ミニ・いんふぉめーしょん

目　次
【1】LogStare Collectorに複数の脆弱性
【2】EPSON WebConfig / Epson Web Controlに過度な認証試行の不適切な制限の脆弱性
【3】複数のAtlassian製品に脆弱性
【4】SonicWallのSonicOSにスタックベースのバッファオーバーフローの脆弱性
【5】FortinetのFortiWebにOSコマンドインジェクションの脆弱性
【6】PostgreSQLのpgAdminに複数の脆弱性
【7】Google Chromeに複数の脆弱性
【8】JPCERT/CCが「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】LogStare Collectorに複数の脆弱性
情報源
https://jvn.jp/jp/JVN77560819/

概要
株式会社LogStareが提供するLogStare Collectorには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.logstare.com/vulnerability/2025-001/

【2】EPSON WebConfig / Epson Web Controlに過度な認証試行の不適切な制限の脆弱性
情報源
https://jvn.jp/vu/JVNVU95021911/

概要
セイコーエプソン株式会社が提供する一部のプロジェクターのEPSON WebConfig / Epson Web Controlには、過度な認証試行の不適切な制限の脆弱性があります。この問題は、修正済みのファームウェアに更新する、またはワークアラウンドを実施することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.epson.jp/support/misc_t/251120_oshirase.htm

【3】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-november-18-2025-1671463469.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】SonicWallのSonicOSにスタックベースのバッファオーバーフローの脆弱性
情報源
https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2025-0016

概要
SonicWallが提供するSonicOSには、スタックベースのバッファオーバーフローの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】FortinetのFortiWebにOSコマンドインジェクションの脆弱性
情報源
https://fortiguard.fortinet.com/psirt/FG-IR-25-513

概要
Fortinetが提供するFortiWebには、OSコマンドインジェクションの脆弱性があります。開発者は、本脆弱性が悪用されていることを確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】PostgreSQLのpgAdminに複数の脆弱性
情報源
https://www.postgresql.org/about/news/pgadmin-4-v910-released-3173/

概要
PostgreSQLが提供するpgAdminには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。開発者は、今回修正された一部の脆弱性が悪用された可能性があるとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】JPCERT/CCが「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/11/YAMAGoya.html

概要
JPCERT/CCは、「SigmaおよびYARAルールを活用したリアルタイムクライアント監視ツールYAMAGoya」を公開しました。本ブログでは、SigmaおよびYARAルールを直接利用できるオープンソースのスレットハンティングツールであるYAMAGoyaについて解説しています。
関連文書
https://github.com/JPCERTCC/YAMAGoya

目　次
【1】FortinetのFortiWebに相対パストラバーサルの脆弱性
【2】Cisco Catalyst Centerに複数の脆弱性
【3】Drupal coreに複数の脆弱性
【4】GitLabに複数の脆弱性
【5】複数のIntel製品に脆弱性
【6】複数のMozilla製品に脆弱性
【7】Google Chromeにヒープ破壊される可能性のある脆弱性
【8】複数のSAP製品に脆弱性
【9】QNAP製OS QTSおよびQuTS heroに複数の脆弱性
【10】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】FortinetのFortiWebに相対パストラバーサルの脆弱性
情報源
https://fortiguard.fortinet.com/psirt/FG-IR-25-910

概要
Fortinetが提供するFortiWebには、相対パストラバーサルの脆弱性があります。開発者は、本脆弱性が悪用されていることを確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Cisco Catalyst Centerに複数の脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-catc-priv-esc-VS8EeCuX

概要
Cisco Catalyst Centerには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】Drupal coreに複数の脆弱性
情報源
https://www.drupal.org/sa-core-2025-005

概要
Drupal coreには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.drupal.org/security

【4】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/11/12/patch-release-gitlab-18-5-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のIntel製品に脆弱性
情報源
https://jvn.jp/vu/JVNVU90530817/

概要
複数のIntel製品には、脆弱性があります。対象となる製品およびバージョンは多岐にわたります。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.intel.com/content/www/us/en/security-center/default.html

【6】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-87/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-88/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-89/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-90/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-91/

