■01/18(日)〜01/24(土) のセキュリティ関連情報
目 次
【1】複数のASUSTeK COMPUTER製ルーターにコマンドインジェクションの脆弱性
【2】複数のブラザー製インストーラにDLL読み込みに関する脆弱性
【3】PRIMERGYが搭載する「iRMC S5/S6」に不適切な権限設定の脆弱性
【4】ISC BIND 9にサービス運用妨害(DoS)につながる脆弱性
【5】Redisに信頼できないデータのデシリアライゼーションの脆弱性
【6】複数のCisco製品に脆弱性
【7】GitLabに複数の脆弱性
【8】Zoom NodeのMultimedia Routerにコマンドインジェクションの脆弱性
【9】2026年1月Oracle Critical Patch Updateについて
【10】Google Chromeに競合状態の脆弱性
【11】Genshiにサーバサイドテンプレートインジェクションの脆弱性
【12】ETERNUS SF製品に保守資料からの情報漏えいの脆弱性
【13】JPCERT/CCが2025年10月-12月分の「JPCERT/CC 四半期レポート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/
【1】複数のASUSTeK COMPUTER製ルーターにコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN67560152/
概要
ASUSTeK COMPUTER INC.が提供する複数のルーターには、コマンドインジェクションの脆弱性があります。情報通信研究機構(NICT)によると、本脆弱性を悪用する攻撃を確認しているとのことです。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blog.nicter.jp/2025/04/asus_aicloud/
https://www.asus.com/security-advisory/
【2】複数のブラザー製インストーラにDLL読み込みに関する脆弱性
情報源
https://jvn.jp/vu/JVNVU93474119/
概要
ブラザー工業株式会社が提供する複数のインストーラには、DLL読み込みに関する脆弱性があります。この問題は、本件の対策が行われている最新版のインストーラを使用することで解決します。また、すでにインストールが完了しているソフトウェア自体には問題ありません。詳細は、開発者が提供する情報を参照してください。
関連文書
https://faq.brother.co.jp/app/answers/detail/a_id/13715
【3】PRIMERGYが搭載する「iRMC S5/S6」に不適切な権限設定の脆弱性
情報源
https://jvn.jp/vu/JVNVU95177764/
概要
エフサステクノロジーズ製のPRIMERGY(プライマジー)が搭載するリモート管理モジュール「iRMC S5/S6」には、不適切な権限設定の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。また、開発者から更新が適用できない場合の回避策が示されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fsastech.com/ja-jp/resources/security/2026/0119-1.html
【4】ISC BIND 9にサービス運用妨害(DoS)につながる脆弱性
情報源
https://jvn.jp/vu/JVNVU94755059/
概要
ISC BIND 9には、サービス運用妨害(DoS)につながる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jprs.jp/tech/security/2026-01-22-bind9-vuln-dets.html
https://kb.isc.org/docs/cve-2025-13878
【5】Laravel Reverbに信頼できないデータのデシリアライゼーションの脆弱性
情報源
https://github.com/laravel/reverb/security/advisories/GHSA-m27r-m6rx-mhm4
概要
Laravel Reverbには、水平スケーリングが有効になっている場合に信頼できないデータのデシリアライゼーションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。(※2026年1月29日、掲載内容の誤りを修正しました。)
【6】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-voice-rce-mORhqY4b
概要
Ciscoは同社製品の脆弱性に関するアドバイザリを計4件(Critical 1件、Medium 3件)公開しました。対象は多岐にわたります。そのうち、Cisco Unified Communications Managerなどの脆弱性(CVE-2026-20045)は、悪用の試みが確認されているとのことです。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x
【7】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2026/01/21/patch-release-gitlab-18-8-2-released/
概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【8】Zoom NodeのMultimedia Routerにコマンドインジェクションの脆弱性
情報源
https://www.zoom.com/en/trust/security-bulletin/zsb-26001/
概要
Zoom NodeのMultimedia Routerには、コマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【9】2026年1月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpujan2026.html
概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、開発者が提供する情報を参照してください。
【10】Google Chromeに競合状態の脆弱性
情報源
https://chromereleases.googleblog.com/2026/01/stable-channel-update-for-desktop_20.html
概要
Google Chromeには、競合状態の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
【11】Genshiにサーバサイドテンプレートインジェクションの脆弱性
情報源
https://kb.cert.org/vuls/id/244846
概要
Edgewallが提供するpythonライブラリGenshiには、サーバーサイドテンプレートインジェクションの脆弱性があります。この問題は、ワークアラウンドを実施することで、影響を軽減することが可能です。詳細は、CERT/CCが提供する情報を参照してください。
【12】ETERNUS SF製品に保守資料からの情報漏えいの脆弱性
情報源
https://jvn.jp/vu/JVNVU94305241/
概要
エフサステクノロジーズ株式会社が提供するETERNUS SF製品には、保守資料からの情報漏えいの脆弱性があります。この問題は、当該製品に修正パッチを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.fsastech.com/ja-jp/resources/security/2026/0114.html
【13】JPCERT/CCが2025年10月-12月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2026/QR_FY2025-Q3.pdf
概要
JPCERT/CCは、2025年10月から12月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。
コメント