ミニ・いんふぉめーしょん

目　次
【1】複数のCisco製品に脆弱性
【2】複数のApple製品に脆弱性
【3】複数のAtlassian製品に脆弱性
【4】2025年4月Oracle Critical Patch Updateについて
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表
【8】Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性
【9】AiCloud機能を有効にしているASUS製WiFiルーターからの通信の増加
【10】JPCERT/CCが2025年1月-3月分の「JPCERT/CC 活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-client-rce-ufyMMYLC

概要
複数のCisco製品に関する脆弱性が公開されています。中でもWebexアプリの脆弱性（CVE-2025-20236）は、細工されたミーティング招待リンクをクリックしてしまうことで、任意のコードを実行される可能性があるため、注意が必要です。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sna-prvesc-4BQmK33Z

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nd-unenum-2xFFh472

【2】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122400

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122282

https://support.apple.com/ja-jp/122401

https://support.apple.com/ja-jp/122402

【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-april-15-2025-1540723536.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】2025年4月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuapr2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。

【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-25/

概要
複数のMozilla製品には、脆弱性があります。Firefox、ThunderbirdおよびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-27/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_15.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表
情報源
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html

概要
経済産業省は、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組みの検討を進めています。今後、2026年度の制度開始を目指し、実証事業や制度運営基盤の整備、利用促進に向けた各種施策の実行等を進めていく予定とのことです。

【8】Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250010.html

概要
株式会社クオリティアは、Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）を公開しました。すでに悪用が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.qualitia.com/jp/news/2025/04/18_1030.html

https://jvn.jp/jp/JVN22348866/

【9】AiCloud機能を有効にしているASUS製WiFiルーターからの通信の増加
情報源
https://www.jpcert.or.jp/newsflash/2025041701.html

概要
JPCERT/CCは、インターネット定点観測システム（TSUBAME）にて、AiCloud機能を有効にしているASUS製WiFiルーターから送信されたとみられる通信の増加を観測しています。AiCloud機能に関係するASUS製Wi-Fiルーターの脆弱性として、OSコマンド実行の脆弱性（CVE-2024-12912、CVE-2024-13062）が挙げられます。ASUS製WiFiルーターでAiCloud機能を利用している場合は、修正済みファームウェアへの早期適用などの検討を強く推奨いたします。詳細は、ASUSや情報通信研究機構（NICT）が公表する情報を参照してください。
関連文書
https://www.asus.com/content/asus-product-security-advisory/

https://blog.nicter.jp/2025/04/asus_aicloud/

【10】JPCERT/CCが2025年1月-3月分の「JPCERT/CC 活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2025/PR_Report2024Q4.pdf

概要
JPCERT/CCは、2025年1月から3月分の「JPCERT/CC 活動四半期レポート」「JPCERT/CC インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。JPCERT/CCの国内外の活動に加え、報告を受けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2025/IR_Report2024Q4.pdf

https://www.jpcert.or.jp/pr/2025/vulnREPORT_2025q1.pdf

目　次
【1】Joomla!に複数の脆弱性
【2】BizRobo!に複数の脆弱性
【3】TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性
【4】GitLabに複数の脆弱性
【5】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性
【6】 複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Joomla!に複数の脆弱性
情報源
https://www.joomla.org/announcements/release-news/5925-joomla-5-2-6-security-release.html

概要
Joomla!には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html

https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html

【2】BizRobo!に複数の脆弱性
情報源
https://jvn.jp/jp/JVN30641875/

概要
オープン株式会社が提供するBizRobo!には、複数の脆弱性があります。この問題は、バージョンアップまたはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://knowledge.bizrobo.com/hc/ja/articles/39951710517145

https://knowledge.bizrobo.com/hc/ja/articles/39952052043289

https://knowledge.bizrobo.com/hc/ja/articles/39953373809305

【3】TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU94912671/

概要
TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/jp/support/download/deco-be65-pro/#Firmware

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/04/09/patch-release-gitlab-17-10-4-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU98349623/

概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/ja-JP/solution/KA-0019363

https://success.trendmicro.com/ja-JP/solution/KA-0019405

【6】 複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250009.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/04/202504-security-update/