【7】Google Chromeにヒープ破壊される可能性のある脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop_11.html

概要
Google Chromeには、ヒープ破壊される可能性のある脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【8】複数のSAP製品に脆弱性
情報源
https://support.sap.com/en/my-support/knowledge-base/security-notes-news/november-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【9】QNAP製OS QTSおよびQuTS heroに複数の脆弱性
情報源
https://www.qnap.com/en/security-advisory/qsa-25-45

概要
QNAP製NAS製品に搭載されるOS QTSおよびQuTS heroには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【10】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250023.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/11/202511-security-update/

目　次
【1】バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性
【2】CLUSTERPRO XにOSコマンドインジェクションの脆弱性
【3】GROWIに格納型クロスサイトスクリプティングの脆弱性
【4】Google Chromeに複数の脆弱性
【5】複数のCisco製品に脆弱性
【6】複数のApple製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】バッファロー製Wi-Fiルーター「WSR-1800AX4シリーズ」に強度が不十分なパスワードハッシュの使用の脆弱性
情報源
https://jvn.jp/jp/JVN13754005/

概要
株式会社バッファローが提供するWi-Fiルーター「WSR-1800AX4シリーズ」には、強度が不十分なパスワードハッシュの使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.buffalo.jp/news/detail/20251107-01.html

【2】CLUSTERPRO XにOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/jp/JVN59387134/

概要
日本電気株式会社が提供するCLUSTERPRO X（英語名：EXPRESSCLUSTER X）には、OSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-006.html

https://jpn.nec.com/security-info/secinfo/nv25-006_en.html

【3】GROWIに格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN95942191/

概要
株式会社GROWIが提供するGROWIには、格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://growi.co.jp/news/39/

【4】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/11/stable-channel-update-for-desktop.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-cc-unauth-rce-QeN8h7mQ

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計4件（Critical 1件、High 1件、Medium 2件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【6】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125632

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/100100

【1】Apache Tomcatに複数の脆弱性
【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性
【3】Google Chromeに複数の脆弱性
【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性
【5】NCAが「CSIRTスタータキット V3」を公開
【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開
【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Apache Tomcatに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU95235705/

概要
Apache Tomcatには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】Mozilla Firefoxに解放済みメモリの使用の脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-86/

概要
Mozillaが提供するFirefoxには、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_28.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】TP-Link製Omadaゲートウェイに複数のOSコマンドインジェクションの脆弱性
情報源
https://jvn.jp/vu/JVNVU90150763/

概要
TP-LINKが提供するOmadaゲートウェイには、複数のOSコマンドインジェクションの脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.omadanetworks.com/en/document/108455/

【5】NCAが「CSIRTスタータキット V3」を公開
情報源
https://www.nca.gr.jp/activity/pub_doc/csirtstarterkit.html

概要
一般社団法人日本シーサート協議会（NCA）が、「CSIRTスタータキット V3」を公開しました。CSIRTの新規設立や体制整備を検討している組織向けに必要な規程や手順などについて整理されたガイドとしている、とのことです。

【6】JPCERT/CCが「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開
情報源
https://www.jpcert.or.jp/newsflash/2025102901.html

概要
JPCERT/CCは、「既知または弱いシークレットを設定したWebアプリケーションの改ざんリスクについて」を公開しました。Webアプリケーションの構築に際し、Webフレームワークなどに推測可能な弱いシークレットなどを設定して本番運用しているサイトが攻撃者の標的となる事案が観測されており、対処を呼び掛けています。

【7】JPCERT/CCが「攻撃グループAPT-C-60による攻撃のアップデート」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/10/APT-C-60_update.html

概要
JPCERT/CCは、「攻撃グループAPT-C-60による攻撃のアップデート」を公開しました。当攻撃グループに関し昨年11月に公開した情報に続き、今回は2025年6月から8月にかけて確認した攻撃について、前回の観測からのアップデートを中心に解説しています。

