« 2025年11月 | メイン | 2026年1月 »

2025年12月

2025年12月24日 (水)

■12/14(日)〜12/20(土) のセキュリティ関連情報

目 次
【1】Firefoxに複数の脆弱性
【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
【5】Google Chromeに複数の脆弱性
【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
【7】複数のApple製品に脆弱性
【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Firefoxに複数の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-98/

概要
Firefoxには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-97/


【2】Node.jsライブラリ「systeminformation」のfsSize関数にOSコマンドインジェクションの脆弱性
情報源
https://systeminformation.io/security.html

概要
Node.jsライブラリ「systeminformation」のfsSize関数には、OSコマンドインジェクションの脆弱性(CVE-2025-68154)があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://github.com/sebhildebrandt/systeminformation/security/advisories/GHSA-wphj-fx3q-84ch


【3】SonicWallのSMA1000シリーズに権限昇格の脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0019

概要
SonicWallのSMA1000シリーズには、権限昇格の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。複数の海外セキュリティ機関が、本脆弱性と他の脆弱性(CVE-2025-23006)との組み合わせにより、遠隔からroot権限でコード実行を行う悪用事例について言及しています。詳細は、開発者が提供する情報を参照してください。


【4】Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerに不適切な入力確認の脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sma-attack-N9bf4

概要
Cisco Secure Email GatewayおよびCisco Secure Email and Web Managerには、不適切な入力確認の脆弱性があります。特定の条件下で利用している場合、遠隔からroot権限で任意のコマンドを実行可能とのことです。なお、Ciscoは前述の条件下で利用される製品が侵害された事例を確認しているとのことです。開発者は、この問題を緩和するための推奨事項を公開しています。詳細は、開発者が提供する情報を参照してください。

関連文書
https://blog.talosintelligence.com/uat-9686/


【5】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_16.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】セイコーエプソン製プリンターのWeb Configにスタックベースのバッファオーバーフローの脆弱性
情報源
https://jvn.jp/jp/JVN51846148/

概要
セイコーエプソン株式会社が提供する複数のプリンター製品に導入されているWeb Configには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。なお、開発者は、対策ファームウェアの提供予定のない製品については、ワークアラウンドの適用を強く推奨しています。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.epson.jp/support/misc_t/251216_oshirase.htm


【7】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125884

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。Appleは、今回修正された脆弱性の一部について、特定の個人を標的とした限定的な攻撃で悪用された可能性があるという報告を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。

関連文書
https://support.apple.com/ja-jp/125885

https://support.apple.com/ja-jp/125886

https://support.apple.com/ja-jp/125887

https://support.apple.com/ja-jp/125888

https://support.apple.com/ja-jp/125889

https://support.apple.com/ja-jp/125890

https://support.apple.com/ja-jp/125891

https://support.apple.com/ja-jp/125892


【8】IPAが「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開
情報源
https://www.ipa.go.jp/security/anshin/heads-up/alert20251216.html

概要
独立行政法人情報処理推進機構(IPA)は、「2025年度 年末年始における情報セキュリティに関する注意喚起」を公開しました。年末年始における、個人の利用者、企業や組織の利用者、企業や組織の管理者、それぞれの対象者に対して取るべき対策を説明しています。

投稿時刻 13:21 セキュリティ | | コメント (0)

2025年12月17日 (水)

■12/07(日)〜12/13(土) のセキュリティ関連情報

目 次
【1】Gogsにリモートコード実行可能な脆弱性
【2】QNDに権限昇格の脆弱性
【3】ブラザー製iPrint&Scanにバンドルされている.NET 8.0に複数の脆弱性
【4】複数のMozilla製品に脆弱性
【5】GitLabに複数の脆弱性
【6】Google Chromeに複数の脆弱性
【7】Apache Struts 2にサービス運用妨害(DoS)の脆弱性
【8】複数のFortinet製品に脆弱性
【9】エレコム製クローン for Windowsに引用符で囲まれていないファイルパスの脆弱性
【10】複数のアドビ製品に脆弱性
【11】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Gogsにリモートコード実行可能な脆弱性
情報源
https://www.wiz.io/blog/wiz-research-gogs-cve-2025-8110-rce-exploit