目　次
【1】MinIOにおける署名検証不備の脆弱性
【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】SnapCenterにおける権限昇格の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
【8】複数のApple製品に脆弱性
【9】金融庁が証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表
【10】CSIJがCSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開
【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】MinIOにおける署名検証不備の脆弱性
情報源
https://github.com/minio/minio/security/advisories/GHSA-wg47-6jq2-q2hh

概要
MinIOには、署名検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93925742/

概要
因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.inaba.co.jp/abaniact/news/security_20250404.pdf

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-20/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、Thunderbird ESRが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-21/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】SnapCenterにおける権限昇格の脆弱性
情報源
https://security.netapp.com/advisory/ntap-20250324-0001/

概要
SnapCenterには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://jvn.jp/jp/JVN87266215/

概要
株式会社Welcartが提供するWordPress用プラグインWelcart e-Commerceには、信頼できないデータのデシリアライゼーションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.welcart.com/archives/23868.html

【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93701955/

概要
キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、ワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250328vulnerability-response

https://psirt.canon/advisory-information/cp2025-002/

https://psirt.canon/advisory-information/cp2025-003/

【8】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122345

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122346

https://support.apple.com/ja-jp/122371

https://support.apple.com/ja-jp/122372

https://support.apple.com/ja-jp/122373

https://support.apple.com/ja-jp/122374

https://support.apple.com/ja-jp/122375

https://support.apple.com/ja-jp/122376

https://support.apple.com/ja-jp/122377

https://support.apple.com/ja-jp/122378

https://support.apple.com/ja-jp/122379

https://support.apple.com/ja-jp/122380

【9】金融庁が証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表
情報源
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

概要
金融庁は、証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表しました。実在する証券会社のウェブサイトを装った偽のウェブサイト（フィッシングサイト）に電子メール等で誘導し、ログインIDやパスワード等を入力させ、顧客情報を窃取する被害が多発しているとのことです。本注意喚起では、フィッシングの被害に遭わないための対応や対策を紹介しています。

【10】CSIJがCSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開
情報源
https://www.csi-japan.org/_files/ugd/e66227_5d77080aa4354852b5b2e0a2278f421a.pdf

概要
CSIJは、CSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開しました。本調査は、企業のセキュリティ体制の現状を把握・分析し、企業の課題への対策を提言することで日本の組織のセキュリティレベル向上を目指すことを目的としています。調査結果から「インシデントレスポンス」と「教育」の強化が必要であることや、企業規模によってセキュリティ体制の整備状況や重点項目が異なることが整理されています。

【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250008.html

概要
Ivanti製Ivanti Connect Secure、Policy Secure、ZTAゲートウェイには、スタックベースのバッファーオーバーフローの脆弱性があります。Ivantiは、当該脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

目　次
【1】FireFoxにサンドボックス回避の脆弱性
【2】GitLabに複数の脆弱性
【3】Google Chromeにサンドボックス回避の脆弱性
【4】AssetViewにおける複数の脆弱性
【5】JNSAが「生成AIを利用する上でのセキュリティ成熟度モデル」を公開
【6】a-blog cmsに信頼できないデータのデシリアライゼーションの脆弱性
【7】JPCERT/CCが「制御システムセキュリティカンファレンス2025 開催レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FireFoxにサンドボックス回避の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/

概要
FireFox、ForefoxESRには、サンドボックス回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeにサンドボックス回避の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html

概要
Google Chromeには、サンドボックス回避の脆弱性があります。Googleは、今回修正された脆弱性についてすでに悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】AssetViewにおける複数の脆弱性
情報源
https://jvn.jp/jp/JVN26321838/

概要
株式会社ハンモックが提供するAssetViewには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.hammock.jp/assetview/info/250325.html

【5】JNSAが「生成AIを利用する上でのセキュリティ成熟度モデル」を公開
情報源
https://www.jnsa.org/result/aisec/2024/

概要
JNSAが、「生成AIを利用する上でのセキュリティ成熟度モデル」を公開しました。本資料は、生成AIをセキュアに利用していく上で必要な項目を生成AIの利用ケースごとにマッピングを行い、生成AIを利用していく組織の一助になることを目的としたものです。