目　次
【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
【2】複数のAtlassian製品に脆弱性
【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
【4】2025年10月Oracle Critical Patch Updateについて
【5】Squidに情報漏えいの脆弱性
【6】JAIPA Cloud Conference 2025開催のお知らせ
【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
【8】ISC BIND 9における複数の脆弱性について（2025年10月）
【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】プリザンターに複数の格納型クロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN20611740/

概要
株式会社インプリムが提供するプリザンターには、複数の格納型クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://pleasanter.org/archives/vulnerability-update-20251024

【2】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-october-21-2025-1652920034.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】アイ・オー・データ製NarSuSアプリに引用符で囲まれていないファイルパスの脆弱性
情報源
https://jvn.jp/jp/JVN03295012/

概要
株式会社アイ・オー・データ機器が提供するNarSuSアプリには、引用符で囲まれていないファイルパスの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/10_NarSuS_App

【4】2025年10月Oracle Critical Patch Updateについて
情報源
https://www.oracle.com/security-alerts/cpuoct2025.html

概要
Oracleから、複数の製品およびコンポーネントに含まれる脆弱性に対応したOracle Critical Patch Update Advisoryが公表されました。詳細は、Oracleが提供する情報を参照してください。

【5】Squidに情報漏えいの脆弱性
情報源
https://github.com/squid-cache/squid/security/advisories/GHSA-c8cc-phh7-xmxr

概要
Squidには、情報漏えいの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【6】JAIPA Cloud Conference 2025開催のお知らせ
情報源
https://cloudconference.jaipa.or.jp/

概要
2025年11月6日、一般社団法人 日本インターネットプロバイダー協会 クラウド部会が「JAIPA Cloud Conference 2025」を開催します。クラウドサービスプロバイダー（IaaS／PaaS／SaaS）、システムインテグレーター、ソリューションベンダーなどが参加するイベントです。JPCERT/CCはJAIPA Cloud Conference 2025を後援しています。参加費は無料で、参加には事前の申し込みが必要です。

【7】経済産業省が「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開
情報源
https://www.meti.go.jp/press/2025/10/20251024002/20251024002.html

概要
経済産業省が、「半導体デバイス工場におけるOTセキュリティガイドライン」の日本語版・英語版を公開しました。本ガイドラインは、主に半導体デバイスメーカーの製造部門（実務者レベル）を想定読者としており、国家の支援を受けたグループ（APT）を想定した対策レベルを実現するために必要な工場セキュリティ対策の指針が示されています。

【8】ISC BIND 9における複数の脆弱性について（2025年10月）
情報源
https://www.jpcert.or.jp/newsflash/2025102401.html

概要
ISC BIND 9には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://kb.isc.org/docs/cve-2025-8677

https://kb.isc.org/docs/cve-2025-40778

https://kb.isc.org/docs/cve-2025-40780

https://jvn.jp/vu/JVNVU94483818

【9】WatchGuard製ファイアウォール「Firebox」のikedにおける境界外書込みの脆弱性（CVE-2025-9242）について
情報源
https://www.jpcert.or.jp/newsflash/2025102101.html

概要
WatchGuard製ファイアウォール「Firebox」のikedには、境界外書込みの脆弱性があります。本脆弱性が悪用されると、遠隔の第三者に認証を回避され、任意のコードを実行される可能性があります。JPCERT/CCでは、実証コードが公開されていることを確認しています。また、本脆弱性の影響を受ける製品が国内で広く利用されていることを確認しており、速やかな対策の実施を推奨します。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

【10】LANSCOPE エンドポイントマネージャー オンプレミス版における通信チャネルの送信元検証不備の脆弱性（CVE-2025-61932）について
情報源
https://www.jpcert.or.jp/newsflash/2025102001.html

概要
エムオーテックス株式会社のLANSCOPE エンドポイントマネージャー オンプレミス版には、通信チャネルの送信元検証不備の脆弱性があります。開発者によると、国内の顧客環境において特定のポートに不正なパケットを受信する事例が確認されているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.motex.co.jp/news/notice/2025/release251020/

https://jvn.jp/jp/JVN86318557/

目　次
【1】複数のSAP製品に脆弱性
【2】desknet's NEOに複数の脆弱性
【3】ChatLuckに複数の脆弱性
【4】複数のF5製品に脆弱性
【5】複数のMozilla製品に脆弱性
【6】Google Chromeに解放済みメモリの使用の脆弱性
【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
【8】複数のマイクロソフト製品に脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】複数のSAP製品に脆弱性
情報源
https://support.sap.com/ja/my-support/knowledge-base/security-notes-news/october-2025.html