概要
Gogsには、リモートコード実行可能な脆弱性があります。海外セキュリティ企業Wizは、本脆弱性を悪用する攻撃を確認しており、インターネットに公開されている700件以上のGogsサーバーが侵害されている可能性を指摘しています。本記事執筆時点において、この問題を修正するアップデートは提供されていませんが、Wizから緩和策や攻撃の痕跡に関する情報が提供されています。詳細は、Wizが提供する情報を参照してください。また、今後開発者から提供される情報を注視してください。

関連文書
https://www.cve.org/CVERecord?id=CVE-2025-8110


【2】QNDに権限昇格の脆弱性
情報源
https://jvn.jp/jp/JVN40102375/

概要
クオリティソフト株式会社が提供するQNDには、権限昇格の脆弱性があります。この問題は、当該製品に開発者が提供するパッチを適用することで解決します。なお、パッチ適用にあたり、事前にバージョンをVer.11.0.9iにする必要があります。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.qualitysoft.com/product/qnd_vulnerabilities_2025/


【3】ブラザー製iPrint&Scanにバンドルされている.NET 8.0に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU99295063/

概要
ブラザー工業株式会社が提供するiPrint&Scanには.NET 8.0コンポーネントがバンドルされており、それらコンポーネントに複数の脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13714


【4】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-92/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-93/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-94/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-95/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-96/


【5】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/12/10/patch-release-gitlab-18-6-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【6】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop_10.html

概要
Google Chromeには、複数の脆弱性があります。開発者によると、今回修正された一部の脆弱性の悪用を確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【7】Apache Struts 2にサービス運用妨害(DoS)の脆弱性
情報源
https://jvn.jp/vu/JVNVU95258252/

概要
The Apache Software Foundationが提供するApache Struts 2には、サービス運用妨害(DoS)の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://cwiki.apache.org/confluence/display/WW/S2-068

https://struts.apache.org/announce-2025#a20251201


【8】複数のFortinet製品に脆弱性
情報源
https://www.fortiguard.com/psirt/FG-IR-25-647

概要
複数のFortinet製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.fortiguard.com/psirt?filter=1


【9】エレコム製クローン for Windowsに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN33172708/

概要
エレコム株式会社が提供するクローン for Windowsには、Windowsサービス登録時にプログラムのファイルパスが引用符で囲まれていない脆弱性があります。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.elecom.co.jp/news/security/20251209-01/


【10】複数のアドビ製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250026.html

概要
複数のアドビ製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://helpx.adobe.com/security/security-bulletin.html


【11】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250025.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトによると、今回修正された一部の脆弱性を悪用する攻撃を確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。

関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/12/202512-security-update/

投稿時刻 17:19 セキュリティ | | コメント (0)

2025年12月10日 (水)

■11/30(日)〜12/06(土) のセキュリティ関連情報

目 次
【1】Apache HTTP Server 2.4に複数の脆弱性
【2】Google Chromeに複数の脆弱性
【3】JPCERT/CCが「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開
【4】Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】Apache HTTP Server 2.4に複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97286548/

概要
Apache HTTP Server 2.4には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://httpd.apache.org/security/vulnerabilities_24.html#2.4.66


【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/12/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】JPCERT/CCが「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開
情報源
https://www.jpcert.or.jp/newsflash/2025120501.html

概要
JPCERT/CCは、「React Server Componentsの脆弱性(CVE-2025-55182)について」を公開しました。攻撃者が細工したHTTPリクエスト(HTTP経由の不正なFlightペイロード)をReact Server Components(RSC)を処理するサーバーに送信することで、リモートコード実行につながる可能性があります。JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。React Server Componentsまたは影響対象のフレームワークを使用している場合、開発元が提供する情報を参照し、対策や調査の実施をご検討ください。
関連文書
https://react.dev/blog/2025/12/03/critical-security-vulnerability-in-react-server-components