【6】a-blog cmsに信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250007.html

概要
有限会社アップルップルが提供するa-blog cmsには、信頼できないデータのデシリアライゼーションの脆弱性があります。有限会社アップルップルは、今回修正された脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/security-update202503.html

https://developer.a-blogcms.jp/blog/news/entry-4197.html

https://jvn.jp/jp/JVN66982699/

【7】JPCERT/CCが「制御システムセキュリティカンファレンス2025 開催レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/ics-conference2025.html

概要
JPCERT/CCは、「制御システムセキュリティカンファレンス2025 開催レポート」を公開しました。2025年2月5日に開催した本カンファレンスの開会・閉会のご挨拶および7つの講演の様子を紹介いたします。

目　次
【1】Google Chromeに複数の脆弱性
【2】ＫＤＤＩが提供するホームゲートウェイHGW-BL1500HMに複数の脆弱性
【3】富士ソフト製+F FS010Mに複数の脆弱性
【4】特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第１０版」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_19.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】ＫＤＤＩが提供するホームゲートウェイHGW-BL1500HMに複数の脆弱性
情報源
https://jvn.jp/jp/JVN04278547/

概要
ＫＤＤＩ株式会社が提供するホームゲートウェイHGW-BL1500HMには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kddi-tech.com/contents/appendix_L2_06.html#64433e4a-8946-9c06-bddf-91cbfe56c8e5

【3】富士ソフト製+F FS010Mに複数の脆弱性
情報源
https://jvn.jp/jp/JVN11230428/

概要
富士ソフト株式会社が提供する+F FS010Mには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fsi-plusf.jp/news/25031701.html

【4】特定非営利活動法人デジタル・フォレンジック研究会が「証拠保全ガイドライン 第１０版」を公開
情報源
https://digitalforensic.jp/wp-content/uploads/2025/03/shokohozenGL10.pdf

概要
特定非営利活動法人デジタル・フォレンジック研究会の証拠保全ガイドライン改訂ワーキンググループは「証拠保全ガイドライン 第１０版」を公開しました。本文書では我が国における電磁的証拠の保全手続きの参考として、さまざまな事案の特性を踏まえた知見やノウハウがまとめられています。今回の改訂ではクラウドサービスに関する項目が新設され、クラウド特有の証拠保全手順・留意事項が整理されています。

目　次
【1】GitLabに複数の脆弱性
【2】Junos OSに任意のコード実行の脆弱性
【3】複数のApple製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】Apache Tomcat partial PUTにリモートコード実行、情報漏えいや改ざんの脆弱性
【6】警察庁が「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開
【7】総務省、警察庁および経済産業省が「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開
【8】内閣サイバーセキュリティセンターが「インターネットの安全・安心ハンドブック」を改訂
【9】JPCERT/CCが「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開
【10】複数のアドビ製品に脆弱性
【11】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/03/12/patch-release-gitlab-17-9-2-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Junos OSに任意のコード実行の脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-03-Out-of-Cycle-Security-Bulletin-Junos-OS-A-local-attacker-with-shell-access-can-execute-arbitrary-code-CVE-2025-21590

概要
Junos OSには、任意のコード実行の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122281

概要
複数のApple製品には、脆弱性があります。Appleは、今回修正された脆弱性について悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122283

https://support.apple.com/ja-jp/122284

https://support.apple.com/ja-jp/122285

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。Googleは、今回修正された一部の脆弱性について悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Apache Tomcat partial PUTにリモートコード実行、情報漏えいや改ざんの脆弱性
情報源
https://jvn.jp/vu/JVNVU93567491/

概要
Apache Tomcat partial PUTには、リモートコード実行、情報漏えいや改ざんの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】警察庁が「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R6/R06_cyber_jousei.pdf

概要
警察庁は「令和６年におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和6年中におけるサイバー攻撃やサイバー犯罪の情勢および今後の取組についてまとめられています。サイバー攻撃の情勢では、政府機関、交通機関、金融機関などの重要インフラ事業者に対するDDoS攻撃とみられる被害や情報窃取を目的としたサイバー攻撃、国家を背景とする暗号資産獲得を目的としたサイバー攻撃事案などを挙げています。また、令和6年におけるランサムウェアの被害報告件数は、222件と引き続き高水準で推移しているとのことです。

