TT 脆弱性 Blog

脆弱性情報に関する「個人」の調査・研究のログ

Isaac Launchable (まとめ)

フレームワーク: Isaac Launchable ベンダー: NVIDIA **まとめ

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/23 2025/04/15 CVE-2025-33222 NVD NVIDIA 9.8(NVIDIA) CWE-798 ハードコードされた認証情報の使用 - Isaac Launchable 2025/12/23 2025/04/15 CVE-2025-33223 NVD …

#CVE-2025-33222 #CVE-2025-33223 #CVE-2025-33224 #Isaac Launchable #NVIDIA

Atlassian、前月更新で脆弱性46件を修正 - クリティカル9件含むも影響は限定的

ベンダー: Atlassian アプリ: Atlassian Confluence アプリ: Atlassian Jira

【要点】 ◎Atlassianは2025年11月更新で46件の脆弱性を修正したと公表。クリティカル9件を含むが、主に依存ライブラリ起因で実利用上の影響は限定的と説明している。 (Security NEXT)

NVIDIAのAI基盤「NeMo Framework」に複数脆弱性 - 修正版が公開

フレームワーク: NeMo Framework (NVIDIA) CVE-2025-33226 CVE-2025-33212

【要点】 ◎NVIDIAはAI基盤NeMo Frameworkにモデル読み込み処理などの脆弱性2件を公表。不正データでコード実行などの恐れがあり、修正版2.5.3への更新を呼びかけている。 (Security NEXT)

#CVE-2025-33226 #CVE-2025-33212

「Trend Micro Apex One」のEDR機能に脆弱性 - パッチは2026年1月に公開

アプリ: Trend Micro Apex One 脆弱性: CVE-2025-49844 (Redis)

【要点】 ◎Trend Micro Apex OneのEDR用コンポーネントがRedisの脆弱性の影響を受けると判明。深刻度は中程度で、修正パッチは2026年1月公開予定。 (Security NEXT)

SNMPのオープンソース実装「Net-SNMP」に緊急脆弱性、利用製品に影響及ぼす可能性

ツール: Net-SNMP CVE-2025-68615 脆弱性: バッファオーバーフロー

【要点】 ◎Net-SNMPに認証不要でDoSやコード実行の恐れがある深刻な脆弱性が判明し、開発者は即時アップデートを呼びかけている。 (マイナビニュース)

#CVE-2025-68615

約4万件の脆弱性から分析、2025年の危険な「脆弱性タイプ」トップ25

MITRE 脆弱性: XSS / クロスサイトスクリプティング 脆弱性: SQLインジェクション / SQLi 脆弱性: CSRF

【要点】 ◎MITRE系機関が約4万件の脆弱性を分析し、2025年の危険な脆弱性タイプ上位25を公表。XSSが首位で、SQLインジェクションや認可不備など実務的リスクが浮き彫りとなった。 (Security NEXT)

High-severity MongoDB flaw CVE-2025-14847 could lead to server takeover

DB: MongoDB CVE-2025-14847 / MongoBleed (MongoDB)

【要点】 ◎MongoDBは、認証不要で任意コード実行が可能な深刻度の高い脆弱性CVE-2025-14847を修正した。影響範囲は広く、管理者に対し即時アップグレードまたはzlib無効化を強く推奨している。 (Security Affairs)

#MongoBleed #CVE-2025-14847

NVIDIAの開発フレームワークに緊急脆弱性、直ちにアップデートを

ベンダー: NVIDIA フレームワーク: Isaac Launchable CVE-2025-33222 CVE-2025-33223 CVE-2025-33224

【要点】 ◎NVIDIAは「Isaac Launchable」に致命的脆弱性を公表した。認証情報流出や特権昇格により完全侵害の恐れがあり、利用者は修正版1.1へ即時更新が必要とされる。 (マイナビニュース)

#CVE-2025-33222 #CVE-2025-33223 #CVE-2025-33224

MongoDB (まとめ)

DB: MongoDB **まとめ

malware-log.hatenablog.com 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2024/12/02 2024/11/24 CVE-2024-53900 NVD MongoDB 9.1(CISA-ADP) CWE-89 SQLインジェクション - MongoDB 2025/01/15 2025/01/10 CVE-2025-230…

#MongoDB #データベース #NoSQL

NVIDIAのロボティクス基盤「Isaac Launchable」に深刻な脆弱性

フレームワーク: Isaac Launchable CVE-2025-33222 CVE-2025-33223 CVE-2025-33224

【要点】 ◎NVIDIAのロボティクス基盤「Isaac Launchable」にCVSS 9.8の重大脆弱性が判明。修正版1.1への更新が必須。 (Security NEXT)

#CVE-2025-33222 #CVE-2025-33223 #CVE-2025-33224

Fortraの特権アクセス管理製品「BoKS」に脆弱性 - アップデートで修正

アプリ: BoKS (Fortra) CVE-2025-13532

【要点】 ◎Fortraの特権アクセス管理製品「BoKS」に脆弱性が判明。特定環境で弱いパスワードハッシュが使われる恐れがあり、修正版への更新が推奨されている。 (Security NEXT)

#CVE-2025-13532

「LangChain」に深刻な脆弱性 - APIキー流出のおそれ

AI / 人工知能 アプリ: LangChain

【要点】 ◎LLM開発フレームワーク「LangChain」に深刻な脆弱性が判明し、APIキーなどのシークレット情報が流出する恐れがある。 (Security NEXT)

Critical MongoDB Flaw Leaks Sensitive Data Through zlib Compression

DB: MongoDB ライブラリ: zlib CVE-2025-14847 / MongoBleed (MongoDB)

【要点】 ◎MongoDBのzlib圧縮処理に起因する重大脆弱性CVE-2025-14847により、認証不要でヒープメモリから機密データが漏洩する恐れがあり、即時更新が推奨された。 (gbhackers.)

#CVE-2025-14847 #MongoBleed

MongoDB warns admins to patch severe RCE flaw immediately

DB: MongoDB CVE-2025-14847 / MongoBleed (MongoDB)

【要点】 ◎MongoDBは、認証不要で悪用可能な深刻なRCE脆弱性(CVE-2025-14847)について、影響を受ける多数のバージョン利用者に対し、直ちに修正済みバージョンへのアップグレードを強く警告した。

#CVE-2025-14847 #MongoBleed

DigiEver製NVRの脆弱性悪用に注意 - 米CISAが警告

アプリ: DigiEver DS-2105 Pro (ネットワークビデオレコーダ) CVE-2023-52163 脆弱性: 認可チェック不備 悪用が確認された脆弱性カタログ(KEV)

【要点】 ◎米CISAはDigiEver製NVR「DS-2105 Pro」の脆弱性が実際に悪用されているとして警告した。認可不備により任意コマンド実行の恐れがある。 (Security NEXT)

#CVE-2023-52163

Copyright (C) 谷川哲司 (Tetsuji Tanigawa) 2006 - 2022