【4】Array Networks Array AGシリーズにおけるコマンドインジェクションの脆弱性に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250024.html

概要
Array Networksが提供するArray AGシリーズのDesktopDirect機能には、コマンドインジェクションの脆弱性があります。JPCERT/CCは、本脆弱性を悪用した攻撃の被害を受けたという報告を国内の組織から受領しています。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://x.com/ArraySupport/status/1921373397533032590

投稿時刻 13:18 セキュリティ | | コメント (0)

2025年12月 3日 (水)

11/23(日)〜11/29(土) のセキュリティ関連情報

目 次
【1】JavaScriptライブラリ「Forge」に署名検証不備の脆弱性
【2】GitLabに複数の脆弱性
【3】ASUS製ルーターに複数の脆弱性
【4】Fluent Bitに複数の脆弱性
【5】インターコム製MaLionの端末エージェント(Windows)に複数の脆弱性
【6】ソニー製SNC-CX600Wに複数の脆弱性
【7】スマートフォンアプリ「FOD」 にハードコードされた暗号鍵使用の脆弱性
【8】JPCERT/CC ベストレポーター賞 2025
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/


【1】JavaScriptライブラリ「Forge」に署名検証不備の脆弱性
情報源
https://jvn.jp/vu/JVNVU90064104/

概要
JavaScriptライブラリForge(npmパッケージではnode-forgeとして利用可能)には、メッセージ認証コード(MAC)データなどのフィールドが細工されたASN.1構造のデータを処理する際に、署名検証がバイパスされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/digitalbazaar/forge/pull/1116


【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/11/26/patch-release-gitlab-18-6-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。


【3】ASUS製ルーターに複数の脆弱性
情報源
https://www.bleepingcomputer.com/news/security/asus-warns-of-new-critical-auth-bypass-flaw-in-aicloud-routers/

概要
ASUSが提供するルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.asus.com/security-advisory/


【4】Fluent Bitに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU98826583/

概要
Fluent Bitには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://fluentbit.io/announcements/v4.1.0/


【5】インターコム製MaLionの端末エージェント(Windows)に複数の脆弱性
情報源
https://jvn.jp/jp/JVN76298784/

概要
株式会社インターコムが提供するMaLionの端末エージェント(Windows)には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intercom.co.jp/information/2025/1125.html


【6】ソニー製SNC-CX600Wに複数の脆弱性
情報源
https://jvn.jp/jp/JVN75140384/

概要
ソニー株式会社が提供するSNC-CX600Wには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、一部の脆弱性においては、推奨されるワークアラウンドを実施することで、影響を緩和することが可能です。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.sony.jp/snc/download/service/verup_vb600_vm600.html


【7】スマートフォンアプリ「FOD」 にハードコードされた暗号鍵使用の脆弱性
情報源
https://jvn.jp/jp/JVN63368617/

概要
株式会社フジテレビジョンが提供するスマートフォンアプリ「FOD」には、ハードコードされた暗号鍵使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://help.fod.fujitv.co.jp/hc/ja/articles/48337068747033


【8】JPCERT/CC ベストレポーター賞 2025
情報源
https://www.jpcert.or.jp/award/best-reporter-award/2025.html

概要
JPCERT/CCは11月27日、ベストレポーター賞2025の受賞者を発表しました。ベストレポーター賞は、インシデント報告と脆弱性報告のそれぞれの部門において、情報提供によりJPCERT/CCの活動に顕著な貢献をいただいた方に年1回、記念品の贈呈とともに感謝の意を表するものです。
JPCERT/CCは、多くの報告者の方々に日々ご協力いただいております。JPCERT/CCに報告をくださったすべての方々に、この場を借りて感謝申し上げます。引き続きJPCERT/CCの活動にご協力いただければと存じます。

投稿時刻 13:42 セキュリティ | | コメント (0)