTPに不適切な権限チェックの脆弱性
【8】IPAが「脆弱性診断内製化ガイド」を公表
【9】IPAが「2025年度 夏休みにおける情報セキュリティに関する注意喚起」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PowerCMSに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93412964/

概要
アルファサード株式会社が提供するPowerCMSには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.powercms.jp/news/release-powercms-671-531-461.html

【2】Node-SAMLに不適切な認証の脆弱性
情報源
https://github.com/node-saml/node-saml/security/advisories/GHSA-4mxg-3p6v-xgq3

概要
SAML認証を実装するためのライブラリNode-SAMLには、不適切な認証の脆弱性があります。この問題は、当該ライブラリを修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/124149

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/124147

https://support.apple.com/ja-jp/124148

https://support.apple.com/ja-jp/124150

https://support.apple.com/ja-jp/124151

https://support.apple.com/ja-jp/124152

https://support.apple.com/ja-jp/124153

https://support.apple.com/ja-jp/124154

https://support.apple.com/ja-jp/124155

【4】Google Chromeに脆弱性
情報源
https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_29.html

概要
Google Chromeには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】SysTrackにファイル検索パスの制御不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU90163061/

概要
Lakeside Softwareが提供するSysTrackには、ファイル検索パスの制御不備の脆弱性があります。この問題は、当該製品にHotfixを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://documentation.lakesidesoftware.com/en/Content/Release%20Notes/Agent/10_10_0%20Hotfix%20Agent%20Release%20Notes%20On%20Premises.htm?tocpath=Release%20Notes%7CAgent%7C_____13

【6】Apache HTTP Server 2.4.64にRewriteCondディレクティブの実装不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU95131187/

概要
Apache HTTP Server 2.4.64には、RewriteCondディレクティブの実装不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.65

【7】WordPress用プラグインPost SMTPに不適切な権限チェックの脆弱性
情報源
https://patchstack.com/articles/account-takeover-vulnerability-affecting-over-400k-installations-patched-in-post-smtp-plugin/

概要
WordPress用プラグインPost SMTPには、不適切な権限チェックの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://wordpress.org/plugins/post-smtp/#developers

【8】IPAが「脆弱性診断内製化ガイド」を公表
情報源
https://www.ipa.go.jp/jinzai/ics/core_human_resource/final_project/2025/Vulnerability-assessment.html

概要
独立行政法人情報処理推進機構（IPA）は、「脆弱性診断内製化ガイド」を公表しました。本ガイドは、脆弱性診断の内製化を検討する企業の支援を目的とし、内製化を進める上での基本的な考え方や導入ステップ、関連組織との連携方法などを具体的に整理しています。

【9】IPAが「2025年度 夏休みにおける情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20250801.html

概要
独立行政法人情報処理推進機構（IPA）は、「2025年度 夏休みにおける情報セキュリティに関する注意喚起」を公開しました。長期休暇における、個人の利用者、企業や組織の利用者、企業や組織の管理者、それぞれの対象者に対して取るべき対策を説明しています。

目　次
【1】TP-Link製Archer C1200にクリックジャッキングの脆弱性
【2】SonicWall SMA100シリーズに複数の脆弱性
【3】Google Chromeに複数の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】TP-Link製Archer C1200にクリックジャッキングの脆弱性
情報源
https://jvn.jp/jp/JVN39913189/

概要
TP-Link製Archer C1200には、クリックジャッキングの脆弱性があります。開発者によると、当該製品はサポートを終了しており、該当製品の使用停止および後継製品への移行が推奨されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/us/support/faq/4539/

【2】SonicWall SMA100シリーズに複数の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0014

概要
SonicWallが提供するSMA100シリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0012

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_22.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