【7】総務省、警察庁および経済産業省が「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開
情報源
https://www.soumu.go.jp/menu_news/s-news/01cyber01_02000001_00236.html

概要
総務省、警察庁および経済産業省は連名で「不正アクセス行為の発生状況及びアクセス制御機能に関する技術の研究開発の状況」を公開しました。この文書では、令和6年1月1日から12月31日までの間における不正アクセス行為の発生状況、および国家公安委員会、総務省または経済産業省のいずれかに係るアクセス制御機能に関する技術の研究開発の状況および募集・調査した民間企業等におけるアクセス制御機能に関する技術の研究開発の状況について記載されています。

【8】内閣サイバーセキュリティセンターが「インターネットの安全・安心ハンドブック」を改訂
情報源
https://security-portal.nisc.go.jp/guidance/handbook.html

概要
内閣サイバーセキュリティセンター（NISC）は、サイバーセキュリティに関する普及啓発活動の一環として、「インターネットの安全・安心ハンドブック」のVer5.10を公開しました。Ver5.10では、サイバー空間の最新動向や、今特に気を付けるべきポイント等を踏まえた改訂がされています。

【9】JPCERT/CCが「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/jsac2025-workshop-lightning-talk.html

概要
JPCERT/CCは、「JSAC2025 開催レポート - Workshop & Lightning Talk -」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。第3回はWorkshopとLightning Talkについて紹介しています。

【10】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250006.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【11】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250005.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/03/202503-security-update/

目　次
【1】RemoteViewのAgent（Windows版）に複数の脆弱性
【2】Jenkinsに複数の脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】Paragon Software製Paragon Partition Managerに複数の脆弱性
【6】複数のVMware製品に脆弱性
【7】Androidに複数の脆弱性
【8】経済産業省が「クレジットカード・セキュリティガイドライン［6.0版］」を公開
【9】JPCERT/CCが「JSAC2025 開催レポート - DAY 2 -」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】RemoteViewのAgent（Windows版）に複数の脆弱性
情報源
https://jvn.jp/jp/JVN24992507/

概要
RSUPPORT株式会社が提供するRemoteViewのAgent（Windows版）には、複数の脆弱性が存在します。この問題は、当該Agentを修正済みのバージョンに更新することで解決します。開発者によると、「自動アップデート」機能により、修正済みバージョンに更新されるとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://help.rview.com/hc/ja/articles/38287019277843-緊急パッチ作業のご案内-2025-02-13-完了

【2】Jenkinsに複数の脆弱性
情報源
https://www.jenkins.io/security/advisory/2025-03-05/

概要
Jenkinsには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-14/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、ThunderbirdおよびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-15/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-16/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-17/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-18/

【5】Paragon Software製Paragon Partition Managerに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU92971269/

概要
Paragon Softwareが提供するParagon Partition Managerには、複数の脆弱性が存在します。この問題は、当該製品を修正済みのバージョンへの更新することで解決します。詳細は、開発者が提供する情報を参照してください。なお、Microsoftは、今回修正された一部の脆弱性を悪用するランサムウェアを用いた攻撃を確認しており、脆弱なドライバーの実行を阻止するVulnerable Driver Blocklistの有効化を推奨しています。
関連文書
https://kb.cert.org/vuls/id/726882

https://paragon-software.zendesk.com/hc/en-us/articles/32993902732817-IMPORTANT-Paragon-Driver-Security-Patch-for-All-Products-of-Hard-Disk-Manager-Product-Line-Biontdrv-sys

【6】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/25390

概要
複数のVMware製品には、脆弱性があります。Broadcomは、今回修正された脆弱性の悪用を示唆する情報を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Androidに複数の脆弱性
情報源
https://source.android.com/docs/security/bulletin/2025-03-01

概要
Androidには、複数の脆弱性が存在します。Androidオープンソースプロジェクトは、今回修正された一部の脆弱性が悪用された兆候を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】経済産業省が「クレジットカード・セキュリティガイドライン［6.0版］」を公開
情報源
https://www.meti.go.jp/press/2024/03/20250305002/20250305002.html

