ミニ・いんふぉめーしょん

目　次
【1】複数のCisco製品に脆弱性
【2】複数のApple製品に脆弱性
【3】複数のAtlassian製品に脆弱性
【4】2025年4月Oracle Critical Patch Updateについて
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに複数の脆弱性
【7】経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表
【8】Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性
【9】AiCloud機能を有効にしているASUS製WiFiルーターからの通信の増加
【10】JPCERT/CCが2025年1月-3月分の「JPCERT/CC 活動四半期レポート」などを公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-webex-app-client-rce-ufyMMYLC

概要
複数のCisco製品に関する脆弱性が公開されています。中でもWebexアプリの脆弱性（CVE-2025-20236）は、細工されたミーティング招待リンクをクリックしてしまうことで、任意のコードを実行される可能性があるため、注意が必要です。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sna-prvesc-4BQmK33Z

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-nd-unenum-2xFFh472

【2】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122400

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122282

https://support.apple.com/ja-jp/122401

https://support.apple.com/ja-jp/122402

【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-april-15-2025-1540723536.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】2025年4月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuapr2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。

【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-25/

概要
複数のMozilla製品には、脆弱性があります。Firefox、ThunderbirdおよびThunderbird ESRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-26/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-27/

【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop_15.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】経済産業省が「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表
情報源
https://www.meti.go.jp/press/2025/04/20250414002/20250414002.html

概要
経済産業省は、「サプライチェーン強化に向けたセキュリティ対策評価制度構築に向けた中間取りまとめ」を公表しました。サプライチェーンにおける重要性を踏まえた上で満たすべき各企業の対策を提示しつつ、その対策状況を可視化する仕組みの検討を進めています。今後、2026年度の制度開始を目指し、実証事業や制度運営基盤の整備、利用促進に向けた各種施策の実行等を進めていく予定とのことです。

【8】Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250010.html

概要
株式会社クオリティアは、Active! mailにおけるスタックベースのバッファオーバーフローの脆弱性（CVE-2025-42599）を公開しました。すでに悪用が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.qualitia.com/jp/news/2025/04/18_1030.html

https://jvn.jp/jp/JVN22348866/

【9】AiCloud機能を有効にしているASUS製WiFiルーターからの通信の増加
情報源
https://www.jpcert.or.jp/newsflash/2025041701.html

概要
JPCERT/CCは、インターネット定点観測システム（TSUBAME）にて、AiCloud機能を有効にしているASUS製WiFiルーターから送信されたとみられる通信の増加を観測しています。AiCloud機能に関係するASUS製Wi-Fiルーターの脆弱性として、OSコマンド実行の脆弱性（CVE-2024-12912、CVE-2024-13062）が挙げられます。ASUS製WiFiルーターでAiCloud機能を利用している場合は、修正済みファームウェアへの早期適用などの検討を強く推奨いたします。詳細は、ASUSや情報通信研究機構（NICT）が公表する情報を参照してください。
関連文書
https://www.asus.com/content/asus-product-security-advisory/

https://blog.nicter.jp/2025/04/asus_aicloud/

【10】JPCERT/CCが2025年1月-3月分の「JPCERT/CC 活動四半期レポート」などを公開
情報源
https://www.jpcert.or.jp/pr/2025/PR_Report2024Q4.pdf

概要
JPCERT/CCは、2025年1月から3月分の「JPCERT/CC 活動四半期レポート」「JPCERT/CC インシデント報告対応レポート」「ソフトウェア等の脆弱性関連情報に関する届出状況」を公開しました。JPCERT/CCの国内外の活動に加え、報告を受けたインシデントの統計や事例などについてまとめています。参考資料としてご活用ください。
関連文書
https://www.jpcert.or.jp/pr/2025/IR_Report2024Q4.pdf

https://www.jpcert.or.jp/pr/2025/vulnREPORT_2025q1.pdf

目　次
【1】Joomla!に複数の脆弱性
【2】BizRobo!に複数の脆弱性
【3】TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性
【4】GitLabに複数の脆弱性
【5】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性
【6】 複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Joomla!に複数の脆弱性
情報源
https://www.joomla.org/announcements/release-news/5925-joomla-5-2-6-security-release.html

