TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

「Web Caster V130」や「SkyBridge BASIC MB-A130」などルーター脆弱性修正アップデート - JPCERT/CCレポート

ルーター セキュリティ機関: JPCERT/CC

【要約】 JPCERT/CCは9月10日、週次レポート「Weekly Report 2025-09-10」で複数のルーター製品に関する脆弱性修正アップデートを報告した。NTT東西の「Web Caster V130」では、ログイン中に細工されたWebページへアクセスすると設定変更される恐れのあるCSR…

Microsoft 9月の更新プログラム公開、86件の脆弱性修正 - アップデートを

ベンダー: Microsoft Windows Update 月例パッチ

【要約】 Microsoftは9月9日、2025年9月の月例セキュリティ更新プログラムを公開し、計86件の脆弱性を修正したと発表した。このうち2件はゼロデイ脆弱性、1件は深刻度「緊急(Critical)」に分類されている。ゼロデイには、Windows SMBの認証不備(CVE-2025-…

Sophos製無線LANアクセスポイントに脆弱性 - 管理者権限奪取のおそれ

ベンダー: Sophos 脆弱性: CVE-2025-10159 製品: AP6 Series

【要約】 Sophosは無線LANアクセスポイント「AP6 Series」で深刻な脆弱性「CVE-2025-10159」を公表した。認証をバイパスして管理者権限を奪取できる欠陥で、CVSS 9.8・重要度「クリティカル」と評価されている。修正版は8月11日提供のファームウェア「1.7.25…

「Adobe ColdFusion」に深刻な脆弱性 - 緊急対応を

アプリ: Adobe ColdFusion 脆弱性: CVE-2025-54261 (Adobe ColdFusion)

【要約】 Adobeは9月9日、「ColdFusion」に深刻な脆弱性「CVE-2025-54261」を公表した。権限不要で任意ディレクトリへファイルを書き込めるパストラバーサルの欠陥で、CVSS 9.0・重要度「クリティカル」と評価。対策版「ColdFusion 2025 Update 4」「2023 Up…

SAP、9月月例パッチで新規21件を公開 - 深刻な脆弱性も

アプリ: SAP ベンダー: SAP 脆弱性: CVE-2025-42944 (SAP) 脆弱性: CVE-2025-42922 (SAP) 脆弱性: CVE-2025-42958 (SAP)

【要約】 SAPは9月9日、月例セキュリティアドバイザリ25件を公開し、新規21件・更新4件の脆弱性情報を発表した。うち3件は「クリティカル」と評価され、特にSAP NetWeaverのデシリアライゼーション脆弱性「CVE-2025-42944」はCVSS 10.0と深刻。「CVE-2025-42…

Fortinet、セキュリティアドバイザリ2件をリリース

セキュリティ企業: Fortinet 脆弱性: CVE-2024-45325 脆弱性: CVE-2025-53609

【要約】 Fortinetは9月9日、FortiDDoSとFortiWebに関する脆弱性を公表した。FortiDDoS Fシリーズには権限が必要なOSコマンドインジェクション「CVE-2024-45325」(CVSS 6.7)、FortiWebには認証後に任意ファイル読み取りが可能なパストラバーサル「CVE-2025…

MS、月例セキュリティ更新80件を公開 - 「緊急」8件などに対応

ベンダー: Microsoft Windows Update

【要約】 マイクロソフトは9月9日、月例セキュリティ更新で80件の脆弱性を修正したと発表した。「緊急」に分類されたものは8件で、リモートコード実行や権限昇格につながるものも含まれる。残る72件は「重要」と評価。情報漏洩やDoS、セキュリティ機能バイパ…

「Chrome」にアップデート - 「クリティカル」含む脆弱性2件を修正

アプリ: Chrome 脆弱性: CVE-2025-10200

【要約】 Googleは9月9日、ブラウザ「Chrome」の最新版を公開し、重要度「クリティカル」を含む2件の脆弱性を修正した。解放後メモリ使用の脆弱性「CVE-2025-10200」(Service Worker)と、実装不備による「CVE-2025-10201」(Mojo)に対応。Windows、macOS…

脆弱性情報、勝手に開示しないで 経産省などがクギを刺す FeliCaの事例念頭か

未公開脆弱性情報 情報セキュリティ早期警戒パートナーシップガイドライン

【要約】 経済産業省など4機関は9月9日、ソフトウェア等の脆弱性情報はIPAへ届け出た上で関係者間で管理し、対策完了後に公表するよう改めて要請した。共同通信がFeliCa脆弱性を報道した事例を受けたものとみられる。発見者には正当な理由なく第三者へ開示し…

ガイドライン (まとめ)

*ガイドライン **まとめ

【ガイドライン】 ◆情報セキュリティ早期警戒パートナーシップガイドライン (まとめ) https://vul.hatenadiary.com/entry/Information_Security_Early_Warning_Partnership_Guidelines 【関連まとめ記事】 ◆全体まとめ https://vul.hatenadiary.com/root

#ガイドライン #Guideline

未公開脆弱性情報、公表前の開示自粛を呼びかけ - 政府や関係機関

未公開脆弱性情報 セキュリティ機関: NCO (国家サイバー統括室) / NISC セキュリティ機関: 経産省 / 経済産業省 セキュリティ機関: IPA / 情報処理推進機構 セキュリティ機関: JPCERT/CC 情報セキュリティ早期警戒パートナーシップガイドライン

【要約】 政府(経産省・内閣サイバー統括室)やIPA、JPCERT/CCは、脆弱性情報の適切な取り扱いを改めて呼びかけた。「情報セキュリティ早期警戒パートナーシップガイドライン」に基づき、未公開脆弱性の公表前開示を控え、被害抑制に向けた流通を推奨。IPA…

DB管理ツール「pgAdmin」に脆弱性 - アカウント乗っ取りのおそれ

ツール: pgAdmin 脆弱性: CVE-2025-9636

【要約】 PostgreSQL管理ツール「pgAdmin」に、COOP欠如によりOAuth 2.0認証フローでアクセストークンを窃取され、アカウント乗っ取りに悪用される脆弱性(CVE-2025-9636)が判明。CVSSスコアは7.9で重要度「高」と評価。開発チームは2025年9月4日に公開した…

機械学習フレームワーク「H2O-3」に深刻な脆弱性

AIフレームワーク: H2O-3 脆弱性: CVE-2025-6507 脆弱性: CVE-2024-45758 脆弱性: CVE-2024-10553 脆弱性: CVE-2025-5662 *Exploit Code / PoC

【要約】 機械学習フレームワーク「H2O-3」に深刻な脆弱性「CVE-2025-6507」「CVE-2025-5662」が判明した。いずれもJDBC接続処理の不備により、正規表現フィルタをバイパスしてMySQL JDBCドライバ経由で任意コード実行やファイル読み取りが可能となる。REST …

「ImageMagick」に再度深刻な脆弱性 - サーバ環境は注意

アプリ: ImageMagick 脆弱性: CVE-2025-57807

【要約】 画像処理ライブラリ「ImageMagick」に新たな脆弱性「CVE-2025-57807」が判明。コアコンポーネントの域外メモリ書き込みにより任意コード実行の恐れがある。GitHubではCVSS 4.2「中」と評価される一方、報告者は9.8「クリティカル」と指摘。特にサー…

「Spring Cloud Gateway Server WebFlux」に深刻な脆弱性 - 設定改ざんのおそれ

アプリ: Spring Cloud Gateway Server WebFlux 脆弱性: CVE-2025-41243

【要約】 「Spring Cloud Gateway Server WebFlux」に深刻な脆弱性「CVE-2025-41243」が判明。特定条件下で認証不要のままリモートから設定改ざんが可能となる。影響範囲は4.3.x~3.1.x系で、CVSSv3.1スコアは最高の10.0「クリティカル」。開発チームは修正…

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022