概要
複数のSAP製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】desknet's NEOに複数の脆弱性
情報源
https://jvn.jp/jp/JVN90757550/

概要
株式会社ネオジャパンが提供するグループウェア「desknet's NEO」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することなどで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.desknets.com/neo/support/mainte/17475/

【3】ChatLuckに複数の脆弱性
情報源
https://jvn.jp/jp/JVN13030751/

概要
株式会社ネオジャパンが提供するビジネスチャットツール「ChatLuck」には、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、クラウド版は開発者にてすでに修正済みです。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.chatluck.com/support/package/mainte/pchatluck-製品における、複数のセキュリティ上の問題に/

【4】複数のF5製品に脆弱性
情報源
https://my.f5.com/manage/s/article/K000154696

概要
F5は、2025年10月15日（現地時間）、BIG-IP製品の開発環境やエンジニアリングナレッジ管理プラットフォームに攻撃者が侵入し、ファイルを流出させた事実を本年8月に確認していたことを公表しました。流出したファイルには、BIG-IP製品のソースコードの一部やBIG-IPで対応中の未公表脆弱性に関する情報が含まれていたとのことです。同社は同日、BIG-IP、F5OS、BIG-IP Next for Kubernetes、BIG-IQ、およびAPMクライアント向けのアドバイザリを公表しており、迅速なアップデートをユーザーに推奨しています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://my.f5.com/manage/s/article/K000156572

【5】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-81/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Thunderbirdが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-82/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-83/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-84/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-85/

【6】Google Chromeに解放済みメモリの使用の脆弱性
情報源
https://chromereleases.googleblog.com/2025/10/stable-channel-update-for-desktop_14.html

概要
Google Chromeには解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【7】JPCERT/CCが2025年7月-9月分の「JPCERT/CC 四半期レポート」を公開
情報源
https://www.jpcert.or.jp/qr/2025/QR_FY2025-Q2.pdf

概要
JPCERT/CCは、2025年7月から9月分の四半期レポートを公開しました。JPCERT/CCが報告を受けたインシデントの統計や事例をはじめ、国内外の活動についてまとめています。

【8】複数のマイクロソフト製品に脆弱性
情報源
https://www.jpcert.or.jp/at/2025/at250022.html

概要
複数のマイクロソフト製品には、脆弱性があります。マイクロソフトは、今回修正された一部の脆弱性を悪用する攻撃をすでに確認しているとのことです。この問題は、Microsoft Updateなどを用いて、更新プログラムを適用することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.microsoft.com/en-us/msrc/blog/2025/10/202510-security-update/

目　次
【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
【2】GitLabに複数の脆弱性
【3】ArcGIS ServerにSQLインジェクションの脆弱性
【4】複数のJuniper Networks製品に脆弱性
【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】Draytek製Vigorルーターに初期化されていないリソース使用の脆弱性
情報源
https://jvn.jp/vu/JVNVU95494957/

概要
Draytek製Vigorルーターには、初期化されていないリソース使用の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.draytek.com/about/security-advisory/use-of-uninitialized-variable-vulnerabilities/

【2】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/10/08/patch-release-gitlab-18-4-2-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【3】ArcGIS ServerにSQLインジェクションの脆弱性
情報源
https://www.esri.com/arcgis-blog/products/trust-arcgis/administration/arcgis-server-feature-services-security-patch

概要
Esriが提供する地理情報システム（GIS）ソフトウェアArcGIS Serverには、SQLインジェクションの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のJuniper Networks製品に脆弱性
情報源
https://supportportal.juniper.net/s/article/2025-10-Security-Bulletin-Junos-OS-and-Junos-OS-Evolved-Specific-BGP-EVPN-update-message-causes-rpd-crash-CVE-2025-60004

概要
複数のJuniper Networks製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://supportportal.juniper.net/s/global-search/%40uri#sortCriteria=date%20descending&f-sf_primarysourcename=Knowledge&f-sf_articletype=Security%20Advisories&numberOfResults=25

【5】RedisのLuaスクリプト実行機能に解放済みメモリの使用の脆弱性
情報源
https://redis.io/blog/security-advisory-cve-2025-49844/

概要
RedisのLuaスクリプト実行機能には、解放済みメモリの使用の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://github.com/redis/redis/security/advisories/GHSA-4789-qfc9-5f9q

【6】複数のデンソーテン製ドライブレコーダー ビューアのインストーラーに任意のDLL読み込みの脆弱性
情報源
https://jvn.jp/jp/JVN95806263/

概要
株式会社デンソーテンが提供する複数のドライブレコーダー ビューアのインストーラーには、DLLを読み込む際の検索パスに問題があり、同一ディレクトリに存在する特定のDLLを読み込んでしまう脆弱性があります。この問題に対して、開発者から本脆弱性を修正したインストーラーが提供されています。製品をインストールする際は最新版のインストーラーを使用してください。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.denso-ten.com/jp/information/topics/2025/1002/

【7】Oracle E-Business Suiteにリモートコード実行の脆弱性
情報源
https://www.oracle.com/security-alerts/alert-cve-2025-61882.html

概要
Oracle E-Business Suiteには、遠隔から認証なしでコードを実行可能な脆弱性があります。開発者によると、本脆弱性は悪用された可能性があるとのことです。この問題は、当該製品を更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://blogs.oracle.com/security/post/apply-july-2025-cpu

目　次
【1】OpenSSLに複数の脆弱性
【2】複数のMozilla製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】複数のApple製品に脆弱性
【5】npmで発生した大規模なサプライチェーン侵害について
【6】複数のVMware製品に脆弱性
【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】OpenSSLに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU93161789/

概要
OpenSSLには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-80/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox for iOSが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-79/

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_30.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125326

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125327

https://support.apple.com/ja-jp/125328

https://support.apple.com/ja-jp/125329

https://support.apple.com/ja-jp/125330

https://support.apple.com/ja-jp/125338

【5】npmで発生した大規模なサプライチェーン侵害について
情報源
https://kb.cert.org/vuls/id/534320

概要
2025年9月15日（現地時間）、ソフトウェアサプライチェーンセキュリティ企業のSocketが主要なnpmサプライチェーンにおける大規模なセキュリティ侵害の調査状況について公表しています。CERT/CCはこの件に関連して2025年9月29日（現地時間）にアドバイザリを発行し、npmユーザーおよび開発者向けに推奨事項を提示しています。
関連文書
https://socket.dev/blog/ongoing-supply-chain-attack-targets-crowdstrike-npm-packages

【6】複数のVMware製品に脆弱性
情報源
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36149

概要
Broadcomが提供する複数のVMware製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。なお、今回公表された脆弱性のうち、VMware Aria OperationおよびVMware Toolsにおけるローカル権限昇格の脆弱性（CVE-2025-41244）について、脆弱性を報告した海外セキュリティ企業のNVISOが脆弱性の悪用の可能性を示すブログ記事を公表しています。
関連文書
https://support.broadcom.com/web/ecx/support-content-notification/-/external/content/SecurityAdvisories/0/36150

https://blog.nviso.eu/2025/09/29/you-name-it-vmware-elevates-it-cve-2025-41244/

【7】NICTが「NICTER観測統計 - 2025年4月-6月」を公開
情報源
https://blog.nicter.jp/2025/09/nicter_statistics_2025_2q/

概要
情報通信研究機構（NICT）は、「NICTER観測統計 - 2025年4月-6月」を公開しました。
NICTERプロジェクトのダークネット観測網における2025年第2四半期（4月-6月）の観測結果をまとめています。

【8】Cisco ASA、FTD、IOS、IOS XEおよびIOS XRにおける任意のコード実行の脆弱性（CVE-2025-20363）について
情報源
https://www.jpcert.or.jp/newsflash/2025093001.html

概要
複数のCisco製品には、任意のコード実行につながる脆弱性（CVE-2025-20363）があります。本脆弱性は、ArcaneDoor攻撃キャンペーンに関連して悪用が確認されたとされる2件（CVE-2025-20333、CVE-2025-20362）と同時期に公表されたもので、Cisco ASA、FTD、IOS、IOS XEおよびIOS XRが影響を受けます。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-http-code-exec-WmfP3h3O

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

目　次
【1】GitLabに複数の脆弱性
【2】複数のCisco製品に脆弱性
【3】Google Chromeに複数の脆弱性
【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】GitLabに複数の脆弱性
情報源
https://about.gitlab.com/releases/2025/09/25/patch-release-gitlab-18-4-1-released/

概要
GitLabには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【2】複数のCisco製品に脆弱性
情報源
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

概要
Ciscoは同社製品における脆弱性に関するアドバイザリを計19件（Critical 2件、High 8件、Medium 9件）公開しました。対象は多岐にわたります。影響を受ける製品、バージョンなどの詳細は開発者が提供する情報を参照してください。なお、CVE-2025-20333およびCVE-2025-20362は悪用が確認されており、JPCERT/CCは注意喚起を発行しています。また、CVE-2025-20363は悪用の観測は無いもののCriticalと評価されているため、早急に対処を検討してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/publicationListing.x

【3】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_23.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】Cisco ASAおよびFTDにおける複数の脆弱性（CVE-2025-20333、CVE-2025-20362）に関する注意喚起
情報源
https://www.jpcert.or.jp/at/2025/at250021.html

概要
Cisco Adaptive Security Appliance（ASA）およびFirewall Threat Defense（FTD）には、複数の脆弱性があります。これらの脆弱性の悪用を開発元は確認しているとのことです。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-YROOTUW

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-asaftd-webvpn-z5xP8EUB

https://sec.cloudapps.cisco.com/security/center/resources/asa_ftd_continued_attacks

目　次
【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性
【2】Google Chromeに複数の脆弱性
【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性
【4】複数のAtlassian製品に脆弱性
【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性
【6】アイ・オー・データの無線LANルーターに複数の脆弱性
【7】複数のMozilla製品に脆弱性
【8】複数のApple製品に脆弱性
【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表
【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開
【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開
※紹介するセキュリティ関連情報の選定基準は以下のページをご覧ください。
https://www.jpcert.or.jp/wr/

【1】NECのUNIVERGE IX／IX-R／IX-Vシリーズルータにクロスサイトスクリプティングの脆弱性
情報源
https://jvn.jp/jp/JVN95938761/

概要
日本電気株式会社（NEC）が提供するUNIVERGE IX／IX-R／IX-Vシリーズルータには、クロスサイトスクリプティングの脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://jpn.nec.com/security-info/secinfo/nv25-005.html

【2】Google Chromeに複数の脆弱性
情報源
https://chromereleases.googleblog.com/2025/09/stable-channel-update-for-desktop_17.html

概要
Google Chromeには、複数の脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。なお、Googleは、今回修正した一部の脆弱性について、エクスプロイトの存在を確認しているとのことです。詳細は、開発者が提供する情報を参照してください。

【3】WatchGuardのFireboxに任意のコード実行につながる脆弱性
情報源
https://www.watchguard.com/wgrd-psirt/advisory/wgsa-2025-00015

概要
WatchGuardが提供するFireboxには、任意のコード実行につながる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【4】複数のAtlassian製品に脆弱性
情報源
https://confluence.atlassian.com/security/security-bulletin-september-16-2025-1627098357.html

概要
複数のAtlassian製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。

【5】Spring FrameworkおよびSpring Securityに認可バイパスの脆弱性
情報源
https://spring.io/security/cve-2025-41248

概要
Spring FrameworkおよびSpring Securityには、特定のアノテーションを用いている場合に認可処理がバイパスされる脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://spring.io/security/cve-2025-41249