概要
Joomla!には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は開発者が提供する情報を参照してください。
関連文書
https://developer.joomla.org/security-centre/963-20250401-framework-sql-injection-vulnerability-in-quotenamestr-method-of-database-package.html

https://developer.joomla.org/security-centre/964-20250402-core-mfa-authentication-bypass.html

【2】BizRobo!に複数の脆弱性
情報源
https://jvn.jp/jp/JVN30641875/

概要
オープン株式会社が提供するBizRobo!には、複数の脆弱性があります。この問題は、バージョンアップまたはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://knowledge.bizrobo.com/hc/ja/articles/39951710517145

https://knowledge.bizrobo.com/hc/ja/articles/39952052043289

https://knowledge.bizrobo.com/hc/ja/articles/39953373809305

【3】TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU94912671/

概要
TP-Link製Deco BE65 ProにOSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.tp-link.com/jp/support/download/deco-be65-pro/#Firmware

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/04/09/patch-release-gitlab-17-10-4-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】トレンドマイクロ製企業向けエンドポイントセキュリティ製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU98349623/

概要
トレンドマイクロ製企業向けエンドポイントセキュリティ製品には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://success.trendmicro.com/ja-JP/solution/KA-0019363

https://success.trendmicro.com/ja-JP/solution/KA-0019405

【6】 複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250009.html

概要
複数のマイクロソフト製品には、脆弱性があります。同社は、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://msrc.microsoft.com/blog/2025/04/202504-security-update/

目　次
【1】MinIOにおける署名検証不備の脆弱性
【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
【3】複数のMozilla製品に脆弱性
【4】Google Chromeに複数の脆弱性
【5】SnapCenterにおける権限昇格の脆弱性
【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
【8】複数のApple製品に脆弱性
【9】金融庁が証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表
【10】CSIJがCSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開
【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】MinIOにおける署名検証不備の脆弱性
情報源
https://github.com/minio/minio/security/advisories/GHSA-wg47-6jq2-q2hh

概要
MinIOには、署名検証不備の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」における複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93925742/

概要
因幡電機産業製Wi-Fi AP UNIT「AC-WPS-11acシリーズ」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.inaba.co.jp/abaniact/news/security_20250404.pdf

【3】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-20/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbird、Thunderbird ESRが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-21/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-22/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-23/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-24/

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/04/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】SnapCenterにおける権限昇格の脆弱性
情報源
https://security.netapp.com/advisory/ntap-20250324-0001/

概要
SnapCenterには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】WordPress用プラグインWelcart e-Commerceにおける信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://jvn.jp/jp/JVN87266215/

概要
株式会社Welcartが提供するWordPress用プラグインWelcart e-Commerceには、信頼できないデータのデシリアライゼーションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.welcart.com/archives/23868.html

【7】キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバにおける複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93701955/

概要
キヤノン製プロダクション/オフィス/スモールオフィス向け複合機およびレーザービームプリンターの一部のプリンタドライバには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新するか、ワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://canon.jp/support/support-info/250328vulnerability-response

https://psirt.canon/advisory-information/cp2025-002/

https://psirt.canon/advisory-information/cp2025-003/

【8】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/122345

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/122346

https://support.apple.com/ja-jp/122371

https://support.apple.com/ja-jp/122372

https://support.apple.com/ja-jp/122373

https://support.apple.com/ja-jp/122374

https://support.apple.com/ja-jp/122375

https://support.apple.com/ja-jp/122376

https://support.apple.com/ja-jp/122377

https://support.apple.com/ja-jp/122378

https://support.apple.com/ja-jp/122379

https://support.apple.com/ja-jp/122380

【9】金融庁が証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表
情報源
https://www.fsa.go.jp/ordinary/chuui/chuui_phishing.html

