ミニ・いんふぉめーしょん

目　次
【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
【2】複数のAtlassian製品に脆弱性
【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
【4】2025年10月Oracle Critical Patch Updateについて
【5】Squidに情報漏えいの脆弱性
【6】JAIPA Cloud Conference 2025開催のお知らせ
【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
【8】ISC BIND 9における複数の脆弱性について（2025年10月）
【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN20611740/

概要
株式会社インプリムが提供するプリザンターには、複数の格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-20251024

【2】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN03295012/

概要
株式会社アイ・オー・データ機器が提供するNarSuSアプリには、引用符で囲まれていないファイルパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/10_NarSuS_App

【4】2025年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。

【5】Squidに情報漏えいの脆弱性
情報源
https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr

概要
Squidには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】JAIPA Cloud Conference 2025開催のお知らせ
情報源
https://cloudconference.jaipa.or.jp/

概要
2025年11月6日、一般社団法人 日本インターネットプロバイダー協会 クラウド部会が「JAIPA Cloud Conference 2025」を開催します。クラウドサービスプロバイダー（IaaS／PaaS／SaaS）、システムインテグレーター、ソリューションベンダーなどが参加するイベントです。JPCERT/CCはJAIPA Cloud Conference 2025を後援しています。参加費は無料で、参加には事前の申し込みが必要です。

【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
情報源
https://www.meti.go.jp/press/2025/10/20251024002/20251024002.html

概要
経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開しました。本ガイドラインは、主に半導体デバイスメーカーの製造部門（実務者レベル）を想定読者としており、国家の支援を受けたグループ（APT）を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針が示されています。

【8】ISC BIND 9における複数の脆弱性について（2025年10月）
情報源
https://www.jpcert.or.jp/newsflash/2025102401.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2025-8677

https://kb.isc.org/docs/cve-2025-40778

https://kb.isc.org/docs/cve-2025-40780

https://jvn.jp/vu/JVNVU94483818

【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
情報源
https://www.jpcert.or.jp/newsflash/2025102101.html

概要
WatchGuard製ファイアウォール「Firebox」のikedには、境界外書込みの脆弱性があります。本脆弱性が悪用されると、遠隔の第三者に認証を回避され、任意のコードを実行される可能性があります。JPCERT/CCでは、実証コードが公開されていることを確認しています。また、本脆弱性の影響を受ける製品が国内で広く利用されていることを確認しており、速やかな対策の実施を推奨します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
情報源
https://www.jpcert.or.jp/newsflash/2025102001.html

概要
エムオーテックス株式会社のLANSCOPE エンドポイントマネージャー オンプレミス版には、通信チャネルの送信元検証不備の脆弱性があります。開発者によると、国内の顧客環境において特定のポートに不正なパケットを受信する事例が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.motex.co.jp/news/notice/2025/release251020/

https://jvn.jp/jp/JVN86318557/

目　次
【1】複数のSAP製品に脆弱性
【2】desknet's NEOに複数の脆弱性
【3】ChatLuckに複数の脆弱性
【4】複数のF5製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに解放済みメモリの使用の脆弱性
【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/october-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】desknet's NEOに複数の脆弱性
情報源
https://jvn.jp/jp/JVN90757550/

概要
株式会社ネオジャパンが提供するグループウェア「desknet's NEO」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.desknets.com/neo/support/mainte/17475/

【3】ChatLuckに複数の脆弱性
情報源
https://jvn.jp/jp/JVN13030751/

概要
株式会社ネオジャパンが提供するビジネスチャットツール「ChatLuck」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.chatluck.com/support/package/mainte/pchatluck-製品における、複数のセキュリティ上の問題に/

【4】複数のF5製品に脆弱性
情報源
https://my.f5.com/manage/s/article/K000154696

概要
F5は、2025年10月15日（現地時間）、BIG-IP製品の開発環境やエンジニアリングナレッジ管理プラットフォームに攻撃者が侵入し、ファイルを流出させた事実を本年8月に確認していたことを公表しました。流出したファイルには、BIG-IP製品のソースコードの一部やBIG-IPで対応中の未公表脆弱性に関する情報が含まれていたとのことです。同社は同日、BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアドバイザリを公表しており、迅速なアップデートをユーザーに推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000156572

【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/

【6】Google Chromeに解放済みメモリの使用の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

概要
Google Chromeには解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2025/QR_FY2025-Q2.pdf

概要
JPCERT/CCは、2025年7月から9月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。

【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250022.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/