目　次
【1】SharePoint Serverにリモートコード実行の脆弱性
【2】ISC BINDに複数の脆弱性
【3】ゼクセロン製ZWX-2000CSW2-HN、ZWX-2000CS2-HNにおけるハードコードされた認証情報の使用の脆弱性
【4】2025年7月Oracle Critical Patch Updateについて
【5】Google Chromeに複数の脆弱性
【6】JPCERT/CCが「Ivanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア」に関するブログを公開
【7】JPCERT/CCが2025年4月-6月分の「JPCERT/CC 四半期レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】SharePoint Serverにリモートコード実行の脆弱性
情報源
https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-53770/

概要
Microsoftが提供するSharePoint Serverのオンプレミス版には、リモートコード実行の脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/07/customer-guidance-for-sharepoint-vulnerability-cve-2025-53770/

【2】ISC BINDに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU92566795/

概要
ISC BINDには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2025-40776

https://kb.isc.org/docs/cve-2025-40777

【3】ゼクセロン製ZWX-2000CSW2-HN、ZWX-2000CS2-HNにおけるハードコードされた認証情報の使用の脆弱性
情報源
https://jvn.jp/jp/JVN44419726/

概要
株式会社ゼクセロンが提供するZWX-2000CSW2-HN、ZWX-2000CS2-HNには、ハードコードされた認証情報の使用の脆弱性があります。この問題は、バージョンアップまたはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://zexelon.co.jp/pdf/jvn44419726.pdf

【4】2025年7月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujul2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/07/stable-channel-update-for-desktop_15.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】JPCERT/CCが「Ivanti Connect Secureの脆弱性を起点とした侵害で確認されたマルウェア」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2025/07/ivanti_cs.html

概要
本ブログでは、2024年12月から本年7月現在まで続く、Ivanti Connect Secureの脆弱性（CVE-2025-0282やCVE-2025-22457）を悪用した攻撃活動で攻撃者が用いたマルウェア、ツール類について、また、攻撃者がネットワーク内へ侵入した際に用いる攻撃手法について解説しております。

【7】JPCERT/CCが2025年4月-6月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2025/QR_FY2025-Q1.pdf

概要
JPCERT/CCは、2025年4月から6月分の四半期レポートを公開しました。今年度から、「JPCERT/CC 活動四半期レポート」と「JPCERT/CC インシデント報告対応レポート」を統合し、名称を「JPCERT/CC 四半期レポート」としてリニューアルしました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。

目　次
【1】複数のJuniper Networks製品に脆弱性
【2】GitLabに複数の脆弱性
【3】複数のSAP製品に脆弱性
【4】Adobe ColdFusionに複数の脆弱性
【5】複数のFortinet製品に脆弱性
【6】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のJuniper Networks製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-07-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Vulnerability-in-the-RADIUS-protocol-for-Subscriber-Management-Blast-RADIUS-CVE-2024-3596

概要
複数のJuniper Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri?language=en_US#sortCriteria=date%20descending&f-sf_primarysourcename=Knowledge&f-sf_articletype=Security%20Advisories

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/07/09/patch-release-gitlab-18-1-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/july-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Adobe ColdFusionに複数の脆弱性
情報源
https://helpx.adobe.com/security/products/coldfusion/apsb25-69.html

概要
Adobe ColdFusionには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のFortinet製品に脆弱性
情報源
https://www.fortiguard.com/psirt/FG-IR-25-026

概要
複数のFortinet製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fortiguard.fortinet.com/psirt?filter=1

【6】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250015.html

概要
複数のマイクロソフト製品には、脆弱性があります。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/07/202507-security-update/

目　次
【1】トレンドマイクロ製ウイルスバスター クラウド（Windows版）にWindowsショートカット（.LNK）の不適切な取扱いの脆弱性
【2】トレンドマイクロ製パスワードマネージャー（Windows版）に複数の脆弱性
【3】Active! mailに複数の脆弱性
【4】Google Chromeに型の取り違えの脆弱性
【5】コニカミノルタ製bizhubシリーズにPass-Back攻撃が可能になる脆弱性
【6】コニカミノルタ製複合機（MFP）のWeb Connectionに複数の脆弱性
【7】RICOH Streamline NXの管理ツールのヘルプドキュメントシステムに反射型クロスサイトスクリプティングの脆弱性
【8】複数のCitrix製品に脆弱性
【9】サイバーセキュリティ戦略本部が「サイバーセキュリティ2025 （2024 年度年次報告・2025 年度年次計画）」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】トレンドマイクロ製ウイルスバスター クラウド（Windows版）にWindowsショートカット（.LNK）の不適切な取扱いの脆弱性
情報源
https://jvn.jp/vu/JVNVU94870570/