概要
金融庁は、証券会社のウェブサイトを装う偽サイト（フィッシングサイト）に関する注意喚起を公表しました。実在する証券会社のウェブサイトを装った偽のウェブサイト（フィッシングサイト）に電子メール等で誘導し、ログインIDやパスワード等を入力させ、顧客情報を窃取する被害が多発しているとのことです。本注意喚起では、フィッシングの被害に遭わないための対応や対策を紹介しています。

【10】CSIJがCSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開
情報源
https://www.csi-japan.org/_files/ugd/e66227_5d77080aa4354852b5b2e0a2278f421a.pdf

概要
CSIJは、CSIJ共通評価フレームワーク（セキュリティ体制版）調査結果レポート「2024年度 一般公開版」を公開しました。本調査は、企業のセキュリティ体制の現状を把握・分析し、企業の課題への対策を提言することで日本の組織のセキュリティレベル向上を目指すことを目的としています。調査結果から「インシデントレスポンス」と「教育」の強化が必要であることや、企業規模によってセキュリティ体制の整備状況や重点項目が異なることが整理されています。

【11】Ivanti Connect Secureなどにおけるスタックベースのバッファーオーバーフローの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250008.html

概要
Ivanti製Ivanti Connect Secure、Policy Secure、ZTAゲートウェイには、スタックベースのバッファーオーバーフローの脆弱性があります。Ivantiは、当該脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://forums.ivanti.com/s/article/April-Security-Advisory-Ivanti-Connect-Secure-Policy-Secure-ZTA-Gateways-CVE-2025-22457

目　次
【1】FireFoxにサンドボックス回避の脆弱性
【2】GitLabに複数の脆弱性
【3】Google Chromeにサンドボックス回避の脆弱性
【4】AssetViewにおける複数の脆弱性
【5】JNSAが「生成AIを利用する上でのセキュリティ成熟度モデル」を公開
【6】a-blog cmsに信頼できないデータのデシリアライゼーションの脆弱性
【7】JPCERT/CCが「制御システムセキュリティカンファレンス2025 開催レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FireFoxにサンドボックス回避の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-19/

概要
FireFox、ForefoxESRには、サンドボックス回避の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参考にしてください。

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/03/26/patch-release-gitlab-17-10-1-released/

概要
Gitlabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeにサンドボックス回避の脆弱性
情報源
https://chromereleases.googleblog.com/2025/03/stable-channel-update-for-desktop_25.html

概要
Google Chromeには、サンドボックス回避の脆弱性があります。Googleは、今回修正された脆弱性についてすでに悪用された可能性があるという報告を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】AssetViewにおける複数の脆弱性
情報源
https://jvn.jp/jp/JVN26321838/

概要
株式会社ハンモックが提供するAssetViewには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.hammock.jp/assetview/info/250325.html

【5】JNSAが「生成AIを利用する上でのセキュリティ成熟度モデル」を公開
情報源
https://www.jnsa.org/result/aisec/2024/

概要
JNSAが、「生成AIを利用する上でのセキュリティ成熟度モデル」を公開しました。本資料は、生成AIをセキュアに利用していく上で必要な項目を生成AIの利用ケースごとにマッピングを行い、生成AIを利用していく組織の一助になることを目的としたものです。

【6】a-blog cmsに信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250007.html

概要
有限会社アップルップルが提供するa-blog cmsには、信頼できないデータのデシリアライゼーションの脆弱性があります。有限会社アップルップルは、今回修正された脆弱性を悪用した攻撃を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://developer.a-blogcms.jp/blog/news/security-update202503.html

https://developer.a-blogcms.jp/blog/news/entry-4197.html

https://jvn.jp/jp/JVN66982699/

【7】JPCERT/CCが「制御システムセキュリティカンファレンス2025 開催レポート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/03/ics-conference2025.html

概要
JPCERT/CCは、「制御システムセキュリティカンファレンス2025 開催レポート」を公開しました。2025年2月5日に開催した本カンファレンスの開会・閉会のご挨拶および7つの講演の様子を紹介いたします。