目　次
【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
【2】GitLabに複数の脆弱性
【3】ArcGIS ServerにSQLインジェクションの脆弱性
【4】複数のJuniper Networks製品に脆弱性
【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
情報源
https://jvn.jp/vu/JVNVU95494957/

概要
Draytek製Vigorルーターには、初期化されていないリソース使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.draytek.com/about/security-advisory/use-of-uninitialized-variable-vulnerabilities/

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】ArcGIS ServerにSQLインジェクションの脆弱性
情報源
https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch

概要
Esriが提供する地理情報システム（GIS）ソフトウェアArcGIS Serverには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のJuniper Networks製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Specific-BGP-EVPN-update-message-causes-rpd-crash-CVE-2025-60004

概要
複数のJuniper Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri#sortCriteria=date%20descending&f-sf_primarysourcename=Knowledge&f-sf_articletype=Security%20Advisories&numberOfResults=25

【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
情報源
https://redis.io/blog/security-advisory-cve-2025-49844/

概要
RedisのLuaスクリプト実行機能には、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
情報源
https://jvn.jp/jp/JVN95806263/

概要
株式会社デンソーテンが提供する複数のドライブレコーダー ビューアのインストーラーには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性があります。この問題に対して、開発者から本脆弱性を修正したインストーラーが提供されています。製品をインストールする際は最新版のインストーラーを使用してください。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.denso-ten.com/jp/information/topics/2025/1002/

【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
情報源
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

概要
Oracle E-Business Suiteには、遠隔から認証なしでコードを実行可能な脆弱性があります。開発者によると、本脆弱性は悪用された可能性があるとのことです。この問題は、当該製品を更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blogs.oracle.com/security/post/apply-july-2025-cpu

目　次
【1】OpenSSLに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】npmで発生した大規模なサプライチェーン侵害について
【6】複数のVMware製品に脆弱性
【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93161789/

概要
OpenSSLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-80/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox for iOSが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-79/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125326

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125327

https://support.apple.com/ja-jp/125328

https://support.apple.com/ja-jp/125329

https://support.apple.com/ja-jp/125330

https://support.apple.com/ja-jp/125338

【5】npmで発生した大規模なサプライチェーン侵害について
情報源
https://kb.cert.org/vuls/id/534320

概要
2025年9月15日（現地時間）、ソフトウェアサプライチェーンセキュリティ企業のSocketが主要なnpmサプライチェーンにおける大規模なセキュリティ侵害の調査状況について公表しています。CERT/CCはこの件に関連して2025年9月29日（現地時間）にアドバイザリを発行し、npmユーザーおよび開発者向けに推奨事項を提示しています。
関連文書
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

【6】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149

概要
Broadcomが提供する複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。なお、今回公表された脆弱性のうち、VMware Aria OperationおよびVMware Toolsにおけるローカル権限昇格の脆弱性（CVE-2025-41244）について、脆弱性を報告した海外セキュリティ企業のNVISOが脆弱性の悪用の可能性を示すブログ記事を公表しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150

https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/

【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
情報源
https://blog.nicter.jp/2025/09/nicter_statistics_2025_2q/

概要
情報通信研究機構（NICT）は、「NICTER観測統計 - 2025年4月-6月」を公開しました。
NICTERプロジェクトのダークネット観測網における2025年第2四半期（4月-6月）の観測結果をまとめています。

【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
情報源
https://www.jpcert.or.jp/newsflash/2025093001.html

概要
複数のCisco製品には、任意のコード実行につながる脆弱性（CVE-2025-20363）があります。本脆弱性は、ArcaneDoor攻撃キャンペーンに関連して悪用が確認されたとされる2件（CVE-2025-20333、CVE-2025-20362）と同時期に公表されたもので、Cisco ASA、FTD、IOS、IOS XEおよびIOS XRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

目　次
【1】GitLabに複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/09/25/patch-release-gitlab-18-4-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計19件（Critical 2件、High 8件、Medium 9件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。なお、CVE-2025-20333およびCVE-2025-20362は悪用が確認されており、JPCERT/CCは注意喚起を発行しています。また、CVE-2025-20363は悪用の観測は無いもののCriticalと評価されているため、早急に対処を検討してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250021.html

概要
Cisco Adaptive Security Appliance（ASA）およびFirewall Threat Defense（FTD）には、複数の脆弱性があります。これらの脆弱性の悪用を開発元は確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks