【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/10 2025/07/24 CVE-2025-8110 NVD Gogs 8.7(Wiz) CWE-22 パス・トラバーサル 2026/01/12 Gogs 【ニュース】■2025年◇2025年12月 ◆Gitサーバ「Gogs」にゼロデイ脆弱性…

【要点】 ◎CISAは、自己ホスト型GitサービスGogsの未修正脆弱性が実環境で悪用されていると警告した。APIの不備により認証済みユーザーが任意コード実行に至る恐れがある。

【要点】 ◎米CISAは、HPE OneViewとPowerPointの既知脆弱性が悪用されているとして注意喚起を行った。 (Security NEXT)

【要点】 ◎JPCERT/CCはMongoDBの深刻な脆弱性「MongoBleed」について、国内での悪用被害は未確認としつつ、今後の攻撃増加に警戒を呼びかけた。 (Security NEXT)

【要点】 ◎米CISAは、MongoDBの脆弱性CVE-2025-14847が実際に悪用されているとしてKEVに追加し、早急な対応を呼びかけた。

【要点】 ◎米CISAはDigiEver製NVR「DS-2105 Pro」の脆弱性が実際に悪用されているとして警告した。認可不備により任意コマンド実行の恐れがある。 (Security NEXT)

【要点】 ◎ASUS Live Updateに関するサプライチェーン由来の重大脆弱性が、実際に悪用されているとしてCISAのKEVに追加された。2019年攻撃の影響が今も残る可能性がある。(マイナビニュース)

【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/12/19 2025/12/15 CVE-2025-14733 NVD WatchGuard 9.8(NVD) CWE-787 境界外書き込み 2025/12/19 WatchGuard Firebox 【ニュース】■2025年◇2025年12月 ◆「WatchGuard Fi…

【要点】 ◎Fortinet複数製品で認証回避脆弱性CVE-2025-59718の悪用が確認された。FortiCloud SSO設定状況の確認と対策が求められる。 (Security NEXT)

【要点】 ◎CISAはGladinetとApple製品の脆弱性2件が悪用されているとしてKEVに追加。認証回避やWebKitのゼロデイが確認され、速やかなアップデート適用を呼びかけている。

【要点】 ◎CISAはChromiumのANGLE脆弱性「CVE-2025-14174」と、Sierra Wireless製品の「CVE-2018-4063」をKEVに追加。いずれも悪用確認済みで、更新や利用中止など早急な対応が必要。

【要点】 ◎Chrome にゼロデイを含む3件の脆弱性修正アップデートが提供開始。識別番号466192044は既に悪用が確認され詳細非公開。CVE-2025-14372/14373も修正済み。

【訳】CISA、攻撃で悪用されるWinRARの0-Day RCE脆弱性について警告 【要点】 ◎WinRARの0-Day（CVE-2025-6218）が実際に悪用されており、CISAがKEV入り。パストラバーサルで任意コード実行が可能で危険度はCVSS9.8。WinRARは至急最新版へ更新が必須。

【要点】 ◎米CISAは、悪用が確認されたWindowsとWinRARの脆弱性2件をKEVに追加し、更新適用など早急な対策を呼びかけた。

【要点】 ◎米CISAは、ArrayOS AGのコマンドインジェクションなど2件の脆弱性を悪用確認としてKEVに追加し、早急な対策を呼びかけた。 (Security NEXT)

【要点】 ◎Reactの重大脆弱性CVE-2025-55182がKEV入りし、CISAが悪用確認を公表。認証不要でRCE可能で、Next.jsなどにも影響。PoC公開でリスクが高まっており、迅速な更新と調査が必要。

【訳】中国のハッカーが新たに公表されたReact2Shell脆弱性の悪用を開始した 【要点】 ◎React2Shell（CVE-2025-55182）が公開直後から中国系2グループに悪用され、広範スキャンと初期偵察が確認。修正は最新版Reactで提供済み。Cloudflareは対策更新が原因で…

【要点】 ◎米CISAは、産業制御ソフトScadaBRの既知脆弱性CVE-2021-26828が実際に悪用されているとして、KEVに追加し注意を呼びかけた。

【要点】 ◎工場向けSCADAツール「ScadaBR」の XSS 脆弱性が悪用されていると米CISAが警告。CVE-2021-26829が KEV に追加され、関連ツールの利用者にも対策を求めている。 (Security NEXT)

【要点】 ◎Oracle Middlewareの脆弱性CVE-2025-61757が悪用確認され、CISAがKEVに追加し注意喚起。10月CPUで修正済みだが、行政機関に迅速な対策を要請。

【訳】フォーティネット、攻撃で悪用されたFortiWebのゼロデイ脆弱性に対するサイレントパッチを承認 【要点】 ◎FortiWebに深刻なゼロデイ（CVE-2025-64446）が悪用され、Fortinetは8.0.2で静かに修正。未認証で管理操作が可能になる欠陥で、CISAは連邦機関…

malware-log.hatenablog.com 【脆弱性内容】 公開日 登録日 CVE番号 NVD ベンダー CVSS v3 CWE 脆弱性 KEV 備考 2025/10/20 2025/10/06 CVE-2025-61932 NVD MOTEX 9.8(JPCERT/CC) CWE-940 通信チャネルの送信元の不適切な検証 2025/10/22 Lanscope Endpoint …

【要点】 ◎LANSCOPEオンプレ版にRCE脆弱性CVE-2025-61932。悪用確認済みで、CISAも警告。早急なクライアント更新が必要。

【要点】 ◎LANSCOPEの深刻な脆弱性CVE-2025-61932が悪用確認。認証不要でRCE可能、日本でも攻撃観測。早急な更新を要請。

【要点】 ◎米CISAがOracle EBSやWindows SMBなど5件の脆弱性を悪用確認リストに追加。行政機関へ迅速な対応を要請。

【訳】CISA、Adobe AEMの脆弱性を「パーフェクト10.0」スコアで警告 — 既に攻撃対象に 【要点】 ◎CISAはAEMのRCE脆弱性CVE-2025-54253をKEVに追加。CVSS10.0の認証不要バグで既に悪用確認済み。Adobeは8月の更新で修正済み。

【要点】 ◎Adobe AEM Formsの脆弱性「CVE-2025-54253」が悪用中。CVSS10.0の深刻度で、CISAが緊急対応を要請。

【要点】 ◎CISAはVelociraptorやSKYSEAなど5件の脆弱性をKEVに追加。実際の悪用を確認し、各機関に早急な対策を要請。

【要点】 ◎CISAは悪用中の5件の脆弱性を警告。Samsung端末やShellshock関連などが対象で、古いソフト含め早急な対策が求められる。

【要点】 ◎CISAはCisco IOSやsudoなど5件の脆弱性悪用を確認。複数製品が標的となっており、行政機関に早急な対策を求めた。