概要
経済産業省は、「クレジットカード・セキュリティガイドライン［6.0版］」を公開しました。EC加盟店におけるクレジットカード情報保護対策や不正利用対策への指針対策などが追加され、カード会社やPSP（Payment Service Provider）がEC加盟店に対して、それらの対策の導入および運用に関して必要な助言や情報提供を行うなどの改訂がされています。

【9】JPCERT/CCが「JSAC2025 開催レポート - DAY 2 -」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/jsac2025day2.html

概要
JPCERT/CCは、「JSAC2025 開催レポート - DAY 2 -」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。前回に引き続き、第2回はDAY 2 Main Trackの講演を紹介しています。

目　次
【1】センチュリー・システムズ製産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）に複数の脆弱性
【2】GitLabに複数の脆弱性
【3】IPAが「情報セキュリティ10大脅威 2025」解説書の一部を公開
【4】JPCERT/CCが「インターネット定点観測レポート（2024年 10-12月）」を公開
【5】JPCERT/CCが「JSAC2025 開催レポート DAY 1 」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】センチュリー・システムズ製産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU96398949/

概要
センチュリー・システムズ株式会社が提供する産業用ルータ（FutureNet ASシリーズ）およびプロトコル変換器（FutureNet FAシリーズ）には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.centurysys.co.jp/backnumber/common/jvnvu96398949.html

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/02/26/patch-release-gitlab-17-9-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】IPAが「情報セキュリティ10大脅威 2025」解説書の一部を公開
情報源
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kaisetsu_2025_soshiki.pdf

概要
IPAは、「情報セキュリティ10大脅威 2025」解説書の一部を公開しました。公開された文書は、[組織編]、情報セキュリティ10大脅威の活用法[組織編]、セキュリティ対策の基本と共通対策の3点で、[個人編]などの文書は今後公開予定とのことです。
関連文書
https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/katsuyouhou_2025_soshiki.pdf

https://www.ipa.go.jp/security/10threats/eid2eo0000005231-att/kihontokyoutsuu_2025.pdf

【4】JPCERT/CCが「インターネット定点観測レポート（2024年 10-12月）」を公開
情報源
https://www.jpcert.or.jp/tsubame/report/report202410-12.html

概要
JPCERT/CCは、「インターネット定点観測レポート（2024年 10-12月）」を公開しました。2024年10月から12月の間に、インターネット定点観測システム「TSUBAME」で観測した結果とその分析の概要について紹介しています。
関連文書
https://blogs.jpcert.or.jp/ja/2025/02/tsubame-overflow20241012.html

【5】JPCERT/CCが「JSAC2025 開催レポート DAY 1 」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/jsac2025day1.html

概要
JPCERT/CCは、「JSAC2025 開催レポート DAY 1 」を公開しました。JSAC2025開催レポートは3回にわけてカンファレンスの様子を紹介します。第1回目となる本稿では、DAY 1 Main Trackの講演について紹介しています。

目　次
【1】PostgreSQLに不具合
【2】Drupal coreに複数の脆弱性
【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
【4】JoomlaにSQLインジェクションの脆弱性
【5】Google Chromeに複数の脆弱性
【6】複数のAtlassian製品に脆弱性
【7】富士フイルムビジネスイノベーション製複合機（MFP）における境界外書き込みの脆弱性
【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに不具合
情報源
https://www.postgresql.org/about/news/postgresql-174-168-1512-1417-and-1320-released-3018/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性（CVE-2025-1094）があります。この脆弱性は、2/13に対策されましたが、その後、不具合が見つかり、修正バージョンが公開されました。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

【2】Drupal coreに複数の脆弱性
情報源
https://www.drupal.org/sa-core-2025-001

概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.drupal.org/security

【3】Movable Typeに複数のクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN48742353/

概要
Movable Typeには、複数のクロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sixapart.jp/movabletype/news/2025/02/19-1100.html

【4】JoomlaにSQLインジェクションの脆弱性
情報源
https://www.joomla.org/announcements/release-news/5920-joomla-5-2-4-security-bugfix-release.html

概要
Joomlaには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/958-20250201-core-sql-injection-vulnerability-in-scheduled-tasks-component.html

【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_18.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-february-18-2025-1510670627.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】富士フイルムビジネスイノベーション製複合機（MFP）における境界外書き込みの脆弱性
情報源
https://jvn.jp/vu/JVNVU96297631/