概要
トレンドマイクロ製ウイルスバスター クラウド（Windows版）には、Windowsショートカット（.LNK）の不適切な取扱いの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/tmka-12939

【2】トレンドマイクロ製パスワードマネージャー（Windows版）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU91134474/

概要
トレンドマイクロ製パスワードマネージャー（Windows版）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpcenter.trendmicro.com/ja-jp/article/tmka-12916

https://helpcenter.trendmicro.com/ja-jp/article/tmka-12940

【3】Active! mailに複数の脆弱性
情報源
https://jvn.jp/jp/JVN89505333/

概要
株式会社クオリティアが提供するActive! mailには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.qualitia.com/jp/news/2025/07/02_1100.html

【4】Google Chromeに型の取り違えの脆弱性
情報源
https://chromereleases.googleblog.com/2025/06/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、型の取り違えの脆弱性があります。Googleは、今回修正された脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】コニカミノルタ製bizhubシリーズにPass-Back攻撃が可能になる脆弱性
情報源
https://jvn.jp/vu/JVNVU93850661/

概要
コニカミノルタ株式会社が提供するbizhubシリーズには、Pass-Back攻撃が可能になる脆弱性があります。開発者は回避策を実施することを推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.konicaminolta.jp/business/support/important/250630_01_02.html

【6】コニカミノルタ製複合機（MFP）のWeb Connectionに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95470660/

概要
コニカミノルタ株式会社が提供する複合機（MFP）のWeb Connectionには、複数の脆弱性があります。開発者は回避策または軽減策を実施することを推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.konicaminolta.jp/business/support/important/250630_01_01.html

【7】RICOH Streamline NXの管理ツールのヘルプドキュメントシステムに反射型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN24333956/

概要
株式会社リコーが提供するRICOH Streamline NXの管理ツールのヘルプドキュメントシステムには、反射型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.ricoh.com/products/security/vulnerabilities/vul?id=ricoh-2025-000008

【8】複数のCitrix製品に脆弱性
情報源
https://censys.com/advisory/cve-2025-5777-cve-2025-6543-cve-2025-5439

概要
Citrix Netscaler ADCおよびNetScaler Gatewayには、3件の脆弱性（CVE-2025-5349、CVE-2025-5777、CVE-2025-6543）があります。Cloud Software Groupは、CVE-2025-6543の悪用を確認しているとのことです。CVE-2025-5777については悪用の事実は確認されていないものの、過去に大規模なランサムウェア被害を引き起こした同製品の脆弱性（CVE-2023-4966）との類似点が指摘されています。加えて、CVE-2025-5777については、複数の海外セキュリティ企業から技術的な詳細が公開されています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者やCensysが提供する情報を参照してください。
関連文書
https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX693420

https://support.citrix.com/support-home/kbsearch/article?articleNumber=CTX694788

https://www.netscaler.com/blog/news/netscaler-critical-security-updates-for-cve-2025-6543-and-cve-2025-5777/

https://horizon3.ai/attack-research/attack-blogs/cve-2025-5777-citrixbleed-2-write-up-maybe/

https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/

【9】サイバーセキュリティ戦略本部が「サイバーセキュリティ2025 （2024 年度年次報告・2025 年度年次計画）」を公開
情報源
https://www.nisc.go.jp/pdf/policy/kihon-s/250627cs2025.pdf

概要
サイバーセキュリティ戦略本部は、「サイバーセキュリティ2025 （2024 年度年次報告・2025 年度年次計画）」を公開しました。本書では、昨今の国内外のサイバー空間の情勢や国内のサイバーセキュリティ政策の方向性などが説明されています。