ミニ・いんふぉめーしょん

目　次
【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
【2】複数のAtlassian製品に脆弱性
【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
【4】2025年10月Oracle Critical Patch Updateについて
【5】Squidに情報漏えいの脆弱性
【6】JAIPA Cloud Conference 2025開催のお知らせ
【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
【8】ISC BIND 9における複数の脆弱性について（2025年10月）
【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN20611740/

概要
株式会社インプリムが提供するプリザンターには、複数の格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-20251024

【2】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN03295012/

概要
株式会社アイ・オー・データ機器が提供するNarSuSアプリには、引用符で囲まれていないファイルパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/10_NarSuS_App

【4】2025年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。

【5】Squidに情報漏えいの脆弱性
情報源
https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr

概要
Squidには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】JAIPA Cloud Conference 2025開催のお知らせ
情報源
https://cloudconference.jaipa.or.jp/

概要
2025年11月6日、一般社団法人 日本インターネットプロバイダー協会 クラウド部会が「JAIPA Cloud Conference 2025」を開催します。クラウドサービスプロバイダー（IaaS／PaaS／SaaS）、システムインテグレーター、ソリューションベンダーなどが参加するイベントです。JPCERT/CCはJAIPA Cloud Conference 2025を後援しています。参加費は無料で、参加には事前の申し込みが必要です。

【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
情報源
https://www.meti.go.jp/press/2025/10/20251024002/20251024002.html

概要
経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開しました。本ガイドラインは、主に半導体デバイスメーカーの製造部門（実務者レベル）を想定読者としており、国家の支援を受けたグループ（APT）を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針が示されています。

【8】ISC BIND 9における複数の脆弱性について（2025年10月）
情報源
https://www.jpcert.or.jp/newsflash/2025102401.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2025-8677

https://kb.isc.org/docs/cve-2025-40778

https://kb.isc.org/docs/cve-2025-40780

https://jvn.jp/vu/JVNVU94483818

【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
情報源
https://www.jpcert.or.jp/newsflash/2025102101.html

概要
WatchGuard製ファイアウォール「Firebox」のikedには、境界外書込みの脆弱性があります。本脆弱性が悪用されると、遠隔の第三者に認証を回避され、任意のコードを実行される可能性があります。JPCERT/CCでは、実証コードが公開されていることを確認しています。また、本脆弱性の影響を受ける製品が国内で広く利用されていることを確認しており、速やかな対策の実施を推奨します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
情報源
https://www.jpcert.or.jp/newsflash/2025102001.html

概要
エムオーテックス株式会社のLANSCOPE エンドポイントマネージャー オンプレミス版には、通信チャネルの送信元検証不備の脆弱性があります。開発者によると、国内の顧客環境において特定のポートに不正なパケットを受信する事例が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.motex.co.jp/news/notice/2025/release251020/

https://jvn.jp/jp/JVN86318557/