概要
富士フイルムビジネスイノベーション製複合機（MFP）には、境界外書き込みの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fujifilm.com/fbglobal/eng/company/news/notice/2025/0217_announce.html

【8】経済産業省が「AIの利用・開発に関する契約チェックリスト」を公開
情報源
https://www.meti.go.jp/press/2024/02/20250218003/20250218003.html

概要
経済産業省は、「AIの利用・開発に関する契約チェックリスト」を公開しました。このチェックリストでは、AI技術を用いたサービスを導入する事業者が、契約時にチェックするべきポイントなどがまとめられています。

目　次
【1】PostgreSQLに脆弱性
【2】NEC Atermシリーズに複数の脆弱性
【3】Centeミドルウェアに境界外読み取りの脆弱性
【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
【5】ファイルめがねに複数の脆弱性
【6】複数のPalo Alto Networks製品に脆弱性
【7】Google Chromeに複数の脆弱性
【8】複数のアドビ製品に脆弱性
【9】複数のIntel製品に脆弱性
【10】acmailer CGIおよびacmailer DBに脆弱性
【11】複数のApple製品に脆弱性
【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
【13】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】PostgreSQLに脆弱性
情報源
https://www.postgresql.org/about/news/postgresql-173-167-1511-1416-and-1319-released-3015/

概要
PostgreSQLには、引用符の不適切な無害化の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

【2】NEC Atermシリーズに複数の脆弱性
情報源
https://jvn.jp/jp/JVN65447879/

概要
日本電気株式会社が提供するAtermシリーズには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新したり回避策を適用したりすることで解決します。なお、一部製品はすでにサポートが終了しており、開発者は後続製品への乗り換えなどの検討を推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-003.html

【3】Centeミドルウェアに境界外読み取りの脆弱性
情報源
https://jvn.jp/vu/JVNVU92227620/

概要
DMG MORI Digital株式会社が開発し、NXTech株式会社が提供するCenteミドルウェアTCP/IPネットワークシリーズの一部製品には、境界外読み取りの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.cente.jp/obstacle/5451/

【4】OpenSSLにRFC7250ハンドシェイクによる認証の失敗を検知できない問題
情報源
https://jvn.jp/vu/JVNVU91390536/

概要
OpenSSLには、RFC7250で定義されたRaw Public Key（RPK）を用いてサーバー認証を行う際に、認証の失敗をクライアント側で検知できない脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://openssl-library.org/news/secadv/20250211.txt

【5】ファイルめがねに複数の脆弱性
情報源
https://jvn.jp/jp/JVN80527854/

概要
ジップインフォブリッジ株式会社が提供するファイルめがねには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.info-brdg.co.jp/support/report/megane/sec20250201.html

【6】複数のPalo Alto Networks製品に脆弱性
情報源
https://security.paloaltonetworks.com/CVE-2025-0108

概要
複数のPalo Alto Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、緩和策などを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://security.paloaltonetworks.com/

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/02/stable-channel-update-for-desktop_12.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のアドビ製品に脆弱性
情報源
https://helpx.adobe.com/security/products/magento/apsb25-08.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://helpx.adobe.com/security/security-bulletin.html

【9】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU95019921/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【10】acmailer CGIおよびacmailer DBに脆弱性
情報源
https://jvn.jp/jp/JVN84319378/

概要
エクストライノベーション株式会社が提供するacmailer CGIおよびacmailer DBには、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://acmailer.jp/info/de.cgi?id=113

https://jvn.jp/jp/JVN96957439/

【11】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122174

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは脆弱性を悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122173

【12】JPCERT/CCが「Ivanti Connect Secureの脆弱性を利用して設置されたマルウェアSPAWNCHIMERA」に関するブログを公開
情報源
https://blogs.jpcert.or.jp/ja/2025/02/spawnchimera.html

概要
JPCERT/CCが対応したインシデントの中で、Ivanti Connect Secureの脆弱性（CVE-2025-0282）悪用後に感染するマルウェアSPAWNファミリーのアップデートを確認しました。JPCERT/CCが公開した本記事では、アップデートされたSPAWN（SPAWNCHIMERA）について解説します。

【13】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250004.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/02/202502-security-update/