【6】アイ・オー・データの無線LANルーターに複数の脆弱性
情報源
https://jvn.jp/vu/JVNVU97490987/

概要
株式会社アイ・オー・データ機器が提供する無線LANルーターには、複数の脆弱性があります。この問題は、当該製品を修正済みのファームウェアに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.iodata.jp/support/information/2025/09_wn-7d36qr/index.htm

【7】複数のMozilla製品に脆弱性
情報源
https://www.mozilla.org/en-US/security/advisories/mfsa2025-73/

概要
複数のMozilla製品には、脆弱性があります。Firefox、Firefox ESR、Focus for iOS、Thunderbirdが影響を受けます。この問題は、当該製品を開発者が提供する修正済みのバージョンに更新することで解決します。詳細は、開発者が提供する情報を参照してください。
関連文書
https://www.mozilla.org/en-US/security/advisories/mfsa2025-74/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-75/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-76/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-77/

https://www.mozilla.org/en-US/security/advisories/mfsa2025-78/

【8】複数のApple製品に脆弱性
情報源
https://support.apple.com/ja-jp/125108

概要
複数のApple製品には、脆弱性があります。この問題は、当該製品を修正済みのバージョンに更新することで解決します。今回、iOSおよびiPadOS 15系、16系に向けて、すでに悪用が確認されている脆弱性（CVE-2025-43300）の修正も提供されています。詳細は、開発者が提供する情報を参照してください。
関連文書
https://support.apple.com/ja-jp/125109

https://support.apple.com/ja-jp/125110

https://support.apple.com/ja-jp/125111

https://support.apple.com/ja-jp/125112

https://support.apple.com/ja-jp/125113

https://support.apple.com/ja-jp/125114

https://support.apple.com/ja-jp/125115

https://support.apple.com/ja-jp/125116

https://support.apple.com/ja-jp/125117

https://support.apple.com/ja-jp/125141

https://support.apple.com/ja-jp/125142

【9】警察庁が「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開
情報源
https://www.npa.go.jp/publications/statistics/cybersecurity/data/R7kami/R07_kami_cyber_jyosei.pdf

概要
警察庁は「令和７年上半期におけるサイバー空間をめぐる脅威の情勢等について」を公開しました。この文書では、令和7年上半期におけるサイバー攻撃やサイバー犯罪の情勢および警察の取り組みについてまとめられています。

【10】SonicWallがクラウドバックアップサービスに関連するインシデントの情報を公表
情報源
https://www.sonicwall.com/support/knowledge-base/mysonicwall-cloud-backup-file-incident/250915160910330

概要
SonicWallは、同社が運営するポータルサイト「MySonicWall」に保存されているファイアウォールの設定ファイルに第三者がアクセスしたとの情報を公表しました。SonicWallによると、クラウドバックアップ機能を有効にしている製品が本件の影響を受ける可能性があるとのことです。SonicWallは、MySonicWallにログインし、影響を受けたシリアル番号がリストされているかどうかの確認をユーザーに推奨しています。影響を受ける場合は、資格情報のリセットなど対処が必要です。詳細は、SonicWallが提供する情報を参照してください。

【11】JPCERT/CCが「解説：脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開
情報源
https://blogs.jpcert.or.jp/ja/2025/09/handling_vul_info_2.html

概要
JPCERT/CCは、「脆弱性関連情報取扱制度の運用と今後の課題について（後編）-脆弱性悪用情報のハンドリングと今後の課題-」を公開しました。本記事（後編）では、脆弱性がすでに悪用されている、あるいは悪用の蓋然性が高まっている状況における対処オペレーションについて、JPCERT/CCとしての視点から解説しています。

【12】フィッシング対策協議会が「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開
情報源
https://www.antiphishing.jp/report/wg/cert_20250916.html

概要
フィッシング対策協議会の証明書普及促進ワーキンググループが「送信ドメイン認証技術導入実施状況について -ISP、CATV、モバイル事業者、フリーメール事業者における導入・設定状況-」を公開しました。本報告書では、一般財団法人日本データ通信協会の迷惑メール相談センターが実施した「送信ドメイン認証実施状況」の2023年ならびに2024年の調査結果をもとに、SPF／DKIM／DMARC／BIMIの導入率を集計した結果が示されています。